Verteilte Denial-of-Service-Attacken aus und gegen Clouds

© jager, 123RF

Krieg in den Wolken

,
Seit Monaten verschärfen sich DDoS-Attacken mit besonders raffinierten Methoden. Die Angreifer bedienen sich der Cloud und zielen auf sie. Ihre skalierbare Architektur bietet dann nicht nur keinen Schutz, sondern ermöglicht es dem Angreifer im Gegenteil, konventionelle Abwehrmechanismen aufzuheben. Dieser Beitrag erklärt, wie eine DDoS-Attacke in der Wolke zustande kommt und wie man sich verteidigt.
Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

Eine rekordverdächtige DDoS-Attacke auf Spamhaus [1] (Abbildung 1), einen Verwalter von Real-Time-DNS-Blacklists, legte im März dieses Jahres mit einer Datenflut von bis zu 300 GBit/s Teile des Internets lahm. Wer grundlos auf eine solche schwarze Liste gelangt war, konnte während des Angriffs nicht mehr verlangen, von ihr gelöscht zu werden. Unschuldige Domains blieben so gesperrt und viele legitime E-Mails konnten nicht zugestellt werden.

Abbildung 1: Spamhaus, eine Organisation zur Spam-Bekämpfung durch schwarze Listen, fiel im März dieses Jahres der größten DDoS-Attacke der Internet-Geschichte zum Opfer.

Erst nachdem Spamhaus den kalifornischen Cloud-Sicherheitsanbieter CloudFlare [2] mit der Verteidigung seiner Infrastruktur beauftragt hatte, konnte sich der Dienst online zurückmelden. Doch die Angreifer ließen nicht locker. Eine Woche später, am 23. März, brach schließlich LINX, einer der Backbone-Betreiber des Internets, unter einer Gesamtdatenlast von 1,5 Terabit pro Sekunde zusammen.

Andere Beispiele: Ab Sonntag, dem 10. März 2013, hat eine DDoS-Attacke die Webseite des deutschen Portals Finanzwelt (Abbildung 2) [3] für mehrere Tage außer Betrieb genommen. Im Herbst letzten Jahres fiel die Internet-Infrastruktur des deutschen Stromnetzbetreibers 50Hertz kurzfristig der DDoS-Attacke eines Botnets zum Opfer. Im selben Zeitraum mussten sich mehrere US-Finanzhäuser gegen DDoS-Attacken verteidigen. Beim DDoS-Angriff auf das kalifornische Geldinstitut Bank of the West konnten die Täter das entstandene Chaos nutzen, um völlig unbemerkt nahezu eine Milliarde US-Dollar (700 Millionen Euro) von den Accounts ahnungsloser Bankkunden zu entwenden.

Abbildung 2: Die Webseite dieses deutschen Finanzportals war im März aufgrund einer DDoS-Attacke mehrere Tage nicht erreichbar.

DDoS heute: Viele Vektoren und DNS-verstärkt

Heutige DDoS-Attacken in der Wolke haben mit der chaotischen Datenflut einer konventionellen DDoS-Attacke der vergangenen Jahre nur noch wenig gemeinsam. Laut einer Studie von Arbor Networks lag eine typische DDoS-Attacke im vergangenen Jahr bei einer Bitrate von 1,48 GBit/s. Bei nahezu jedem zweiten Vorfall im Jahr 2012 handelte es sich um sorgfältig inszenierte Multi-Vektor-Angriffe, die zum Teil ununterbrochen mehrere Wochen lang anhielten.

Multi-Vektor-Angriffe adressieren abwechselnd und systematisch verschiedene Schwächen der Infrastruktur des Opfers und terrorisieren den Geschädigten mit immer neuen DDoS-Offensiven. Unterläuft dem Angegriffenen im Eifer des Gefechts dann ein Fehler in der Konfiguration, kann das schnell fatale Folgen haben.

Eine besonders beliebte Form von DDoS-Attacken in der Wolke nutzt die Schwächen des DNS-Systems aus: die DNS-Flut-Attacke. Angreifer erzeugen dabei DNS-Pakete und senden diese über das UDP-Protokoll an DNS-Server, um sie mit Anfragen zu überfluten und ihre Rechenzeit-Ressourcen aufzubrauchen. Diese Angriffsmethode kommt sehr oft vor, da sie relativ einfach umzusetzen ist, eine enorme Hebelwirkung haben kann und Angreifern erlaubt, ihre Identität hinter Dritten zu verstecken.

