Suchen

Der Mechanik massiver DDoS-Angriffe auf der Spur

DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren

Seite: 2/2

Firmen zum Thema

Die Cloud als ein Instrument zur Amplifizierung

Die Auffassung, dass eine skalierbare Cloud-Architektur massive DDoS-Angriffe eindämmen könne, ist ein fataler Irrtum. Die Cloud bietet nicht nur keinen Schutz vor Ausfallzeiten der betroffenen Dienste sondern stellt sogar durch die bedarfsgerechte Skalierbarkeit der Infrastruktur ein potenzielles Instrument zur DDoS-Amplifizierung dar. Der Schaden beschränkt sich in diesem Fall nicht auf die Downtime, denn die Elastizität einer Cloud-Topologie führt automatisch zur Kostenexplosion.

Bildergalerie

Bildergalerie mit 5 Bildern

Ein CDN (Content Delivery Network) kann DDoS-Attacken mit einem hohen Datenvolumen aufnehmen und abfangen, doch Anfragen nach dynamisch erzeugten Daten leitet das CDN an den Datenursprungsserver (den sog. Origin Server) weiter und eben darin besteht das eigentliche Problem. Indem die Angreifer viele einzelne zufällig generierte Anfragen nach nicht vorhandenen Daten an das CDN richten, können sie es dazu veranlassen, eine richtig hinterhältige DDoS-Attacke auf die eigenen Compute-Ressourcen zu initiieren, die sich durch konventionelle Firewalls auf dem Zielserver nicht abblocken lässt. Ein CDN lässt sich zudem mit Cache-Direktiven in http-Headern umgehen, um vorzugsweise via https bösartige rechenintensive Anfragen mit dem Anschein von Legitimität durch die Firewall an die wesentlich kostspieligeren Compute-Ressourcen zu tunneln.

Anfragen an den Origin-Server im Rahmen einer DDoS-Attacke und solche seitens berechtigter Benutzer lassen sich anhand der Ursprungs-IP nicht mehr auseinander halten. Die IP-Adressen entstammen in beiden Fällen dem vertrauenswürdigen Pool des eigenen CDNs des Opfers. Die einzige Methode zum Filtern der Anfragen besteht im Auswerten des gesamten HTTP-Headers. Der XFF-Header (X-Forwarded-For-Header) gibt Aufschluss über den wirklichen „Werdegang“ der Anfrage und erlaubt das systematische Abblocken der Attacke, sofern sich ihre ursprüngliche Quelle außerhalb des CDNs identifizieren lässt.

DDoS-Blitzableiter

Die EC2-Sicherheitsgruppen auf AWS bieten keinen Ersatz für eine Firewall. Durch EC2-Sicherheitsgruppen lässt sich der Zugriff auf bestimmte Ports freischalten, es ist leider aber nicht möglich, Anfragen an offenen Ports handverlesen abzublocken. Eine WAF-Firewall (Web Application Firewall) wie auch anwendungsspezifische Regeln (z.B. in NGINX) können geringfügigen Missbrauch unterdrücken. Diese Maßnahmen bieten jedoch im Falle einer massiven DDoS-Attacke keinen ausreichenden Schutz. Cloud-Anwender binden daher ihre Cloud-Infrastruktur präventiv an das IT-Äquivalent eines „Blitzableiters“ an: an einen oder mehrere Dienste zur DDoS-Ableitung wie CloudFlare.

Tipp: Unter OpenNTPProject.org können IT-Administratoren ihren eigenen IP-Adressraum auf Möglichkeiten zum DDoS-Missbrauch mittels NTP hin überprüfen (siehe auch die Illustration in der Bildergalerie).

Bei der Verteidigung von Spamhaus im Jahre 2013 konnte CloudFlare mit Hilfe von Anycast-Adressierung unter Verwendung von Lastverteilern und dem eigenen CDN mit Knoten in insgesamt 23 Datencentern die Datenflut der 300Gbps starken DDoS-Attacke abfangen und filtern (heute sind es bereits 29 Edge-Standorte, darunter einer in Frankfurt). Nur diejenigen Datenpakete werden an die geschützten Zielsysteme weitergeleitet, welche sämtliche Tests ihrer Legitimität bestanden hatten. Da sich das rechenzeitintensive Filtern eingehender Anfragen auf ganz viele Cloud-Ressourcen verteilt, gibt es kein Single Point of Failure. Die Zielsysteme erhalten nur säuberlich gefilterte Datenpakete mit einer geringfügigen Verzögerung.

Global Anycast DNS ist bei CoudFlare bereits im Umfang des Gratis-Basisabonnements enthalten. Ähnliche Dienste wie CloudFlare haben auch andere CDN-Anbieter, darunter Akamai, neuStar, OpenDNS und Prolexic, kostenpflichtig im Programm.

* Die Autoren: Filipe Pereira Martins und Anna Kobylinska, IT-Experten von McKinley Denali Inc. (USA) und der Soft1T S.a r.l. Beratungsgesellschaft mbH

(ID:43332166)