DDoS im Februar 2014: Attacke von 400 Gbps
Die letzten Tage machten erneut DDoS-Attacken Schlagzeile. Eine davon betraf auch einen Schweizer Carrier bzw. einer seiner Kunden.
Die Gefahr von DDoS-Attacken ist nach wie vor allgegenwärtig (siehe auch «Technical Details Behind a 400Gbps NTP Amplification DDoS Attack» bei Cloudflare und «Schweizer Provider trotzt massivem DDoS-Angriff» im Computerworld) Auf Seiten der Hoster und „guten“ Carrier sind die Schutzmassnahmen umgesetzt (siehe auch DDoS für Dummies - Erster Teil und Zweiter Teil im aspectra-Blog). Noch immer basieren die meisten DDoS-Attacken auf a) einer gespooften IP Adresse und b) einer massiven Verstärkung der Antwort auf eine gestellte Anfrage. Vor allem a) könnte ohne allzu grossen Aufwand von der Netzgemeinde eliminiert werden.
Gespoofte IP Adressen: Hierbei gibt ein Angreifer eine falsche Absender IP-Adresse an. D.h., eine Anfrage an eine Anwendung wird nicht an die tatsächliche Quelle zurückgeschickt, sondern an die vorgegaukelte. Wie dies zu verhindern ist wurde bereits im Jahr 2000 niedergeschrieben (BCP38.info), und zwar bedeutet dies, dass ein ISP nur Pakete weitergibt, die aus seinem Netz kommen und als Absender eine IP aus diesem Netz angibt. Die Umsetzung dieser Massnahme Sache der ISPs und wird innerhalb der Carrier diskutiert, doch leider haben nicht alle Carrier die technischen Möglichkeiten dies auch tatsächlich umzusetzen.
Verstärkung der Antwort: Die aktuellen Attacken via DNS und NTP erreichen Verstärkungen von bis zu 200. D.h. mit einem Uplink von 1 Mbit werden Antworten von zu 200 Mbit produziert. Dies „verstopfen“ dann die Leitungen. Mit allfälligen SNMP-Attacken rechnet man mit Verstärkung von bis zu 1‘000! Es ist also unabdingbar, dass seitens Hostinganbieter ebenfalls alles erdenkliche umgesetzt wird, dass entweder die Antworten nicht generiert werden können.
Natürlich ist aspectra laufend am optimieren und erweitern der DDoS-Schutzmassnahmen. So bestehen explizite Schutzmassnahmen unserer DNS Infrastruktur: Externe Anfragen auf DNS Zonen, die nicht im DNS der aspectra konfiguriert sind, werden nicht beantwortet. Anfragen auf den Record vom type=ANY (dieser ist für die Verstärkung des Netzwerkverkehrs verantwortlich) werden zeitlich stark limitiert. Dies ist möglich, weil es für diesen type keine technische Notwendigkeit gibt. Des weiteren sind auf unseren Routern Ingress-Filter implementiert. Ingress-Filter verhindern, dass IP-Pakete mit gefälschter Absenderadresse vom Aussenrand eines Netzes ins Zentrum gelangen. Ziel ist es also, Pakete abzufangen, bevor sie in das eigentliche Netz gelangen (siehe auch Definition Ingress-Filter).
Erwähnte und weiter führende Links:
http://www.nzz.ch/digital/dd4bc-ausser-gefecht-ld.4217
https://www.aspectra.ch/blog-und-news/know-how/ddos-fuer-dummies---erster-teil
https://www.aspectra.ch/blog-und-news/know-how/ddos-fuer-dummies---zweiter-teil
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack
https://www.us-cert.gov/ncas/alerts/TA13-088A
http://support.simpledns.com/KB/a203/what-is-a-dns-amplification-attack-and-how-to-mitigate-it.aspx