News
Insights

DDoS-Attacke - Die Zeichen stehen auf Angriff!

Cyberkriminalität ist in aller Munde - selbst Bundesbern beschäftigt dieses Thema mehr und mehr! - und digitale Angriffe gehören im Internet zum Alltag. Die Schweizer Cloud- und Webhosting Services von Hostfactory sehen sich seit rund 10 Tagen massivsten Distributed Denial of Service (DDoS) Attacken ausgesetzt. Doch warum ist das so und was sind DDoS-Attacken überhaupt?

Massive Angriffswellen gegen die Webhosting Infrastruktur

Es ist in der Tat eine intensive Zeit für unsere Webhosting Ressourcen in unserem Zentralschweizer Rechenzentrum und es sind wahrlich lange Tage mit kurzen Nächten für jene, welche bei uns genau diese Cloud Services rund um die Uhr betreuen: Pünktlich zu Monatsbeginn sind unsere Netzwerke ins Visier ausgeprägter DDoS-Attacken geraten, welche bis heute - ausserordentlich andauernd und ausgeprägt! - anhalten. Meistens funktionierten derweil unsere Services trotzdem ausreichend und dank ausgeklügelter Mitigation der übderdurchschnittlichen Angriffe waren praktisch alle Kundenservices meist gar nicht oder nur am Rande spürbar betroffen.

Image: ddos-attacke.jpg
Trotz der seit anfangs November - nun seit rund zehn Tagen! - gegen die Webhosting und Cloud Server Infrastrukturen von Hostfactory verübten, massiven DDoS-Attacken funktionieren die Kundensysteme - ausgenommen kurzfristige Ausnahmen - störungsfrei.

Was ist eine DDoS-Attacke?

Grundsätzlich geht es bei derartigen Angriffen, wie es der Name "Denial of Service" vermuten lässt, eigentlich darum, die Angriffsziele durch andauernde Überlastung in die Knie zu zwingen, bis diese letztlich ihre Aufgabe nicht mehr erfüllen können, Cloud Services also unerreichbar werden.

Dienstverweigerung durch Überlastung

Diese Überbeanspruchung von Ressourcen wird herbeigeführt, indem eine Unmenge von Daten an das Angriffsziel adressiert werden. Während eine DoS-Attacke von einem einzigen Client initiiert wird, wird für eine DDoS-Attacke - das erste "D" steht für "distributed", zu deutsch "verteilt" - ein Botnetz aufgebaut, so dass die unmenge von Daten ab einer Vielzahl angreifender Clients initiiert werden. Das Ausmass einer verteilten DoS-Attacke, also von einer DDoS-Attacke ist in aller Regel viel grösser, eine effektive Bekämpfung viel komplizierter. Grundsätzlich gilt es drei Arten von DoS-Attacken zu unterscheiden:

- DoS durch Überlastung der Bandbreite
- DoS durch Überlastung von Systemressourcen
- DoS durch Überlastung einer Software

DDoS-Angriffe meist auf Network- oder Transfer-Layer

Die häufigsten Denial of Service Attacken passieren auf Layer 3, also der "Vermittlungsschicht (Network Layer)", oder auf Layer 4, also der "Transportschicht (Transport Layer)", durch die Überlastung von Bandbreite und oder Systemressourcen. Zumal aber die technischen Abwehrmöglichkeiten in den vergangenen Jahren vielerorts verbessert wurden, gewinnen je länger je mehr auch DoS-Attacken auf Layer 7 (OSI-Modell), also der "Anwendungsschicht (Application Layer)" an Bedeutung.

Meist passiert DDoS auf Layer 3 oder 4, immer öfter aber auch auf Layer 7, also der Anwendungsschicht

SYN FLOOD und ICMP FLOOD als Angriffswaffe

Im aktuellen Fall der momentan auf die Schweizer Webhosting Infrastruktur von Hostfactory verübten Angriffe werden hauptsächlich SYN- und ICMP-Flooding als Angriffswerkzeug verwendet. Es handelt sich hierbei um sogenannte Low-Level DoS- oder DDoS-Angriffe, zu welchen auch Smurf-Attacken oder das sogenannte Connection-Flooding gehören.

