Gajus - Fotolia

DDoS-Abwehrdienste: Was Sie vor dem Einsatz wissen sollten

Bevor sich Firmen für ein DDoS-Abwehrsystem entscheiden, sollten sie einige Punkte beachten. Insbesondere im Hinblick auf DNS-Filtering.

Es gibt eine Aussage in der Branche, die besagt: „Es gibt zwei Arten von Kunden: Diejenigen, die DDoS-Abwehr nutzen, und diejenigen, die bislang nie einem DDoS-Angriff ausgesetzt waren“. Die Überlegung dahinter ist nicht schwer zu verstehen: Wenn man einmal einer solchen Attacke ausgesetzt ist, kann dies so traumatisch sein, dass man die DDoS-Abwehr von „wäre nett“ auf „haben muss“ hochstuft.

Im Jahr 2015 publizierten die Universität von Leuven in Belgien und die Stony Brook Universität in New York eine Untersuchung namens „Maneuvering Around Clouds: Bypassing Cloud-Based Security Providers“. Darin geht es um die Probleme, die mit einer Reihe von bekannten Cloud-DDoS-Abwehrtechniken einhergehen. Das Papier beschreibt einen Angriffsvektor mittels des Tools CloudPiercer. Darüber können die Angreifer möglicherweise die notwendigen Informationen herausfinden, um bestimmte DDoS-Abwehrdienste zu umgehen. Genauer gesagt geht es um Cloud-basierte DDoS-Abwehrtechniken, die auf Änderungen im DNS (etwa DNS-Rerouting) setzen um DDoS-Traffic zu filtern.

Dienste, die so operieren, lassen den DNS-Eintrag des Kunden auf eine eigene Seite – oft auch als „Reinigungs-Center“ bezeichnet – weisen. Dort wird bösartiger Datenverkehr ausgefiltert, legitime Anfragen werden dagegen an den eigentlichen Kunden weitergeleitet. Das Dokument beschreibt, wie sich mit Hilfe von CloudPiercer die eigentliche zu schützende IP des Kunden herausfinden lässt. Dadurch kann der Angreifer die Abwehrmaßnahmen umgehen und die Seite direkt angreifen.

Nach dem ursprünglich hohen Interesse an den Ergebnissen dieser Untersuchung ist es etwas ruhiger geworden. Nichtsdestotrotz ist der eigentliche Angriffsweg noch immer durchaus relevant. DDoS-Attacken existieren immer noch und sind für Firmen, die sie erleben, ein echtes Problem. Ebenso ist es noch immer möglich, dass die eigentlich zu schützenden Seiten gefunden werden, wenn nur DNS-basierte Abwehrmethoden um Einsatz kommen. Konsequenterweise fragen sich viele Anwender, wie sie DDoS-Abwehr in der Cloud mit DNS Rerouting durchsetzen können – oder ob es im Zuge dieser Untersuchung überhaupt sinnvoll ist. Diese Frage lässt sich nicht einfach beantworten, aber sie lässt sich methodisch angehen. Wenn man sich vorab ein paar Fragen stellt und einige Punkte beachtet, kann dies im Ernstfall eine Menge Ärger sparen.

Probleme vorab erkennen

Zunächst ist es wichtig, dass Anwender die potentielle Schwachstelle, das so genannte „Origin Adress Discovery“, verstehen. Hierbei wird die eigentlich geschützte Zieladresse vom Angreifer gefunden. Dies gilt es bei der Evaluierung und Implementierung von DDoS-Abwehrsystemen mit einzubeziehen. Genauer gesagt muss verstanden werden, warum dies so wichtig ist. Größere Kunden haben möglicherweise die Option, in bestimmten Situationen zwischen DNS und BGP für die Durchleitung des Datenverkehrs zu entscheiden. Das geht etwa dann, wenn eigene Hardware ausgerollt und das Unternehmen mindestens einen Class C Block für IP-Adressen besitzt. Obwohl ein Routing per BGP eigene Probleme mit sich bringt, kann es sich im Zweifelsfall durchaus lohnen, auf diese Technik umzusteigen. Wichtig ist, dass der potentiellen Anbieter in Vorabgesprächen gezielt auf die Schwachstelle angesprochen wird. So können Sie herausfinden, wie dieser das Problem angeht und die wichtigen Kundendaten schützt.

Angreifbarkeit testen

Zweitens ist es wichtig, regelmäßig zu prüfen, ob die eigenen Daten nicht bereits für Angreifer verfügbar sind. Es gibt vielfältige Möglichkeiten, an diese Daten zu kommen und das CloudPiercer-Tool überprüft nur einige, aber längst nicht alle davon. Ein Leak kann auf viele Arten geschehen: Ein Webentwickler könnte wichtige Informationen aus Versehen in einem Kommentar hinterlassen, ein MX-Eintrag könnte die Daten verraten, selbst X.509 Zertifikate können geschwätzig sein. Daher ist es sinnvoll, alle verfügbaren Methoden anzuwenden, um sicherzustellen, dass man selbst keine sensitiven Daten nach außen trägt. Dazu gehören beispielsweise Scanner, Tools zum Test von Anwendungen oder DLP. Bei Tests muss aber klar sein, dass diese nur den jeweiligen Ist-Zustand beschreiben und keine ewig gültige Sicherheit für die Zukunft garantieren.

Als nächstes lohnt es sich, den Anti-DDoS-Dienst selbst genau unter die Lupe zu nehmen. Es wäre falsch, solche Dienste wie eine Versicherung einzustufen, die nur dann sichtbar sind, wenn man sie wirklich benötigt. Besser ist es, wenn man als Unternehmen selbst einen Testangriff auf den Dienst durchführt, seriöse Anbieter lassen dies meist zu oder helfen sogar, so einen Test zu organisieren. Dabei geht es nicht darum, etwa Anonymous zu einer Attacke zu inspirieren, sondern vielmehr eine kurze Demonstration in einer geregelten Umgebung durchzuführen.

Regeln für den Datenverkehr

Zuletzt sollte es Regeln geben, wie mit Datenverkehr umgegangen wird, der nicht aus dem Reinigungs-Center des Anbieters auf die Webseite trifft. Einige Anbieter bieten an, diesen Verkehr komplett zu filtern. Das kann ein guter Ansatz sein, es kann aber Situationen geben, in denen dies nicht möglich ist. Dazu gehören etwa Legacy-Systeme, die über fest eingespeicherte IP-Adressen auf Dienste zugreifen und sich nur schwer ändern lassen. Glücklicherweise gibt es noch andere Optionen: Es lassen sich etwa IDS oder andere Überwachungssysteme verwenden, die das IT-Team benachrichtigen, wenn unerwartete Datenkommunikation im System auftaucht. Das verhindert zwar keinen DDoS, es kann aber frühzeitig warnen und dem Unternehmen Zeit geben, entsprechende Gegenmaßnahmen zu treffen.

Die Entscheidung für einen DNS-basierten Abwehrmechanismus für DDoS-Angriffe mag eine Herausforderung sein. Unternehmen können aber bei der Implementierung sicherstellen, dass sie genau den Schutz erhalten, den sie brauchen und bezahlen. Werden potentielle Angriffswege wie Origin Adress Discovery verstanden und in die Planung (und nachfolgende Tests) mit einbezogen, können Firmen den Angreifern einen Schritt voraus bleiben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren.

DDoS-Angriffe: Anzahl und Häufigkeit nimmt zu.

So können Unternehmen DDoS-Angriffen richtig begegnen.

DDoS-Attacken erfolgen auch auf firmeninterne Ressourcen.

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close