ake78 (3D & photo) - Fotolia

Unternehmen auf Cloud-DDoS-Attacken vorbereiten

Angriffe durch Cloud-DDoS-Attacken werden immer wahrscheinlicher. Wir zeigen, wie sich Unternehmen darauf vorbereiten können.

Angriffe per Distributed Denial of Service, kurz DDoS, nehmen zu. Das liegt unter anderem daran, dass immer einfacher wird, selbst große Unternehmen anzugreifen. Angreifer greifen verstärkt auf Cloud-Anbieter zurück. Deren Geschäftsmodelle beinhalten oftmals Optionen für leistungsstarke Datenleitungen von und zu den virtuellen Systemen. Diese lassen sich leicht nutzen, um DDoS-Angriffe auf eine neue Stufe zu heben. Wie können sich Unternehmen auf so eine Bedrohung vorbereiten?

Was bisher geschah

2012 nutzte eine Gruppe von digitalen Kriminellen eine Schwachstelle in Elasticsearch 1.1.x (CVE-2014-3120) in Kombination mit dem Linux-DDoS-Trojaner Mayday, um einige von Amazons Elastic Cloud Computer VMs zu übernehmen. Diese Schwachstelle war zwar nicht exklusiv auf Cloud-Systeme zugeschnitten, sie eröffnete aber ein paar interessante Möglichkeiten für die Angreifer. Sie konnten unter anderem UDP-basierte DDoS-Angriffe von diesen Cloud-Systemen aus starten. Damit nutzten die Angreifer die massive Bandbreite von Amazon für ihren Angriff. Das hat nicht nur Nachteile für den Angegriffenen, es kann auch dem Cloud-Anbieter schaden. Wenn dessen IP-Adressen für so einen Angriff missbraucht werden, können sie leicht auf der Blacklist in Firewalls landen.

Die Risiken einer Cloud DDoS-Attacke

Die meisten Cloud-Anbieter schützen ihre Plattformen inzwischen mit Anti-DDoS-Maßnahmen. Dazu gehört auch, dass ausgehender Traffic überwacht wird, selbst das Herunterfahren potentiell kompromittierter Hosts kann eine Gegenmaßnahme sein. Dies kann den Anbieter selbst ziemlich gut schützen. Für den Besitzer einer VM kann ein unerwartetes Herunterfahren allerdings katastrophal sein, sorgt dies doch garantiert für den Ausfall von Systemen. Wer solche Systeme nutzt, muss entsprechend vorsorgen und die Cloud-basierten Hosts kontinuierlich überwachen. Aber auch außerhalb der Cloud-Umgebung kann es Risiken geben. Wen IPs auf Sperrlisten landen, kann dies etwa den Versand oder Empfang von E-Mails unmöglich machen und sogar den Zugriff auf Webseiten verhindern.

Cloud DDoS-Attacken erkennen und verhindern

Es gibt zahlreiche Fallbeispiele, die beschreiben, wie sich Risiken und Auswirkungen eines Cloud-basierten DDoS-Angriffs minimieren lassen. Jeder Cloud-Kunde sollte eine gehärtete, gut konfigurierte Firewall verwenden. Die Filter sollten beispielsweise ausgehenden NTP-Traffic blockieren oder den Zugriff auf externe Webserver blocken, wenn ein gewisser Schwellenwert übertreten wird. Diese Firewall sollte ebenfalls überwacht werden. Es ist eine Sache, Datenverkehr mit einer Firewall zu blocken, deutlich schwerer ist es, wenn die Ursache für die Attacke im eigenen Netzwerk liegt.

Die Ursache für eine DDoS-Attacke ist meist eine Malware, die sich auf einem oder mehreren Systemen installiert hat. Sie ist oftmals Teil eines größeren Botnets. Das sorgt dafür, dass die Angriffe noch mehr Wucht haben, zudem hat der Besitzer normalerweise kompletten Zugriff auf das infizierte System. Neben externen Attacken können die Kriminellen etwa auch Daten stehlen, gezielt Systeme oder Dienste abschalten und weitere Hosts infizieren. Eine gute Antimalware-Lösung auf jedem Endgerät ist daher ein absolutes Muss.

Zusätzlich lassen sich dedizierte Lösungen zur Abwehr von DDoS-Angriffen verwenden. Diese gibt es auch von Drittanbietern. Dabei wird der eigene Datenverkehr durch diese Produkte geleitet, alle bösartigen Pakete werden hier ausgefiltert. Wichtig: Wenn ein externer Anbieter genutzt wird, wird das Volumen des ausgehenden Traffics nicht reduziert. Daher ist es wichtig herauszufinden, welche Option für das eigene Unternehmen ideal ist.

Abschließend lohnt es sich, im Netzwerk Systeme zur Intrusion Detection und Intrusion Prevention anzubringen. Diese können verdächtigen bösartigen Datenverkehr aufspüren. Damit können sie nicht nur DDoS-Attacken erkennen, sie können bereits im Vorfeld Bots und Malware blocken.

Fazit

Wenn das eigene System für einen DDoS missbraucht wird, ist dies immer schlecht. In einer Cloud-Umgebung können sich die Auswirkungen allerdings schnell multiplizieren. Nicht nur, weil die betroffenen Systeme von einem Drittanbieter einfach abgeschaltet werden können. Darüber hinaus kann der anfallende Datenverkehr eine enorme Rechnung erzeugen. Mit den richtigen Gegenmaßnahmen lassen sich die Risiken aber kontrollieren. Dann können sich Unternehmen ganz auf die DDoS-Abwehr konzentrieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DDoS-Angreifer nutzen Cloud-Dienste.

DDoS-Angriffe: Die Bedrohungslage verschärft sich.

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren.

Wie Sie die Herkunft einer IP-Adresse vor Angreifern verbergen.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close