Aktive Maßnahmen gegen DDOS

Von Profis empfohlene Maßnahmen gegen DDOS

Angreifen – Ablenken – Abgreifen

Bei etlichen tausend dokumentierten DDOS-Attacken pro Jahr, Tendenz steigend, stellt sich die Frage nach wirksamen Maßnahmen gegen diese Plage. Denn während in der Vergangenheit ausschliesslich einzelne Großunternehmen mit erpresserischer Absicht angegriffen wurden, bevorzugen Hacker inzwischen ein neues Ziel: die breite Masse aller Internetnutzer. Durch die geringen Kosten und den einfachen Zugang zum Internet haben die Angreifer ein leichtes Spiel. Deshalb müssen auch wir Anwender die Abwehrmaßnahmen anpassen.

Was ist (D)DOS?

Die Abkürzung „DOS“ steht in diesem Zusammenhang für „Denial of Service“. Das zusätzliche „D“ bedeutet „distributed“ („verteilt“). Das heisst, dass die Angreifer ihre Attacke von verschiedenen Standorten aus gleichzeitig starten. Ihr Ziel ist es, die Infrastruktur eines Serviceanbieters (z.B. eines Hosters) durch Überlastung lahm zu legen. Das gelingt dadurch, dass sehr viele unsinnige Anfragen gleichzeitig gestellt werden. Sobald die zur Verfügung stehende Bandbreite ausgelastet ist, kommen die echten Anfragen nicht mehr durch und der eigentliche Service kann nicht mehr erbracht werden.

Üblicherweise stellen sogenannte BOT-Netze die hierfür benötigte Angriffskapazität bereit. Während Hacker früher eher gekaperte Windows-PC ohne Virenscanner oder ähnlichen Schutz über DSL-Leitungen nutzten, greifen sie heute auf moderne BOT-Netze zu, welche überwiegend aus Geräten der IoT-Generation bestehen. Oder sie mieten diese Dienste einfach an.

Wie läuft ein DDOS ab?

Lassen Sie uns diese Frage mit einem Beispiel aus dem Alltag beantworten. Stellen Sie sich vor, Sie sitzen in einem Lokal und unterhalten sich mit Ihrem Tischnachbarn. Plötzlich betritt eine laut lärmende Gruppe das Lokal. Ab jetzt gestaltet sich die Unterhaltung mit Ihrem Tischnachbarn recht schwierig, da Sie ihn kaum noch verstehen. Und je lauter die Geräuschkulisse durch die andere Gruppe wird, um so mühsamer wird auch Ihr Gespräch. Ein normaler Effekt, den wir auf die Technik zurück übertragenkönnen. Denn je grösser der „Störpegel“, desto weniger „Bandbreite“ bleibt für das „Nutzsignal“.

So funktioniert der Trickbetrug

Ein anderes Beispiel verdeutlicht, welches Ziel die DDOS-Angriffe noch verfolgen. In einem Schmuckladen sind zwei Mitarbeiter für den Verkauf zuständig. Ein Kunde betritt das Geschäft und lässt sich verschiedene Stücke vom ersten Verkäufer zeigen. Ein zweiter Interessent kommt hinzu und reklamiert beim zweiten Mitarbeiter lautstark eine fehlerhaft ausgeführte Reparatur. Der dritte Kunde möchte eilig ein Wertgutachtens für ein mitgebrachtes Stück beauftragen und drängt deshalb auf eine schnelle Bedienung. Doch die beiden Verkaufsberater sind bereits mehr als ausgelastet. Keiner bemerkt, dass der erste Kunde ein Schmuckstück in seine Tasche steckt hat und wortlos das Geschäft verlässt. Die anderen beiden Kunden beschäftigen das Personal noch einige Zeit weiter, bis auch sie das Schmuckgeschäft verlassen.

Ob die Mitarbeiter das Fehlen des Schmuckstückes bemerken, wissen wir nicht. Doch fest steht, dass sie mit der Situation überfordert waren und etwas wichtiges abhanden gekommen ist. In der Welt des Internets handelt es sich hier in der Regel um Zugangsdaten.

Das passiert beim Provider

Während eines DDOS-Angriffs wird sich das Personal des Hosting-Anbieters überwiegend mit zwei Dingen befassen: erstens mit der Abwehr des Angriffes und zweitens mit dem Beantworten von wütenden Kunden-Telefonaten. In dieser Zeit kann leicht ein vorher bereits eingebrachtes Skript starten, welches Hintertüren einbaut, Betriebssystem-Befehle umbiegt, Passwörter ändert oder Logfiles löscht. Vielleicht wird aber auch eine Kundendatenbank kopiert und nach dem Ende des Angriffs abtransportiert.

Welche Maßnahmen gegen DDOS helfen?

Noch vor zwei Jahren arbeiteten Internet Service Anbieter mit der Methode „viel hilft viel“. Die Investitionen in möglichst hohe Bandbreiten sorgten für eine relative Sicherheit bei „normalen“ Angriffen, denn die große Außenanbindung fing das Problem einfach auf.

