Ob die Mitarbeiter das Fehlen des Schmuckstückes bemerken, wissen wir nicht. Doch fest steht, dass sie mit der Situation überfordert waren und etwas wichtiges abhanden gekommen ist. In der Welt des Internets handelt es sich hier in der Regel um Zugangsdaten.
Das passiert beim Provider
Während eines DDOS-Angriffs wird sich das Personal des Hosting-Anbieters überwiegend mit zwei Dingen befassen: erstens mit der Abwehr des Angriffes und zweitens mit dem Beantworten von wütenden Kunden-Telefonaten. In dieser Zeit kann leicht ein vorher bereits eingebrachtes Skript starten, welches Hintertüren einbaut, Betriebssystem-Befehle umbiegt, Passwörter ändert oder Logfiles löscht. Vielleicht wird aber auch eine Kundendatenbank kopiert und nach dem Ende des Angriffs abtransportiert.
Welche Maßnahmen gegen DDOS helfen?
Noch vor zwei Jahren arbeiteten Internet Service Anbieter mit der Methode „viel hilft viel“. Die Investitionen in möglichst hohe Bandbreiten sorgten für eine relative Sicherheit bei „normalen“ Angriffen, denn die große Außenanbindung fing das Problem einfach auf.
Verteilte Systeme
Doch das hat sich grundlegend geändert. Denn die heutigen Angriffe nutzen riesige Bandbreiten exakt auf ein Ziel, so dass ein einzelnes DataCenter schnell überlastet ist. Damit fällt diese Schutz-Methode weg. Deshalb gehen neuere Ansätze den Weg über die Vergrösserung des Schutzschildes, indem zum Beispiel die WebSite von mehreren DataCentern gleichzeitig ausgeliefert wird. Diese stehen auch noch geographisch verteilt. Damit fällt das Zielen schwer, in wenn eine Station getroffen ist, machen die anderen einfach weiter
Sonderfall Nameserver
Aufgrund ihrer zentralen Bedeutung für das Internet sind Nameserver Systeme bei Hackern sehr beliebt. Deshalb setzen auch Provider sehr gerne die Methode der verteilten Standorte ein. Wenn diese Schutzmaßnahme bei einem DNS angewendet wird, sprechen wir von ANY Cast. Hier werden die Nameserver auf mehrere Standorte zu verteilt und nutzen aber alle die selbe (IP)Adresse. Auf diese Weise geht der Schuss ins Leere.
Schutz für Netzwerke
Für Netzwerke bieten sich ebenfalls verschiedene Maßnahmen gegen DDOS Attacken an. Wie Sie gleich an der Sprache feststellen werden, sind diese Methoden deutlich komplizierter, und sie verlangen dem Service-Anbieter wie dem unternehmenseigenen Netzwerk-Administrator eine Menge ab. Doch dafür sind sie auch äußerst sinnvoll und effektiv.
Strikte Reglementierung des ICMP-Protokolles
Das Internet Control Message Protocol (ICMP, spezifiziert in RFC 792) erfüllt als Transportschicht-Protokoll des Internets die Aufgabe, Fehler- und Diagnose-Informationen zu transportieren. Das „Ping“ gehört zu den bekanntesten Anwendungen von ICMP und ist bei Hackern ein sehr beliebtes Werkzeug. Daher muss es am Gateway strikt reglementiert werden. Das BSI hat hierzu ein Papier mit konkreten Hinweise veröffentlich, was hier zu tun ist.
Link: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05120.html
Absichern der DNS-Infrastruktur
Wie Sie bereits erfahren haben, ist auch das DNS-System gerne Bestandteil von DDOS-Attacken. Besonders wichtig ist deshalb das Absichern von sogenannten autoritativen DNS-Systemen, wie sie zum Beispiel bei der BB-ONE.net eingesetzt werden. Aber auch lokale DNS-Systeme, die ausschließlich als Resolver arbeiten, erfordern große Aufmerksamkeit, um sie zu schützen. Daher lohnt es sich, auch hier den Empfehlungen des BSI zu folgen, wie DNS-Systeme geschützt werden können.
Link: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_055.pdf?__blob=publicationFile&v=2
Was bietet BB-ONE.net seinen Kunden?
BB-ONE.net ist ausschliesslich auf Business-Kunden fokussiert und bietet den eigenen, aber auch Nicht-Kunden diverse Services zum Thema DDOS-Mitigation an. Dazu gehören:
- BB-ONE.net betreibt eigene, zentrale und redundante Firewalls, die allen Kunden standardmässig zur Verfügung stehen. Hier werden kund-spezifische Regelwerke einegstellt, die jeweils mit dem Kunden abgestimmt werden. Damit kann beispielsweise vermieden werden, dass unnötige Dienste nach „draussen“ exportiert und damit angreifbar werden.
- BB-ONE.net betreibt ein eigenes DNS-System mit weltweit verteilten Standorten.
- Die bei BB-ONE.net verwendete Server-Technologie macht es möglich, mit relativ geringem Aufwand Spiegelserver zu betreiben. Diese können lokal oder geographisch verteilt werden. BB-ONE.net betreibt hierzu eigene Infrastrukturen an mehreren Standorten.
- BB-ONE.net bietet redundante Load-Balancer an, die den bereits angesprochenen Spiegel-Servern vorgeschaltet werden. Damit kann die Last auf einzelne Server reduziert werden. Load-Balancing kann lokal oder geographisch verteilt betreiben werden.
- BB-ONE.net bietet Beratung zu diversen Last-Verteil-Technologien an, die mit DNS- oder mit Proxy-Technologie arbeiten.
- BB-ONE.net kooperiert mit international aufgestellten DDOS-Vermeidungs-Spezialisten, darunter mit den beiden Marktführern.
- Bereits bei der Erst-Beratung, die idealerweise den Vertragsverhandlungen vorangeht, werden diese Möglichkeiten angesprochen.
Die Implementierung ist bei der Konzeptionierung deutlich einfacher, besser und mit geringeren Kosten verbunden, als diese nachträglich einzuführen.
Weitere Links zum Thema
Wenn Sie noch mehr über Maßnahmen gegen DDOS Angriffe erfahren möchten oder weitere Hintergrund-Infos suchen, dann empfehlen wir Ihnen folgende Links:
- https://ripe73.ripe.net/presentations/18-ddos_root_ripe73.pdf
- http://wwwhome.cs.utwente.nl/~schmidtr/docs/aims2016.pdf
- https://de.wikipedia.org/wiki/Anycast
- Aktueller Link ( Q2 2017): State of the Internet
Zum Schluss haben wir noch einen Tipp für Sie. Behalten Sie das Webinar-Angebot der Business Vitamine und des eBusiness Lotsen Berlin im Auge. Denn auch hier wird es bald Veranstaltungen zum Thema „Maßnahmen gegen DDOS“ geben. Bleiben Sie dran! Wir unterstützen Sie dabei.