{"id":687,"date":"2024-10-11T13:59:34","date_gmt":"2024-10-11T13:59:34","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=687"},"modified":"2024-10-11T13:59:34","modified_gmt":"2024-10-11T13:59:34","slug":"terrabyte-grose-ddos-attacken-automatisch-abwehren","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=687","title":{"rendered":"Terrabyte-gro\u00dfe DDoS-Attacken automatisch abwehren"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Verbesserte Schutzmechanismen helfen auch gegen die gr\u00f6\u00dften DDoS-Angriffe.\n<p class=\"imageCredit\">TenPixels \u2013 shutterstock.com<\/p>\n<\/div>\n<p>DDoS-Attacken sind ein beliebtes Mittel f\u00fcr Cyber-Kriminelle, um Unternehmen zu erpressen. Besonders \u00e4rgerlich ist dies, wenn es sich um Services wie\u00a0<a href=\"https:\/\/www.computerwoche.de\/article\/2732502\/sony-hacker-seit-jahren-aktiv.html\" target=\"_blank\" rel=\"noopener\">Online-Dienste<\/a>\u00a0handelt.<\/p>\n<p>Doch was genau sind Distributed-Denial-of-Service (<a href=\"https:\/\/www.computerwoche.de\/article\/2809758\/was-ist-ein-ddos-angriff.html\" target=\"_blank\" rel=\"noopener\">DDoS<\/a>) Angriffe, wie werden sie durchgef\u00fchrt und wie lassen sie sich verhindern bzw. bek\u00e4mpfen?<\/p>\n<p>Hiermit haben sich die Experten von Cloudflare besch\u00e4ftigt. Das US-amerikanische Unternehmen offeriert Netzwerkdienste und Sicherheitsl\u00f6sungen.<\/p>\n<h3 class=\"wp-block-heading\">Immer gr\u00f6\u00dfere und st\u00e4rkere Angriffe<\/h3>\n<p>Das Unternehmen gibt an, seit Anfang September \u00fcber hundert gro\u00dfe\u00a0<a href=\"https:\/\/www.computerwoche.de\/article\/2792724\/warum-ddos-attacken-immer-gefaehrlicher-werden.html\" target=\"_blank\" rel=\"noopener\">Layer-3\/4- (L 3\/4)<\/a>\u00a0DDoS-Angriffe abgewehrt zu haben. Viele dieser Angriffe waren demnach \u00fcber zwei Milliarden Pakete und drei Terabit pro Sekunde (Tbps) schnell. Der st\u00e4rkste Angriff erreichte sogar 3,8 Tbps, der gr\u00f6\u00dfte jemals \u00f6ffentlich gemeldete Angriff.<\/p>\n<p>Das Ziel eines solchen DDoS-Angriffs ist es, legitimen Benutzern den Zugang zu einem Dienst zu verwehren. Dies geschieht in der Regel, indem die Aggressoren die erforderlichen Ressourcen, um den Service bereitzustellen, ersch\u00f6pfen. Im Zusammenhang mit den j\u00fcngsten DDoS-Angriffen auf L 3\/4 handelt es sich bei diesen Ressourcen um CPU-Zyklen und Netzwerkbandbreite.<\/p>\n<p>Insgesamt gibt es zwei Arten, um DDoS-Angriffe durchzuf\u00fchren und sich gegen sie zu wappnen:<\/p>\n<h3 class=\"wp-block-heading\">Ein faules Paket<\/h3>\n<p>Im ersten Fall senden die Angreifer viele Pakete, die die CPU-Ressourcen eines Systems \u00fcberlasten. Dies liegt daran, dass jedes Paket CPU-Zyklen ben\u00f6tigt, um es zu verarbeiten. Dadurch k\u00f6nnen legitime Benutzer nicht mehr auf die Dienste zugreifen.<\/p>\n<p>Um sich gegen solche Angriffe zu sch\u00fctzen, gilt es, schlechte Pakete mit minimalem CPU-Aufwand zu untersuchen und zu verwerfen, damit gen\u00fcgend Ressourcen f\u00fcr legitimen Traffic bleiben. Eine m\u00f6gliche Abwehrstrategie ist, schnellere oder zus\u00e4tzliche CPUs einzusetzen, was jedoch kostspielig und zeitaufwendig sein kann.