ICMP-Protokoll für Flooding missbraucht

Das ICMP-Protokoll kennen Sie vermutlich, wenn Sie bereits einmal einen "PING"-Request ausugeführt haben, um beispielsweise die Erreichbarkeit eines Computers oder eines Hosts zu überprüfen. Werden nun zig-tausende oder gar millionen derartiger ICMP-Pakete aus einem grösseren Bot-Netz, also ab vielen verschiedenen Clients gleichzeitig an ein Ziel adressiert, so wird das empfangende System versuchen, all diese Anfragen korrekt zu bearbeiten. Ab einem gewissen Grenzwert wird der Server so überlastet und ausfallen: Denial of Service.

Wie funktioniert eine TCP-Verbindung?

Um zu verstehen, wie ein SYN-Flooding vonstatten geht, muss man das TCP Protokoll in seinen Grundzügen verstehen: Für den Aufbau einer TCP-Verbindung auf Layer 4 (Transport Layer) sendet das eröffnende System, also der Client, ein Datenpaket, auf welches das SYN-Flag gesetzt wurde zum Zielsystem. Dieses Paket wird hier empfangen, wobei der Server einen Eintrag in seine Verbindungstabelle schreibt und anschliessend, als Quittung ein SYN-ACK Paket retourniert. Im ordentlichen Betrieb sendet nun abschliessend der anfragende Client ein ACK-Paket an den Server zurück, um so den erfolgreichen Aufbau der Verbindung abzuschliesen. Bei diesem Verfahren für eine Verbindungsherstellung per TCP Protokoll spricht man von einem 3-Way-Handshake: SYN vom Client zum Server, SYN-ACK vom Server zum Client und abschliessend ACK noch einmal vom Client zum Server.

Eine TCP-Verbindung wird per Threeway-Handshake aufgebaut.

Halboffene Verbindungen durch DDoS durch ICMP-Flooding

So weit so gut. - Im Missbrauchsfall, also bei einer DDoS-Attacke per SNY-Flood macht sich der oder die Angreifer genau den obigen Mechanismus eines "Threeway-Handshake" zu nutze. Er beginnt den Vorgang genau so, verzichtet dann aber auf den dritten Schritt, also das letzte ACK-Paket, welches den erfolgreichen Verbindungsaufbau abschliessen würde. - Der gute Server wartet nun aber eine gewisse Zeit auf diese Quittung, zumal eine solche ja auch im Normallfall einmal verspätet eintreffen könnte. Man spricht derweil von einer halboffenen Verbindung, welche im Speicher des Netzwerkstacks behalten wird, um möglicherweis doch noch erfolgreich etabliert zu werden. Der Angreifer denkt aber nicht im geringsten daran, dieses "ACK" nachzuliefern, sondern eröffnet vielmehr viele weitere SYN-Anfragen, welchen er dann wiederum das "ACK" vorenthält. Der Speicher beginnt sich zu füllen, bis schliesslich keine weiteren Verbindungen mehr aufgebaut werden können: Denial of Service.

Halboffene Verbindungen füllen den Speicher bis der Denial of Service erreicht wird

Der SYN-Flood Reflection DDoS-Angriff

Eine Variante von SYN-Flooding stellen darüber hinaus sogenannte "SYN-Flood-Reflection Attacks" dar. Hierbei fälscht der Angreifer die Herkunft einer SYN-Anfrage und verwendet hierbei die IP-Adresse des eigentlichen Opfers als "Absender" und sendet dieses Paket an irgendein beliebiges System dieser Welt, welches per irgendeinen TCP-Port öffentlich erreichbar ist und somit - meist unbewusst - als Mittelsmann zu agieren beginnt: Die SYN-ACK Antwort wird dann nämlich von diesem, in aller Regel ungewollten, Helfer an den vermeintlichen Absender retourniert. Hierbei kann die Anzahl Pakete je "Mittelsmann" und Zeit sehr gering gehalten werden, so dass dieses Gebaren von demselben oft gar nicht bemerkt wird. Ist die Anzahl derartiger Helfersysteme aber gross genug, wird die Anzahl der an den gefälschten Absender, also an das eigentliche Opfer, gesandten SNY-ACK-Pakete dennoch derart enorm, dass es so durch Bandbreiten- und oder Ressourcenauslastung früher oder später ebenfalls zum angestrebten Denial of Service kommt.

