Webinarreihe „Automatisierung in Minuten“ >
Zurück

DDoS – Ein aussichtsloser Kampf des Verstandes

  • Startseite
  • Chevron nach vorne
  • Blog
  • Chevron nach vorne
  • Ddos verlieren den Verstand

by Mark Harris 12. Juli 2017

Wir sind im dunklen Zeitalter der Cybersicherheit gefangen, in dem DDoS-Angriffe (Distributed Denial of Service) offline gehen. Selbst die am besten entworfenen und verwalteten Netzwerke sind jetzt anfällig für DDoS-Angriffe. Anscheinend befinden wir uns in einem ständigen Katz-und-Maus-Jagdspiel, da wir nicht in der Lage sind, effizient auf das erhöhte Volumen von DDoS-Angriffen zu reagieren.

Der Trend zu DDoS sieht nicht gut aus. Zuerst wurde die BBC durch einen 602-Gbit/s-Angriff lahmgelegt und dann selbst auf DDoS aufgerüstet 1.2 Tbps abheben Dyn. Sowohl das Miria- als auch das Leet-Botnet waren die beiden Hauptschuldigen. Diese Angriffe werden nicht so schnell verschwinden, wodurch das Volumen von Monat zu Monat zunimmt. Kombinieren Sie die ungesicherte Struktur des Internets mit der Einführung von Millionen ungesicherter IP-fähiger IoT-Objekte. Es bietet eine ziemlich rücksichtslose Startrampe, die eine neue Ära von Angriffen im Terabyte-Maßstab ermöglicht.

Die Schwere dessen, was noch kommen wird, wäre in Bezug auf das Ausmaß sicherlich gigantisch, als das, was wir bereits gesehen haben. Dieses Niveau ist etwas, das wir nicht bewältigen konnten und das Bestehende Lösungsmechanismen würden dramatisch zu kurz greifen.

Was brauchen wir?

Wir brauchen eine Lösung, die vollständig integriert ist und nicht nur Erkennung und Minderung betrifft. Das letzte Stück des Puzzles ist die End-to-End-Fehlerbehebung. Die Zusammenarbeit im Team ist ebenso wichtig wie die ausgeklügelten maschinellen Lernalgorithmen, die für die fortschrittliche Erkennung von Anomalien eingesetzt werden.

Der gesamte Prozess von ein Netzwerk abbilden und Fehlerbehebung bei DDoS-Angriffen müssen über eine Anwendungsprogrammierschnittstelle (API) gesteuert werden, um sowohl Erkennung als auch Abwehr zu ermöglichen, um eine vollständige Lösung zu bilden. Nur so können DDoS-Angriffe effizient bekämpft werden.

Was ist ein DDoS?

Die Geschmacksrichtungen von DDoS gibt es in vielen verschiedenen Verkleidungen, einige arbeiten tiefer im Stack, während andere höher auf Layer 7 operieren. Viele der neueren Arten von DDoS-Angriffen arbeiten parallel mit einer Kombination von Angriffen auf verschiedenen Schichten des OSI-Modells.

Mehr als oft sind sie nie einseitig und fungieren lediglich als Nebel, der einen separaten, gefährlicheren Angriff durch die Hintertür braut. Ein Beispiel für einen solchen Angriff könnte ein schwerer volumetrischer Angriff sein, der die Betriebsteams weiter verwirrt und die Leitungen füllt, während ein tödlich langsameres Hypertext Transfer Protocol (HTTP) verwendet wird. Angriff richtet den ganzen Schaden im Hintergrund an.

DDoS

Unabhängig von der Art von DDoS dienen sie alle dem gleichen Zweck – den Zieldienst offline zu schalten, damit er nicht auf legitime Verbindungen reagieren kann. Angriffe sind immer sichtbar, auch die anfänglichen Aufgaben des BotNets das Durchführen des Scannens kann Detektionen im System signalisieren.

BotNetze

Ein BotNet (auch bekannt als Zombie-Armee) ist eine Reihe kompromittierter, mit dem Internet verbundener Geräte, die verwendet werden, um einen destruktiven DDoS-Angriff zu starten. Die kompromittierten Maschinen werden unwissentlich zu einem großen Gewebe von DDoS-Angriffen zusammengefasst. Das Mirai-Botnet besteht aus Tausenden von ungesicherten IoT-Geräten (Internet of Things) wie schlecht gesicherten Routern und IP-Kameras, die Megavolumen erreichen.

BotNets können nichts selbst tun und müssen sich über versteckte Kanäle mit einem Befehl verbinden und die Server (C2/C&C) steuern, um eine Liste von Aktionen zu erhalten. Die infizierten Clients verbinden sich mit dem Server, um eine Liste mit Befehlen wie HOLD, TCP, UDP oder JUNK zu erhalten, und verwenden einen Payload-Generator, der zwischen diesen Befehlen umschaltet, wodurch sie schwer zu erkennen sind. Kürzlich wurde ein neues Mirai BotNet hat einen Anwendungsangriff auf einen unbemannten US-College-Server gestartet. Der durchschnittliche Verkehrsfluss betrug 30,000 Anfragen pro Sekunde (RPS) mit einem Spitzenwert von 37,000 RPS.