DNS-Server sind als Auskunftsdienst ausgelegt. Einige Anbieter betreiben ihre DNS-Server als sogenannte Open-DNS-Resolver; in dieser Konfiguration werden auch rekursive Anfragen der Namensauflösung von außerhalb der jeweiligen administrativen Domain beantwortet. Anfragen, die sich auf große Bereiche des Internets beziehen, können dadurch massive Datenvolumen zu Tage fördern. Laut des Geschäftsführers von CloudFlare, Matthew Prince, wurde die spektakuläre DDoS-Attacke auf Spamhaus durch lediglich 36 Byte große Datenpakete getrieben, die pro Anfrage eine jeweils 3 000 Byte lange Antwort auslösten.

Während ein gewöhnlicher Desktop-PC von der Stange circa 1 000 DNS-Anfragen pro Sekunde erzeugen kann, geht ein einzelner DNS-Server üblicherweise bei ungefähr 10 000 DNS-Anfragen pro Sekunde schon mal in die Knie. Bricht ein DNS-Server unter Last zusammen, sind davon gleich mehrere Hosts schwer betroffen. Zudem verlassen sich fast alle Domain-Besitzer auf das technische Minimum von genau zwei DNS-Servern und da sie die Anforderung an die geografische Dispersion völlig außer acht lassen, sind bei dem geringsten DDoS-Befall gleich alle Dienste außer Betrieb.

Reflexive DNS-Attacken

Bei reflexiven DNS-Attacken sendet der Angreifer seine DNS-Anfragen nicht direkt an das Opfer, sondern an Dritte, die gar nicht das eigentliche Ziel des DNS-Angriffs sind. Er fälscht hierbei die IP-Adresse der Quelle der DNS-Anfrage so, dass sie der des Opfers entspricht. Wenn die angesprochenen Hosts nun ordnungsgemäß auf die Anfrage reagieren, richten sie ihre Antwort an die gefälschte Quelladresse und überfluten damit das eigentliche Angriffsziel mit Daten. So macht sich der reflexive DNS-Angriff den immensen Verstärkungsfaktor des DNS-Systems zu Nutze, denn die DNS-Antwort ist in der Regel drei- bis zehnmal umfangreicher als die auslösende DNS-Anfrage selbst.

Bei einer reflexiven DNS-Attacke kann der Betroffene auch dann zum Opfer werden, wenn er gar nicht über eigene DNS-Server verfügt. Die Angreifer brauchen aber seine Internetbandbreite auf und/oder setzen die Firewall außer Gefecht.

Bei reflexiven DNS-Angriffen in der Wolke unterscheidet man zwischen drei Versionen mit jeweils verschiedenen Verstärkungsstufen: native oder selektive Angriffe und ausgefeilte Angriffe. Im Falle von reflexiven DNS-Angriffen vom Typ nativ sind die Antwortpakete deutlich umfangreicher als die Anfrage-Pakete. Der Verstärkungsfaktor beträgt hier lediglich drei bis vier.

Eine selektive reflexive DNS-Attacke nutzt den Umstand, dass DNS-Antworten keine einheitliche Länge besitzen. Manche DNS-Antworten fallen recht kurz aus, andere sind wiederum um ein Vielfaches länger. Bei dieser Angriffsmethode identifiziert der Angreifer zuerst die Domains, die eine besonders lange DNS-Antwort zurückliefern. Das resultiert typischerweise in einer bis zu zehnfachen Verstärkung.

Im Falle von Spamhaus konnten die Angreifer allerdings durch das Anfragen von Informationen über die Domain »ripe.net« einen Verstärkungsfaktor von 100 zustande bringen. Weil sie die Attacke mit Hilfe eines ferngesteuerten Botnets über sagenhafte 30 000 DNS-Resolver verteilt auf Spamhaus richten konnten, ist dies keinem der einzelnen Betreiber der DNS-Server aufgefallen.

Das Repertoire von reflexiven DNS-Attacken ist damit noch nicht ausgeschöpft. Einige Angreifer nutzen selbsterstellte Top-Level-Domains, die einzig und allein dazu dienen, ausgefeilte DNS-Attacken auszuführen. Diese Domains erlauben es den Tätern, DNS-Antworten zu missbrauchen, die einen bis zu 100-fachen Verstärkungsfaktor zu Tage fördern.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018