DDoS für Dummies - Zweiter Teil
DDoS und deren Abwehr steht für das Böse gegen das Gute. Das Kürzel für „Distributed Denial Of Service“ ist über die IT hinaus bekannt. Doch was steckt genau dahinter und wie kann man sich schützen? Im zweiten Teil werfen wir einen Blick auf die Verteidigung.
DDoS ist nicht gleich DDoS
Wie im ersten Teil beleuchtet, finden Attacken auf unterschiedlichen Ebenen statt. Dementsprechend ist die Verteidigung ebenfalls vielschichtig. Ziel der Mitigation ist, nur gültigen Verkehr an die Endsysteme durchzulassen. Ein Limitieren des Verkehrs auf den Firewalls reicht nicht. Bei Attacken hoher Intensität, werden diese selbst zum Opfer.
Die Schlacht verlieren...
Bei Datacenter mit vielen Services lohnt sich allenfalls folgende Strategie: Die Basis Infrastruktur so konfigurieren, dass nur das angegriffene Endsystem zusammenbricht. So bleibt die Basis Infrastruktur am Leben, was die Mitigation vereinfacht. Bei einem Angriff auf die DNS Server werden andere Taktiken verfolgt - diese sind zu zentral um einen Angriff zuzulassen.
Den Krieg gewinnen.
Bei einem SYN Flood aktiviert man spezifische Firewall Regeln, besser noch vorgelagerte Systeme. Diese antworten selbst mit SYN-ACK auf die SYN Anfrage, ohne diese selbst an den dahinterliegenden Server weiterzugeben. Wird auf das SYN-ACK innerhalb von 5s mit ACK geantwortet, leitet das vorgelagerte System die SYN Anfrage weiter. Sonst wird es verworfen. Durch die sehr kurzen Timeouts werden die verwendeten Ressourcen tief gehalten.
Du kommst hier net rein
UDP und ICMP Flood Angriffe werden in der Regel auf den Frontroutern durch ACLs (Access Control Lists) bekämpft. Überschreiten Netzwerkangriffe eine bestimmte Paketanzahl verzichtet man darauf, diese zu loggen, um so zusätzliche Ressourcen für die Abwehr zu erhalten.
Applikatorische Angriffe werden von Reverse Proxys mitigiert. Diese lassen z.B. bestimmte Anfragen nicht zu: ein verändertes Web Formular, über das Web übermittelte SQL Befehle, angehängte Dateien mit Viren etc.
Grössere ISPs bieten Netzwerk Mitigation als Service an. Hierbei wird die Attacke bereits im Backbone des ISPs ausgeschaltet womit die eigenen Router, Firewalls und der Link zum ISP entlastet werden. Dabei kann z.B. Verkehr von ausserhalb der Schweiz geblockt werden. Es kann jedoch immer vorkommen, dass auch gutartiger Verkehr so im Backbone hängen bleibt.
Die aufgezeigten Abwehrmechanismen sind keine endgültige Liste und können eine Attacke nicht 100%ig ausschalten - Ein gewisser Kollateralschaden entsteht dabei leider immer. Ziel aller Abwehrmechanismen ist, die Angriffskosten (Bandbreite, Botnetgrösse, verwendete Zeit etc.) für einen erfolgreichen Angriff so hoch wie möglich zu halten.
Siehe auch: DDoS für Dummies - Erster Teil