Distributed Denial of Service – Überlastung eines Dienstes

Um zu verstehen, was einen DDoS-Angriff so gefährlich macht, werden an dieser Stelle noch einmal die grundlegenden Eigenschaften eines DDoS-Angriffs genannt.

Grundsätzlich hat ein Denial-of-Service- oder DoS-Angriff das Ziel, die Verfügbarkeit eines Dienstes für möglichst alle legitimen Nutzer einzuschränken oder den Zugriff sogar komplett unmöglich zu machen. Dabei kann man prinzipiell zwischen verschiedenen Angriffsvektoren unterscheiden. Im Folgenden sollen zwei Vektoren betrachtet werden:

• Ein direkter Angriff auf den Dienst, den man einschränken möchte.
• Ein Angriff auf eine andere Infrastrukturkomponente, die man für den Dienst benötigt, typischerweise DNS (Domain Name Service). Dabei wird der Dienst, dessen Namen man anfragt, im Nachgang überhaupt nicht kontaktiert, sondern nur die Namensauflösung für den Dienst unterbunden.

Ein einfacher DoS-Angriff soll sein Ziel erreichen, indem der jeweilige Dienst vollständig überlastet wird. Wurden früher solche Angriffe von einzelnen Rechenzentren auf Opfer mit „kleinerer“ Leitung erfolgreich durchgeführt, ist das heute nicht mehr so einfach möglich. Man braucht deutlich mehr als einen Standort für einen erfolgreichen Angriff, also führt man den Angriff verteilt (engl.: distributed) durch. Daher auch der Name Distributed Denial of Service. Aber woher bekommt ein Angreifer so viele, meist weltweit verteilte Endgeräte?

Die Quelle von DDoS-Angriffen

Alle großen DDoS-Angriffe der letzten Jahre gingen von einer großen Zahl mehr oder weniger dummer, aber schlecht abgesicherter Endgeräte aus. Das waren meistens IoT-Geräte wie IP-Kameras. Diese können aufgrund vorhandener, nicht vom Hersteller geschlossener Sicherheitslücken sehr einfach übernommen werden. Um ein Gefühl dafür zu bekommen, wie viele Geräte bei einem solchen Angriff wie viel Traffic erzeugen können, hier zwei Beispiele:

• Im September 2016 wurde der Sicherheitsforscher Brian Krebs Opfer eines Angriffs mit einer Bandbreite von mehr als 600 Gbit/s, sodass die entsprechende Webseite nicht erreichbar war.
• Schon einen Monat später wurde der DNS-Anbieter Dyn Opfer eines Angriffs mit einer Bandbreite von mehr als 1 Tbit/s. Dies hatte Auswirkungen auf viele Anbieter, z.B. Twitter und Spotify.

Die größten Botnetze für diese Angriffe bestehen mittlerweile aus mehr als 500.000 Geräten. Hinzu kommt, dass diese Angriffe sehr einfach und billig ausführbar sind. Manche Personen installieren sogar Tools, um solche Angriffe zu unterstützen!

Wie kann man sich bei einer so großen Zahl von Angreifern überhaupt schützen?

Schutz vor DDoS

Direkt vorweg: Ein effektiver Schutz vor DDoS-Angriffen ist praktisch nur mithilfe der Cloud möglich. Aber wie funktioniert ein solcher Schutz? Auch hier werden als Beispiele DNS und die eigentlichen Dienste beschrieben:

Schutz vor DDoS-Angriffe auf DNS

Zum Schutz vor diesen Angriffen benötigt man einen Anbieter, der mit der eintreffenden Bandbreite und der großen Anzahl DNS-Anfragen umgehen kann. Hier gibt es verschiedene Möglichkeiten, aber allen gemein ist, dass die entsprechende cloudbasierte DNS-Infrastruktur weltweit über viele Standorte verteilt ist und die Angriffe aus verschiedenen Regionen somit nicht an einem zentralen Punkt auflaufen. Dadurch wird ein Angriff effektiv abgeschwächt. Bedenkt man dabei noch, dass die Anbieter von DDoS-sicheren DNS-Diensten an jedem Standort über ausreichend dimensionierte Leitungen verfügen, kann man seine eigenen DNS-Server effektiv vor übermäßigem Traffic schützen. Wie genau dabei die eigenen DNS-Zonen verwaltet und zwischen eigenem DNS und Cloud-DNS transferiert werden, ist dabei abhängig von der Lösung des jeweiligen Anbieters.

Schutz vor DDoS-Direkte Angriffe auf Dienste

Direkte DDoS-Angriffe auf die eigenen Server können auf verschiedene Arten abgeschwächt werden. Einerseits – und hier sind wir wieder im Umfeld der Cloud – kann man die betroffenen Systeme automatisch mit der Zahl der Anfragen skalieren. Dies klappt naturgemäß in der Cloud mit ihrer (aus praktischer Sicht) nahezu unbegrenzten Leistung besser als im eigenen Rechenzentrum. Wer will schon so viel Hardware anschaffen und im eigenen Rechenzentrum betreiben, dass er im Fall der Fälle mit einem großen DDoS-Angriff umgehen kann? Und woher bekomme ich eine Internetleitung, die mit mehr als 1 Tbit/s nicht überlastet ist?

Die zweite Möglichkeit bieten sog. „Scrubbing-Center“, die zwischen das „böse“ Internet und die eigene Infrastruktur geschaltet werden. Sie funktionieren ähnlich wie die Schutzmechanismen für DNS. Der eingehende Traffic wird dort an verschiedenen Standorten analysiert und nur der als legitim identifizierte Traffic wird an den eigentlichen Server weitergeleitet. Die genaue Art und Weise, wie „guter“ von „bösem“ Traffic unterschieden wird, ist dabei eine der Kernkompetenzen der jeweiligen Anbieter.

Solche Scrubbing-Center können entweder für sämtlichen Verkehr aktiv sein oder durch ein entsprechendes BGP- oder DNS-Update bei Bedarf zwischengeschaltet werden. Letzteres bedarf des Eingreifens des jeweiligen Kunden, kann aber auch automatisiert werden, wenn die entsprechenden Größen im Monitoring überwacht werden.

Fazit

DDoS-Angriffe sind heutzutage leider Alltag und werden vermutlich auch nicht verschwinden. Glücklicherweise gibt es verschiedene Möglichkeiten, auf solche Angriffe zu reagieren. Man muss aber damit leben, dass ein effektiver und effizienter Schutz vor DDoS-Angriffen derzeit nur noch mithilfe der Cloud möglich ist.