Open Source im professionellen Einsatz
Linux-Magazin 08/2016
© Pavel Klimenko, 123RF

© Pavel Klimenko, 123RF

DDoS-Schutz in der Cloud

Innenverteidiger

Mit Open Flow und entsprechenden Controllern lassen sich DDoS-Angriffe auch innerhalb des eigenen Netzwerks entdecken und bekämpfen. Das hilft Cloudanbietern und Hostern gleichermaßen.

595

Angriffe nach dem Muster Distributed Denial of Service (DDoS) sind leider gängige Praxis, um Schutzgeld zu erpressen oder unliebsame Dienste aus dem Netz zu fegen. Solche Angriffe erreichen aktuell Bandbreiten von 300 GBit/s und mehr. Admins wehren sich meist, indem sie die Außengrenzen des eigenen Netzwerks absichern und über die Gateways auf ungewöhnliche Traffic-Signaturen lauschen.

Mitunter bekämpfen sie Volumen-basierte Attacken sogar noch weiter außerhalb des Netzes – auf der Seite des Internetproviders. Dieser kann den Angriffsverkehr ableiten oder blockieren, bevor er die Leitung verstopft und die Dienste des Opfers lahmlegt.

Bei Anbietern von Cloudlösungen, aber auch bei traditionellen Hostern sitzen die Angreifer und ihre Opfer jedoch häufig im selben Netzwerk. Dank Virtualisierung teilen sie sich womöglich denselben Rechnerkern. Der Artikel zeigt, wie Admins mit SDN-Technologien auch solche Szenarien erkennen und abwehren.

Space Invaders bemerken

Will ein Admin derartige Angriffe automatisch erkennen, wertet er in der Regel die Daten zur Netzwerkauslastung aus. Dazu sammelt er über Analyseplattformen wie Arbors Peakflow [1] oder Flowmons Collector [2] per SNMP Daten jener Router, die als Gateways fungieren, oder er lässt sich die Informationen über das Netflow- oder IPFIX-Protokoll zusenden.

Die zweite Variante arbeitet genauer, da sie für jede Einzelverbindung Daten liefert, zu denen die Quell- und Ziel-IP-Adressen, Ports sowie IP-Protokoll-Informationen gehören. Auf diesem Weg erkennt der Admin auch Abweichungen in den Verbindungsmustern. Reine SNMP-Zähler bieten solche Möglichkeiten, abhängig von der verwendeten Management Information Base (MIB, [3]), nicht unbedingt an. Abbildung 1 zeigt, wie ein typisches Setup aussieht, mit dem der Admin böswillige Verbindungen identifiziert. Dabei muss er beachten, dass das Einsammeln und Bereitstellen der Daten CPU-Last auf den Routern erzeugt.

Abbildung 1: Die Analyseplattform holt Daten von den Routern im und am Rande des Netzwerks, um mögliche DDoS-Angriffe zu erkennen.

In den meisten Fällen schwankt die Auslastung einer Internetanbindung abhängig vom Wochentag, von der Tageszeit und auch von der Arbeitsweise der Firma, die dahinter sitzt. Das macht es schwierig, statische Erkennungsregeln aufzustellen, da diese entweder zu enge Grenzen setzen oder zu viel Raum bieten und so den Angriff durchlassen. Der bessere Ansatz besteht darin, den normalen Verkehr einer statischen Analyse zu unterwerfen, über einen längeren Zeitraum und unter normalen Betriebsbedingungen. Darauf beruhende Regeln kennen die regulären Leistungsspitzen, bemerken aber idealerweise auch Angriffe.

Gegenmaßnahmen

Die einfachste Abwehr gegen eine DoS-Attacke bestünde im Blockieren der Quell-IPs des eingehenden Verkehres. Im Falle eines DDoS-Angriffs ist dies nicht so einfach, denn das erste D steht für Distributed. Das heißt, die Angriffe kommen von vielen verschiedenen Quell-IPs. Bleiben noch zwei weitere Blockade-Optionen: Eine besteht darin, die Ziel-IPs zu blockieren. Die andere filtert auf den Zielport, wozu der Angriff aber entsprechend strukturiert sein muss.

Zielen die Angriffe nur darauf ab, die Leitung zu verstopfen, verwenden die Angreifer häufig so genannte Reflection Attacks. Dabei missbrauchen sie über Bande Dienste wie DNS oder NTP, indem sie kleine Anfragen senden, welche die Dienste mit einer überlangen Antwort würdigen. Für ihre Anfragen tragen die Angreifer die IP-Adresse des Opfers als Absende-IP-Adresse ein, sodass die überlangen Antworten die Verbindungen des Opfers fluten.

Verwendet das Opfer die zum Angriff notwendigen Dienste (etwa NTP oder DNS) nicht oder nur intern, kann ein Filter die ungewollten Pakete blockieren. Beim Fluten per NTP würde ein Admin für den Filter beispielsweise »Any« als Quelladresse eintragen, als Ziel-IP-Adresse die des Opfers sowie den Quellport »123« und das IP-Protokoll »UDP« . Das würde die unerwünschten Pakete aussieben, ohne den Dienst des Opfers – etwa einen Webserver – zu behindern.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Zodiac FX

    Weil White-Label-Switches mit Picos für das Heimlabor fast unerschwinglich sind, trat Northbound Networks mit einer Kickstarter-Kampagne an, um diese Lücke zu schließen – heraus kam der Zodiac FX.

  • Open Flow

    Dümmere Netzwerkhardware schafft klügere Netze? Bei Open Flow jedenfalls geht diese Rechnung auf und erspart dem Admin einige Arbeit, indem er den Datenfluss zentral von einem Punkt aus steuert.

  • CfP: Vorträge zu Typo3 und Flow3 gesucht

    Für die achte europäische Typo3-Konferenz, die vom 4. bis 6. Oktober in der Filderhalle in Leinfelden-Echterdingen bei Stuttgart stattfinden wird, sucht der Veranstalter noch Referenten.

  • Einführung

    Charly Kühnast kann sich noch gut an die Zeit erinnern, als das Einbinden und die Funktionsprüfungen eines SSL-Zertifikats eine einfache Sache war. Jetzt hat er ein Shellskript gefunden, das trotz des Wirrwarrs an Schlüsselprotokollen und Ciphers klare Auskünfte erteilt.

  • Enterprise-Produkte

    Während Open Flow von Idealen und der Technik getrieben ist, zählt für Konzerne zuerst die Frage, wie sich Software Defined Networking monetarisieren lässt. Vor allem VMware, aber auch Midokura, Cisco und IBM bringen eigene Ansätze als Konkurrenz zu Open Flow.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.