Wer verstärkt DDoS-Angriffe?

Wer steckt hinter diesen Angriffen und warum tun sie das? Es gibt zwei Hauptziele – eines ist für politische oder ideologische Überzeugungen bekannt als Hacktivismus, Vandalismus oder Cyberwarfare. Die andere ist rein finanziell motiviert, bekannt als DDoS-for-Hire, Erpressung und Ransom.

Digitale DDoS-Karte

Das Digitale DDoS-Karte zeigt die aktuell stattfindenden DDoS-Angriffe in Echtzeit an. Angriffe werden je nach Typ eingefärbt – TCP-Verbindung, Volumetrisch, Fragmentierung und Volumetrisch. Es zeigt auch die am meisten teilnehmenden Länder basierend auf Quelle und Ziel als gepunktete Linien an.

Primäre Ursachen?

  • In die Cloud pushen: Wir erleben eine Ära, in der sich Anwendungen in rasantem Wandel befinden und gleichzeitig auf das Cloud-Zeitalter zusteuern. Unternehmen nutzen die vorgefertigte globale Präsenz der Cloud, indem sie mit Softwarepaketen wie Office 365 auf den Software-as-a-Service-Ansatz (SaaS) für die IT umsteigen. Während kritische Dienste in die Cloud verlagert werden, bietet dies Kostenvorteile, Agilität und reduzierte Latenzzeiten und Verkehrsverwaltung. Es ändert das Sicherheitsparadigma und erfordert eine Neubewertung der Sicherheit.
  • Sicherheitsperimeter: Das Modell der Cloud verändert den Sicherheitsperimeter und eröffnet neue Wege für das Eindringen von Angriffen. Der Sicherheitsperimeter ist nicht länger statisch oder auf einen bestimmten lokalen Bereich beschränkt. Es wird an einen neuen Drittanbieter verbreitet, wodurch eine neue Tür und Angriffsfläche für DDoS geöffnet wird.
  • Internet der Dinge: IoT ermöglicht es Alltagsgegenständen, miteinander zu kommunizieren. Sie wird als die nächste industrielle Revolution bezeichnet und wird zweifellos unsere Kommunikationskultur verändern. IP-fähige Objekte würden unser individuelles Leben und unsere Städte effizienter machen. Leider haben viele der neuen IP-fähigen Geräte wenig oder gar keine Sicherheit. Ein kleines Objekt wie eine Glühbirne ist so leicht, dass nicht zu viel Sicherheit daran angebracht ist. Das regelmäßige Patchen von weit entfernten Geräten, die automatisch in den Ruhezustand versetzt werden, stellt ebenfalls eine Herausforderung dar. Die Kombination von Millionen von IoT-Objekten mit wenig oder keiner Sicherheit zu einem riesigen Botnet wird DDoS auf eine neue Ebene bringen.
  • Lizenz zum Herrschen: The Art of Networking stellt zahlreiche verschiedene Arten von Netzwerkdesigns vor. Es gibt keine Lizenz oder Regel, die zu einigen Netzwerken führt, die mit ausgezeichneter Sicherheit entwickelt wurden. Dadurch bleiben kritische Komponenten wie DNS-Proxys weit offen, damit ein Angreifer eindringen und als Startrampe genutzt werden kann. Häufiger bemerken wir, dass das Gateway des Heimbenutzers und offene DNS-Proxys verwendet werden, um DNS-Amplification-Angriffe zu starten. DNS basiert auf ungleichen Paketgrößen, einer kleinen DNS-Abfrage und großen Antworten. Dies bietet eine perfekte Spielwiese für einen Angreifer. Ein Angreifer kann eine Reihe kleinerer Pakete von gefälschten Hosts senden und den DNS-Server dazu bringen, mit größeren DNS-Paketen zu antworten, die den unerwarteten Host überwältigen.

Ein verlorener Kampf?

Wenn wir genau hinschauen, finden wir überall Schlaglöcher in der Sicherung. Die Probleme liegen in den Grundlagen der Vernetzung und ihrer Sicherung. Das Internet basiert auf globaler Zugänglichkeit, und die Protokolle, aus denen es besteht, wurden ursprünglich ohne Rücksicht auf Sicherheit entwickelt.

Globale Zugänglichkeit bedeutet, Autorität über die IP-Adresse einer Person zu haben, die sich an einem weit entfernten Ort befindet. Dies ist die Basis der Kommunikation, und wenn Sie die IP-Adresse von jemandem haben, können Sie leider auch einen Angriff auf sein System steuern. Dadurch befinden sich die Angriffsflächen auf einer sehr großen globalen Plattform, auf der jeder einen Angriff planen kann, wenn er möchte.