Verwende ich als Angreifer nun obendrein noch ein ansehnliches Botnet, welches ich mir zuvor fein säuberlich aufgebaut habe und mir nun helfen gleichzeitig eine Vielzahl SYN-Pakte parallel zu versenden, kann ich obige Vorgänge entsprechend multiplizieren, die Angriffswelle also maximieren.

Helfersysteme und Botnetze multiplizieren oftmals unbemerkt die Angriffskraft gegen ein DDoS-Ziel

DDoS-Protection: Eine komplexe Verteidigungsarmee

Während man einzelnen DoS-Attacken per mehr oder minder unkomplizierte Firewall-Architekturen erfolgreich entgegentreten kann, wird die Sache bei einer Distributed Denial of Service Attacke deutlich komplexer. Einerseits funktioniert der Schutz vor Bandbreitenüberlastung nur in Zusammenarbeit mit den zuständigen Upstream Carriers und andererseits stellt die Triage von guten und schlechten Paketen sowohl quantitativ als auch qualitativ höchste Ansprüche!

DDoS-Angriffe müssen bereits auf den Backbones eine Mitigation erfahren

Werden gegen ein Angriffsziel derart viele Pakete adressiert, dass es aufgrund der enormen Datenmenge zum Stau auf der "Einfahrt" (Bandbreite!) zu den Zielsystemen kommt, müssen die Filtermechanismen bereits auf den massiv grösszügiger dimensionierten Backbones der Carriers greifen können. Und um diese schier unglaubliche Vielzahl eingehender Pakete innert nützlicher Frist derart inspizieren zu können, dass so eindeutig wie möglich entschieden werden kann, ob gut oder böse, ob gewollt oder ungewollt, erfordert hochintelligente und äusserst leistungsstarke Filterarchitekturen. Nur so ist es möglich, dass auch während einer starken Angriffswelle wie sie seit Monatsanfang beispielsweise auf die Webhosting- und Cloud-Server-Infrastrukturen von Hostfactory verübt werden, die stabile Verfügbarkeit der einzelnen Hosting Services gewährleistet bleibt.

Performante, effiziente und komplexe, mehrstufige Filtermechanismen ermöglichen einen Umfangreichen Schutz vor Denial of Service Attacken.

DDoS-Schutz für Webhosting und unsere Schweizer Cloud Server

Für unsere Schweizer Webhosting Umgebungen und für unsere Cloud Server (VPS) Infrastrukturen verfügt Hostfactory über eine umfangreiche, mehrstufige DDoS-Protection, welche auch grosse Attacken in aller Regel genügend mitigieren kann: Abgesehen von einzelnen Ausnahmen blieben die Kundensysteme während der letzten Tage trotz massivster und ausserordentlich langanhaltender Angriffswellen verfügbar. - Für diese Ausnahmen, während welcher wir die Verfügbarkeit einzelner Kundenservices temporär nicht oder nur eingeschränkt haben sicherstellen konnten, möchte ich mich an dieser Stelle in aller Form entschuldigen. Es sei versichert, dass wir jederzeit alles daran setzen, um derartiges tunlichst zu vermeiden. Auch aus den jüngsten Vorfällen werden wir möglichst viele Lehren ziehen, um den Schutz gegenüber der unseren Kunden angebotenen Hosting Dienstleistungen weiter zu optimieren!

Das Schweizer Webhosting von Hostfactory verfügt über mehrschichtigen DDoS-Schutz

Also, weiterhin:
Auf in Kampf!
Wir bleiben dran.
Tagtäglich, versprochen!

In diesem Sinne also...

Mit Begeisterung!
Andi Herzig

hostfactory.ch
Einblicke