<\/p>\n<h3 class=\"wp-block-heading\">Auf der Leitung stehen<\/h3>\n<p>Netzwerkbandbreite zu \u00fcberlasten ist die zweite Art, DDoS-Angriffe durchzuf\u00fchren. Bandbreite l\u00e4sst sich mit einem Rohr verglichen, durch das Daten flie\u00dfen. Wenn ein Angreifer mehr Datenm\u00fcll sendet, als das Netzwerk verarbeiten kann, werden sowohl legitime als auch sch\u00e4dliche Daten verworfen, wodurch der Angriff erfolgreich ist.<\/p>\n<p>Solche Angriffe abzuwehren, ist schwierig, da auf der nachgelagerten Seite der \u00fcberlasteten Leitung nur begrenzte Optionen bestehen: Man kann allerdings<\/p>\n<p>eine gr\u00f6\u00dfere Leitung verwenden,<\/p>\n<p>legitimen Datenverkehr auf andere Leitungen umleiten oder<\/p>\n<p>die vorgelagerte Seite bitten, weniger Daten zu senden.<\/p>\n<h3 class=\"wp-block-heading\">Ressourcen brauchen beide Seiten<\/h3>\n<p>Es zeigt sich, dass die Verteidiger schwierige und teure Aufgaben vor sich haben. Die Experten weisen allerdings auch darauf hin, dass die Angreifer ebenfalls CPU-Ressourcen ben\u00f6tigen, um Pakete zu erstellen. Oft ben\u00f6tigen sie aber weniger als die Verteidiger, um Pakete zu empfangen und abzuwehren. Dennoch ist es nicht kostenlos, Angriffe zu starten, und es erfordert erhebliche CPU-Leistung.<\/p>\n<p>Angreifer m\u00fcssen au\u00dferdem mehr Netzwerkbandbreite verbrauchen, als dem Ziel zur Verf\u00fcgung steht. Deshalb nutzen sie oft Verst\u00e4rkungsangriffe wie DNS-Verst\u00e4rkung, bei denen kleine Pakete \u00fcber einen Zwischendienst zu gro\u00dfen Paketen werden. Um solche Angriffe durchzuf\u00fchren, nutzen Angreifer oft Botnets, bestehend aus kompromittierten Ger\u00e4ten wie DVRs, Routern oder Webcams.<\/p>\n<h3 class=\"wp-block-heading\">Geteilte Last ist halbe Last<\/h3>\n<p>Ein globales Anycast-Netzwerk einzusetzen, um DDoS-Angriffe abzuwehren, ist hier laut den Experten vielversprechend. Denn diese Adressierungsart erm\u00f6glicht es, dass eine einzelne IP-Adresse von mehreren Servern weltweit genutzt wird. Dies verteilt Angriffe auf verschiedene digitale Schultern, je nachdem, woher die Attacke kommt.<\/p>\n<p>Infizierte Ger\u00e4te senden ihre Pakete an den jeweils n\u00e4chstgelegenen Server, wodurch der sch\u00e4dliche Traffic auf viele Standorte verteilt wird. Hiermit lassen sich Ressourcen effizient an die Regionen mit dem h\u00f6chsten legitimen Datenverkehr anpassen.<\/p>\n<p>Die Rechenzentren sind damit in der Lage, in stark frequentierten Gebieten mehr Bandbreite und CPU-Ressourcen bereitzustellen.<\/p>\n<h3 class=\"wp-block-heading\">Blinde Passagiere erkennen und unsch\u00e4dlich machen<\/h3>\n<p>Dieses Netzwerkdesign erlaubt es, Angriffe mit hoher Bandbreite besser zu bew\u00e4ltigen. Eingehender Angriffsverkehr l\u00e4sst sich auf symmetrische Weise verarbeiten.<\/p>\n<p>Obwohl die Bandbreite des Angriffs verteilt ist, m\u00fcssen die sch\u00e4dlichen Pakete noch identifiziert und verworfen werden. Daf\u00fcr k\u00f6nnen Komponenten eingesetzt werden, die XDP (eXpress Data Path) und eBPF (extended Berkeley Packet Filter) nutzen.<\/p>\n<p>Diese Technologien erm\u00f6glichen es laut Expertenmeinung, benutzerdefinierten Code im Kernel auszuf\u00fchren und Pakete direkt auf der Netzwerkkarte zu verarbeiten. Hierdurch werden sch\u00e4dliche Pakete effizient verworfen, ohne die CPU stark zu belasten.