Funktionsweise eines DDoS-Angriffs
DDoS-Angriffe sind mittlerweile an der Tagesordnung und die Wahrscheinlichkeit, zum Ziel eines solchen Angriffes zu werden, ist groß.
Ein DDoS-Angriff zielt darauf ab, die Bandbreite oder die Ressourcen eines Servers derart zu überlasten, dass dieser schlimmstenfalls nicht mehr erreichbar ist.
Hierzu wird eine Vielzahl gleichzeitiger Anfragen von verschiedenen Punkten im Internet an den Server versandt. Dadurch wird der Dienst instabil oder ist unter Umständen gar nicht mehr verfügbar. Siehe auch Wikipedia.
Unsere Angebote zum Schutz Ihrer Dienstleistungen
adeska internet lösungen stellt Ihnen eine auf der VAC Technologie basierende Abwehrlösung zur Verfügung, um Ihre Dienste und Server vor Angriffen zu schützen. Diese exklusive Kombination verschiedener Techniken dient folgenden Zwecken:
- Analysieren aller Pakete mit hoher Geschwindigkeit in Echtzeit.
- Umleiten des eingehenden Traffics Ihres Servers.
- Abwehren der Angriffe durch Erkennung aller unerwünschten IP-Pakete. Nur erwünschte IP-Pakete werden durchgelassen.
Ziele und Angriffstypen
Es gibt drei unterschiedliche Strategien, die bei DDos-Angriffen verfolgt werden:
- Bandbreiten-Überlastung: Die Netzwerk-Kapazität wird überlastet mit dem Ziel der Nicht-Erreichbarkeit.
- Ressourcen-Überlastung: Die System-Ressourcen werden überlastet, um zu verhindern, dass der Server auf erwünschte Anfragen antwortet.
- Exploit: Nutzung von Software-Sicherheitslücken, mit dem Ziel der Nicht-Erreichbarkeit oder um die Kontrolle über den Server zu erlangen.
| Bezeichnung des Angriffs | OSI-Schicht | Angriffstyp | Beschreibung des Angriffsprinzips |
| ICMP Echo Request Flood | 3 | Ressourcen | Bei diesem auch als „Ping Flood“ bezeichneten Angriff werden Datenpakete in großen Mengen verschickt (Ping), die vom Angriffsziel mit identischen Datenpaketen beantwortet werden (Pong). |
| IP Packet Fragment Attack | 3 | Ressourcen | Versand von IP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet. |
| SMURF | 3 | Bandbreite | ICMP Broadcast-Angriff mit gefälschter Quell-Adresse, um die Antworten auf das Angriffsziel umzuleiten. |
| IGMP Flood | 3 | Ressourcen | Versand großer Mengen an IGMP-Paketen (IGMP = Protokoll für die Multicast-Verwaltung). |
| Ping of Death | 3 | Exploit | Versand von ICMP-Paketen, die einen Implementierungsfehler in bestimmten Betriebssystemen ausnutzen. |
| TCP SYN Flood | 4 | Ressourcen | Versand großer Mengen an TCP-Verbindungsanfragen. |
| TCP Spoofed SYN Flood | 4 | Ressourcen | Versand großer Mengen an TCP-Verbindungsanfragen mit gefälschter Quell-Adresse. |
| TCP SYN ACK Reflection Flood | 4 | Bandbreite | Versand großer Mengen an TCP-Verbindungsanfragen an eine große Anzahl von Maschinen. Bei diesen Anfragen wird die Quell-Adresse gefälscht und durch die Adresse des Angriffsziels ersetzt. Dieses wird dann durch die eingehenden Antworten überlastet. |
| TCP ACK Flood | 4 | Ressourcen | Versand großer Mengen an Empfangsbestätigungen für TCP-Pakete. |
| TCP Fragmented Attack | 4 | Ressourcen | Versand von TCP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet. |
| UDP Flood | 4 | Bandbreite | Versand großer Mengen an UDP-Paketen, die keinen vorherigen Verbindungsaufbau erfordern. |
| UDP Fragment Flood | 4 | Ressourcen | Versand von UDP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet. |
| Distributed DNS Amplification Attack | 7 | Bandbreite | Versand großer Mengen an DNS-Anfragen an eine große Anzahl von DNS-Servern. Bei diesen Anfragen wird die Quell-Adresse gefälscht und durch die Adresse des Angriffsziels ersetzt. Dieses wird dann durch die eingehenden Antworten überlastet, die deutlich umfangreicher sind als die Anfragen selbst. |
| DNS Flood | 7 | Ressourcen | Angriff auf einen DNS-Server durch den Versand einer großen Anzahl an Anfragen. |
| HTTP(S) GET/POST Flood | 7 | Ressourcen | Angriff auf einen Webserver durch den Versand einer großen Anzahl an Anfragen. |
| DNS DDoS | 7 | Ressourcen | Angriff auf einen DNS-Server durch den Versand großer Mengen an Anfragen von einer großen Anzahl von Maschinen, die durch den Angreifer kontrolliert werden. |
Abwehr von DDoS-Angriffen: Ablauf
Die 4 Schritte bei der Abwehr eines Angriffs:
1) Der Server ist einsatzbereit - ohne Angriff
Alle Dienste können problemlos über das Internet verwendet werden. Der Traffic läuft über das Backbone unseres Netzwerks zum Rechenzentrum und kann dann vom Server verarbeitet werden. Die Antworten des Servers werden direkt über das Internet versandt.
2) Beginn des DDoS-Angriffs
Der Angriff wird im Internet gestartet und erreicht das Backbone. Angesichts der überschüssigen Bandbreiten-Kapazität im Backbone führt der Angriff nicht zur Überlastung von Verbindungs-Links. Der Angriff erreicht den Server, der mit dessen Verarbeitung beginnt. Gleichzeitig erlaubt es die Analyse des Traffics festzustellen, dass ein Angriff im Gange ist, und der automatische Schutz wird ausgelöst.
3) Umleitung des Angriffs
Etwa 15 bis 120 Sekunden nach Beginn des Angriffs wird die Umleitung aktiviert. Der eingehende Traffic des Servers wird auf die 3 VAC-Infrastrukturen umgeleitet. Diese verfügen über eine Gesamtkapazität von 480 Gbit/s (3x 160 Gbit/s) und werden in drei verschiedenen OVH Rechenzentren gehostet. Der Angriff wird unabhängig von dessen Umfang und Typ ohne zeitliche Begrenzung blockiert. Der erwünschte Traffic wird durch die VAC-Infrastruktur geleitet und gelangt danach zu Ihrem Server. Die Antworten des Servers gehen direkt und ohne Umweg über das VAC ins Netz. Dies ist das Prinzip des automatischen Schutzes gegen Angriffe.
4) Ende des Angriffs
Ein solcher Angriff ist teuer und wird vom Angreifer daher schnell eingestellt, wenn er nicht wirksam ist. Zu Ihrer Sicherheit bleibt der DDoS-Schutz nach dem Angriff noch 26 Stunden aktiv. Sollte innerhalb dieser Zeit ein erneuter Angriffsversuch stattfinden, wird dieser automatisch blockiert. Im Falle von Angriffen nach Ablauf von 26 Stunden wird der Schutz erneut aktiviert.