Die später hinzugefügten Sicherheitsmechanismen fungieren nur als Klumpen für das Netzwerk und erhöhen dadurch die Komplexität. IPsec ist eine Schweizer Armee voller Funktionen, die mit viel Gepäck einhergehen, das abstrahiert werden könnte.

Wie kommen wir zurecht?

Welche Änderungen können also sowohl im Netzwerk als auch in der Sicherheit vorgenommen werden, um den Schmerz dieser Ausfälle zu lindern? Nun, es gibt viele neue interessante Mechanismen im Bereich der DDoS-Erkennung und Abwehrseite, die die Lücke füllen können. Sehen wir uns einige Mechanismen an, die entwickelt wurden, um die Angriffe einzudämmen.

Fortschritt in der DDoS-Mitigation

An der Schadensbegrenzungsfront führen neue Konzepte wie die Sicherheitsdisaggregation neue Techniken ein, um den Zustand von Schadensbegrenzungsgeräten zu entfernen. Das Entfernen des Zustands ermöglicht einen angemessenen Schutz für diese Größenordnung und darüber hinaus. Der Status in einer Schutzgerät-Appliance verringert die Leistung auf ein Niveau, auf dem sie nicht mehr schützen kann.

Status irgendwo im Netzwerk zu haben, hemmt die Leistung, aber insbesondere in einer Appliance, die ihn nicht zum Weiterleiten von Paketen benötigt, macht es keinen Sinn. Die Sicherheitsdisaggregation verschiebt den Zustand außerhalb der Appliance außerhalb der eigentlichen Weiterleitung.

Fortschritt in der DDoS-Erkennung

An der Erkennungsfront helfen fortschrittliche maschinelle Lerntechniken bei der schnellen Erkennung. Aktuelle auf Anomalien basierende Erkennungssysteme sind eingeschränkt und nicht in der Lage, die neuere Art von Angriffen zu erkennen. Techniken des maschinellen Lernens wie Navies, Bayes, C4.5, SVM, KNN, K-Means und Fuzz bieten eine fortschrittliche Möglichkeit, Angriffe zu erkennen. Werden diese Änderungen an Lösungen ausreichen?

Die Notwendigkeit einer effizienten Fehlerbehebung

All diese neuen Mechanismen sind interessant, aber nutzlos, wenn Sie das Problem nicht rechtzeitig effektiv beheben können. Die Fehlerbehebung ist nicht nur ein technischer Vorgang; Es ist eine unternehmensweite Ressource, die viele Teams in einem optimierten Prozess zusammenführt.

Die fortschrittlichste Erkennungslösung kann ein Ereignis in Sekunden melden, aber wenn die Fehlersuche ein paar Stunden dauert, können Sie genauso gut auf ein Erkennungssystem verzichten. Ebenso ist es im Fall einer Hochleistungslösung zur Schadensbegrenzung sinnlos, wenn Sie keine Fehlerbehebung durchführen können, wenn Sie die gesamte Pferdestärke in Ihrem Netzwerk haben.

Die Fortschritte bei der DDoS-Erkennung und -Abwehr sind entscheidend, aber wir müssen uns auch von den manuellen Ansätzen für die Netzwerkzuordnung entfernen und Fehlersuche um nicht die gesamte DDoS-Lösung nach unten zu ziehen.

Closing Comments

Wir verlieren den DDoS-Kampf und wir werden weiter verlieren, wenn wir nicht alle Komponenten miteinander verbinden. Eine vollständige Lösung muss die Sicherheit aus allen Blickwinkeln berücksichtigen. Nicht nur aus Sicht der Abwehr- oder Erkennungs-Appliance, sondern auch der Fehlerbehebungsprozess des Unternehmens ist erforderlich, um einen DDoS-Angriff effizient zu stoppen.

Verbunden

Ausfälle verhindern

Automatisierung in Minuten: Top-10-Bewertungen zur Vermeidung von Ausfällen

Ausfallzeiten sind teuer. Mehr als die Hälfte (54 %) der Befragten der Rechenzentrumsumfrage 2023 des Uptime Institute geben an, dass ihr jüngster erheblicher, schwerwiegender oder schwerwiegender Ausfall mehr als ... gekostet hat.
Automatisierte Diagnose

Best Practices zur Automatisierung des Fehlerbehebungsworkflows in Netzwerkumgebungen mit mehreren Anbietern

Seien wir ehrlich: Die manuelle Fehlerbehebung bei Hybridnetzwerken ist mühsam und zeitaufwändig. Jedes Problem wird so angegangen, als ob es noch nie zuvor aufgetreten wäre, und verschiedene Netzwerktechniker wenden unterschiedliche ... an.
Netzwerkbewertung

EU's DORA: Let NetBrain Stärken Sie Ihren Compliance-Plan

Im November 2022 verabschiedete die Europäische Union den Digital Operations Resilience Act (DORA), eine Reihe umfassender Vorschriften für das digitale Finanzwesen, die darauf abzielen, die Widerstandsfähigkeit der Finanzindustrie gegenüber ... zu stärken.