„Distributed Denial of Service”-Attacken (DDoS) sind mittlerweile einer der häufigsten Angriffe im Netz. Besserung ist nicht in Sicht. Eher das Gegenteil ist der Fall. Wie aber lassen sich DDoS-Angriffe erfolgreich abwehren?
Laut aktuellem Bericht des deutschen Sicherheitsunternehmens „Link11“ stieg die Zahl der Attacken im ersten Quartal 2017 im DACH-Raum im Vergleich zum Jahresanfang 2016 um unglaubliche 66,3 Prozent. Von Januar bis März 2017 wurden Unternehmen aus Deutschland, Österreich und der Schweiz insgesamt 11.510 Mal Opfer von DDoS-Angriffen. Anders ausgedrückt heißt das: alle zwei Minuten (!) gab es eine Attacke auf ein Unternehmen aus dem DACH-Gebiet. Ein umfassender Schutz vor solchen Angriffen ist daher unabdingbar.
Funktionsweise eines DDoS-Angriffs und seine Folgen
Ein DDoS-Angriff zielt darauf ab, die Bandbreite oder die Ressourcen eines Servers zu überlasten. Hierzu wird von verschiedenen Punkten im Internet eine Vielzahl gleichzeitiger Anfragen an den Server versandt. Dadurch wird der Dienst immer langsamer und instabiler. Unter Umständen ist er gar nicht mehr erreichbar. Internetkriminelle nutzen für diese DDoS-Attacken frei zugängliche Tools – viele erfordern nicht einmal tiefgehende IT-Kenntnisse. Die Motive der Angreifer sind dabei ganz unterschiedlich: Sie können persönlicher, politischer oder wirtschaftlicher Natur sein. Vor allem Unternehmen aus Industrie und Finanzen werden Opfer dieser Attacken und sollen Schutzgeld bezahlen. Nach „Link11“ verlangen die Internetkriminellen durchschnittlich 3 Bitcoin (aktuell etwa 10.800 Euro). Noch höher sind die Folgekosten für Unternehmen nach einem DDoS-Angriff: etwa 41.000 Euro für ein mittelständisches Unternehmen und bis zu 360.000 Euro für ein Großunternehmen. Auf diese Zahlen kam Kaspersky in einer Studie aus dem Jahr 2015. Es ist also nicht verwunderlich, dass einige Opfer auf die Forderungen der Kriminellen eingehen und das Schutzgeld bezahlen.
Neue Möglichkeiten für Internetkriminelle durch Botnetze
Diese gehen bei ihren Angriffen immer professioneller vor: War es in der Vergangenheit schwierig, ein einziges Ziel mit großen Datenmengen zu überfluten, vernetzen die Angreifer heute oft schlecht gesicherte Geräte aus dem Internet der Dinge (IoT) und schalten diese zu einem einzigen riesigen Botnetz zusammen. Auf diese Weise können Server mit zehntausenden Anfragen pro Sekunde angegriffen werden. Im September 2016 hielt der französische Provider OVH einer DDoS-Attacke von bis zu 1,1 Terabit pro Sekunde erfolgreich stand – der bis dato größte dokumentierte DDoS-Angriff überhaupt. Bei dieser Attacke kamen die Kapazitäten für den Angriff aus einem Botnetz von mehr als einer Million (!) Geräten aus dem IoT.
Abwehr eines DDoS-Angriffs
Wie konnte OVH diese DDoS-Attacken abwehren? Auf Basis einer VAC-Technologie („Vakuum-Umleitung“, bezeichnet eine Kombination von Technologien, die von OVH zum Schutz vor DDoS-Angriffen entwickelt wurde) nutzt OVH eine eigene Abwehrlösung. Mit dieser lassen sich alle Datenpakete mit hoher Geschwindigkeit in Echtzeit analysieren: Auf dem Server eingehender Traffic wird umgeleitet und unerwünschte IP-Pakete werden abgelehnt – nur erwünschte IP-Pakete werden weitergeleitet.
Wenn ein Angriff den Backbone erreicht, kommt es aufgrund der überschüssigen Bandbreiten-Kapazität (Gesamtbandbreite von 11 Tbit/s) dort nicht zu einer Überlastung von Verbindungs-Links. Sobald der Angriff beim Server ankommt, beginnt die Verarbeitung der Attacke. Gleichzeitig startet die Analyse des Traffics. Handelt es sich um eine Bedrohung, wird der automatische Schutz ausgelöst. Nach Start des Angriffs dauert es etwa 1 bis 60 Sekunden, und die Umleitung ist aktiviert. Der eingehende Traffic des Servers wird auf verschiedene VAC-Infrastrukturen umgeleitet, die eine Gesamtkapazität von über 3 Tbit/s aufweisen und in neun verschiedenen OVH Rechenzentren gehostet sind. Unabhängig von Umfang und Typ wird der Angriff ohne zeitliche Einschränkung blockiert. Erwünschter Traffic wiederum wird durch die VAC-Infrastruktur geleitet und gelangt so zum Server. Die Antworten des Servers gehen auf direktem Wege ins Netz – ohne Umweg über das VAC. Der DDoS-Schutz bleibt zur Sicherheit noch weitere 26 Stunden nach dem Angriff aktiv. Versucht ein Hacker in dieser Zeit wieder einen Angriff, wird dieser automatisch blockiert. Im Falle von Angriffen nach Ablauf von 26 Stunden wird der Schutz erneut aktiviert.
Verschiedene Ansätze, um DDoS-Attacken abzuwehren
Andere Hoster und Provider gehen mit unterschiedlichen Strategien an die Bekämpfung von DDoS-Attacken heran: Sie setzen auf spezielle Hardware, nutzen Lösungen wie Cloud-Scrubbing (externe Säuberungs-Dienste, die besonders große Bandbreite anbieten) oder greifen auf Blackholing zurück. Damit ist der Ausschluss von Anfragen gemeint, deren Quell-Adressen aus einem bestimmten IP-Bereich stammen. Nutzer aus eben diesem Bereich der IP-Adressen haben dann keinen Zugriff mehr auf den jeweiligen Server (Gegenstück ist das Sinkholing, hierbei sind einzelne Zieladressen für alle Besucher blockiert).
Um im Falle eines DDoS-Angriffs gut vorbereitet zu sein, sollten Unternehmen zusammen mit ihrem Provider eine entsprechende Abwehrstrategie festlegen. Hier sollte zum Beispiel definiert werden, welche konkreten Maßnahmen zum Einsatz kommen sollen. Auch gilt es, Prioritäten und Verantwortlichkeiten zu klären.
Dr. Jens Zeyer, Marketing & PR Executive, Marketing & Sales bei OVH Germany