Verteilte Systeme

Doch das hat sich grundlegend geändert. Denn die heutigen Angriffe nutzen riesige Bandbreiten exakt auf ein Ziel, so dass ein einzelnes DataCenter schnell überlastet ist. Damit fällt diese Schutz-Methode weg. Deshalb gehen neuere Ansätze den Weg über die Vergrösserung des Schutzschildes, indem zum Beispiel die WebSite von mehreren DataCentern gleichzeitig ausgeliefert wird. Diese stehen auch noch geographisch verteilt. Damit fällt das Zielen schwer, in wenn eine Station getroffen ist, machen die anderen einfach weiter

Sonderfall Nameserver

Aufgrund ihrer zentralen Bedeutung für das Internet sind Nameserver Systeme bei Hackern sehr beliebt. Deshalb setzen auch Provider sehr gerne die Methode der verteilten Standorte ein. Wenn diese Schutzmaßnahme bei einem DNS angewendet wird,  sprechen wir von ANY Cast. Hier werden die Nameserver auf mehrere Standorte zu verteilt und nutzen aber alle die selbe (IP)Adresse. Auf diese Weise geht der Schuss ins Leere.

Schutz für Netzwerke

Für Netzwerke bieten sich ebenfalls verschiedene Maßnahmen gegen DDOS Attacken an. Wie Sie gleich an der Sprache feststellen werden, sind diese Methoden deutlich komplizierter, und sie verlangen dem Service-Anbieter wie dem unternehmenseigenen Netzwerk-Administrator eine Menge ab. Doch dafür sind sie auch äußerst sinnvoll und effektiv.

Strikte Reglementierung des ICMP-Protokolles

Das Internet Control Message Protocol (ICMP, spezifiziert in RFC 792) erfüllt als Transportschicht-Protokoll des Internets die Aufgabe, Fehler- und Diagnose-Informationen zu transportieren. Das „Ping“ gehört zu den bekanntesten Anwendungen von ICMP und ist bei Hackern ein sehr beliebtes Werkzeug. Daher muss es am Gateway strikt reglementiert werden. Das BSI hat hierzu ein Papier mit konkreten Hinweise veröffentlich, was hier zu tun ist.
Link: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05120.html

Absichern der DNS-Infrastruktur

Wie Sie bereits erfahren haben, ist auch das DNS-System gerne Bestandteil von DDOS-Attacken. Besonders wichtig ist deshalb das Absichern von sogenannten autoritativen DNS-Systemen, wie sie zum Beispiel bei der BB-ONE.net eingesetzt werden. Aber auch lokale DNS-Systeme, die ausschließlich als Resolver arbeiten, erfordern große Aufmerksamkeit, um sie zu schützen. Daher lohnt es sich, auch hier den Empfehlungen des BSI zu folgen, wie DNS-Systeme geschützt werden können.
Link: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_055.pdf?__blob=publicationFile&v=2

Was bietet BB-ONE.net seinen Kunden?

BB-ONE.net ist ausschliesslich auf Business-Kunden fokussiert und bietet den eigenen, aber auch Nicht-Kunden diverse Services zum Thema DDOS-Mitigation an. Dazu gehören:

  1. BB-ONE.net betreibt eigene, zentrale und redundante Firewalls, die allen Kunden standardmässig zur Verfügung stehen. Hier werden kund-spezifische Regelwerke einegstellt, die jeweils mit dem Kunden abgestimmt werden. Damit kann beispielsweise vermieden werden, dass unnötige Dienste nach „draussen“ exportiert und damit angreifbar werden.
  2. BB-ONE.net betreibt ein eigenes DNS-System mit weltweit verteilten Standorten.
  3. Die bei BB-ONE.net verwendete Server-Technologie macht es möglich, mit relativ geringem Aufwand Spiegelserver zu betreiben. Diese können lokal oder geographisch verteilt werden. BB-ONE.net betreibt hierzu eigene Infrastrukturen an mehreren Standorten.
  4. BB-ONE.net bietet redundante Load-Balancer an, die den bereits angesprochenen Spiegel-Servern vorgeschaltet werden. Damit kann die Last auf einzelne Server reduziert werden. Load-Balancing kann lokal oder geographisch verteilt betreiben werden.
  5. BB-ONE.net bietet Beratung zu diversen Last-Verteil-Technologien an, die mit DNS- oder mit Proxy-Technologie arbeiten.
  6. BB-ONE.net kooperiert mit international aufgestellten DDOS-Vermeidungs-Spezialisten, darunter mit den beiden Marktführern.
  7. Bereits bei der Erst-Beratung, die idealerweise den Vertragsverhandlungen vorangeht, werden diese Möglichkeiten angesprochen.
    Die Implementierung ist bei der Konzeptionierung deutlich einfacher, besser und mit geringeren Kosten verbunden, als diese nachträglich einzuführen.

Weitere Links zum Thema

Wenn Sie noch mehr über Maßnahmen gegen DDOS Angriffe erfahren möchten oder weitere Hintergrund-Infos suchen, dann empfehlen wir Ihnen folgende Links:

Zum Schluss haben wir noch einen Tipp für Sie. Behalten Sie das Webinar-Angebot der Business Vitamine und des eBusiness Lotsen Berlin im Auge. Denn auch hier wird es bald Veranstaltungen zum Thema „Maßnahmen gegen DDOS“ geben. Bleiben Sie dran! Wir unterstützen Sie dabei.