<\/p>\n<h3 class=\"wp-block-heading\">Den D\u00e4mon entfesseln<\/h3>\n<p>Damit die korrekten Pakete bek\u00e4mpft werden k\u00f6nnen, m\u00fcssen sie zuerst identifiziert werden. Hierf\u00fcr sollten sie auf verd\u00e4chtige Attribute \u00fcberpr\u00fcfen werden, die auf einen DDoS-Angriff hindeuten. Diese Analyse kann zum Beispiel durch einen Denial-of-Service-Daemon (dosd) erfolgen.<\/p>\n<p>Dieser erkennt mithilfe von Heuristiken, wann Ma\u00dfnahmen ergriffen werden m\u00fcssen. Dosd filtert zudem den Verkehr basierend auf Angriffsvektoren, erstellt Fingerabdr\u00fccke von verd\u00e4chtigen Mustern und identifiziert die besten Fingerabdr\u00fccke, um den Angriff zu bek\u00e4mpfen.<\/p>\n<p>Sobald ein Angriff erkannt wird, setzt der Daemon eine Entsch\u00e4rfungsregel in Form eines\u00a0<a href=\"http:\/\/www.brendangregg.com\/ebpf.html\" target=\"_blank\" rel=\"noopener\">eBPF-Programms<\/a>\u00a0ein, um den sch\u00e4dlichen Verkehr gezielt zu blockieren.<\/p>\n<h3 class=\"wp-block-heading\">Einer f\u00fcr alles, alles f\u00fcr einen<\/h3>\n<p>Anstatt separate \u201cScrubbing Center\u201d zu nutzen, um den Traffic zu s\u00e4ubern, sollte zudem auf jedem Server, einschlie\u00dflich der DDoS-Abwehr, eine entsprechende Sicherheitsproduktsuite autonom laufen, so die Experten. Jeder Server kommuniziert hierbei Anweisungen an andere Server und Rechenzentren, um die Attacke abzuwehren.<\/p>\n<p>Dies stellt sicher, dass Angriffe schnell und effektiv, unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe oder Verteilung, abgewehrt werden. Dadurch ist das Netzwerk widerstandsf\u00e4hig und erm\u00f6glicht, sofort auf Bedrohungen zu reagieren.<\/p>\n<h3 class=\"wp-block-heading\">Autonome Sicherheit und verbesserte Protokolle<\/h3>\n<p>Zus\u00e4tzlich sollten DDoS-Abwehrsysteme sowohl softwaredefiniert als auch autonom sein sowie \u00fcber das gesamte Netzwerk verteilt arbeiten, so die Experten. Der Fokus liegt hierbei auf dynamischen Fingerprinting-Techniken.<\/p>\n<p>Diese Techniken gilt es, durch zus\u00e4tzliche Schutzsysteme wie Advanced Transmission Control Protocol (TCP) Protection und Advanced (Domain Name System) DNS Protection zu erg\u00e4nzen.<\/p>\n<p>Diese Systeme m\u00fcssen zudem in der Lage sein, komplexe DDoS-Angriffe, die auf TCP- und DNS-Protokollen basieren, zu erkennen und zu blockieren. Zus\u00e4tzlich sollten sie statistische Analysen nutzen. Weitere Verteidigungsma\u00dfnahmen umfassen Echtzeit-Bedrohungsdaten, Traffic-Profiling und maschinelles Lernen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Verbesserte Schutzmechanismen helfen auch gegen die gr\u00f6\u00dften DDoS-Angriffe. TenPixels \u2013 shutterstock.com DDoS-Attacken sind ein beliebtes Mittel f\u00fcr Cyber-Kriminelle, um Unternehmen zu erpressen. Besonders \u00e4rgerlich ist dies, wenn es sich um Services wie\u00a0Online-Dienste\u00a0handelt. Doch was genau sind Distributed-Denial-of-Service (DDoS) Angriffe, wie werden sie durchgef\u00fchrt und wie lassen sie sich verhindern bzw. bek\u00e4mpfen? Hiermit haben sich die [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":688,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-687","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/687"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=687"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/687\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/688"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}