Operation Payback, so nannten die Aktivisten ihre Angriffe auf Banken und Kreditkartenanstalten. Mithilfe einer Armee von Freiwilligen sollten die Server bis zum Zusammenbruch belastet werden, was teilweise auch gelang. Solche Denial-of-Service-Attacken, kurz DoS, sind nicht erst seit Wikileaks auf dem Vormarsch. Im Gegenteil, in einer Studie des Anbieters Arbor Networks zeigt sich, dass vor allem gezielte Attacken bereits 2010 um mehr als 100 Prozent angestiegen sind.
Im Grunde bedeutet Denial of Service zwar lediglich, dass der Zugriff auf eine Ressource oder einen Dienst nicht mehr möglich ist. Ob der Grund eine Attacke aus dem Web ist, ein besonders gut verlinkter Artikel oder ein Hardwarefehler, der das Netzwerk lahmlegt, ist dabei durchaus relevant - denn um den Zwischenfall zu überstehen, benötigt man in jedem Fall eine andere Strategie.
DDoS: Werkzeug von Erpressen, Kriminellen und selbst ernannten Rächern
Die bekannteste Art des Angriffs von Externen ist zweifelsohne eine Distributed-Denial-of-Service-Attacke, kurz DDoS. Angreifer nutzen dabei einen Verbund an Rechnern, um einen Dienst, meist eine Website, so lange mit Anfragen zu überhäufen, bis die Server unter der Last zusammenbrechen. Als Quellen dienen dafür häufig Botnets, also mit Viren infizierte Rechnerverbunde, die von einer zentralen Stelle Anweisungen erhalten. Der Protest rund um Wikileaks hat allerdings gezeigt, dass Protestierende auch freiwillig ihre Rechnerkapazitäten zur Verfügung stellen, wenn es um eine ihrer Meinung nach gerechte Sache geht.
Das Problem dabei: Denial-of-Service-Schwachstellen sind in den meisten Systemen und Programmen enthalten und, einmal entdeckt, relativ einfach auszunutzen. Allein der englische Wikipedia-Eintrag zählt 13 verschiedene Formen der Attacken. Die Firma Armoraid hat fünf grundsätzliche Definitionen erstellt, an denen man eine aktive DoS-Attacke erkennt:
-
Unnötiger Verbrauch eines Großteils der Rechenressourcen, etwa CPU-Leistung, Bandbreite oder Speicherplatz
-
Störung von Konfigurationsinformationen, etwa indem die Routing-Informationen verfälscht werden
-
Störung der Statusinformationen, etwa indem TCP-Sessions zurückgesetzt werden,
-
Störung von physikalischen Komponenten, etwa wenn ein Server oder eine Netzwerkkomponente zum Absturz gebracht wird
-
Sabotage der Kommunikation zwischen Endstelle und Nutzer, sodass beispielsweise die Verbindung zurückgesetzt wird.
Es bringt übrigens kaum etwas, die jeweiligen Ursprungs-IP-Adressen direkt anzugehen. Neben rechtlichen Problemen sind diese meist gefälscht. Wer also meint, proaktiv gegen Angreifer vorgehen zu können, attackiert im schlimmsten Fall selbst andere Systeme. Die Verwendung gefälschter IP-Adressen führt oftmals zu einem sogenannten Backscatter-Effekt. Dabei schickt der Server die Pakete an die angegebene IP; da diese aber nicht der Ursprung der Anfrage ist, kann das Gegenüber nichts mit den Paketen anfangen. Spezielle Systeme können diese Pakete erkennen und so indirekt Hinweise zu einer aktiven DDoS-Attacke sammeln. Wie Backscatter funktioniert, erklärt beispielsweise die CAIDA auf dieser Seite in einer Animation.
Populäre Attacken: SYN Floods und Smurf-Angriffe
SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer sogenannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit, eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.
Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist das kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechend manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es lassen sich folglich keinen neuen Verbindungen initiieren.
Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, sodass legitime Anfragen nicht mehr bearbeitet werden können.
Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.
Erste Hilfe und Gegenmaßnahmen
Was kann man also tun, wenn man Opfer eines solchen Angriffs ist? Zunächst muss man wissen, was vor sich geht. Lösungen wie etwa Intrusion-Detection-/Intrusion-Prevention-Systeme können bereits dann Alarm schlagen, wenn sich eine Attacke ankündigt - so ist man vorgewarnt und kann unter Umständen noch Gegenmaßnahmen einleiten.
Die einfachste Art der Gegenwehr ist, die verfügbaren Ressourcen so lange zu erhöhen, bis die Angriffe ins Leere laufen. Das klingt in der Theorie zwar gut, in der Praxis kann dies aber schnell zu unüberschaubaren Kosten führen - selbst wenn man skalierbare Cloud-Angebote nutzt.
Zunächst sollte man sich einen Überblick verschaffen, woher die Angriffe kommen und welches System, etwa welche IP, das Ziel der Attacken ist. Sind es nur wenige IPs, kann man sie in seinen Firewall-Systemen blockieren. Ebenso, wenn das Ziel nur einzelne oder wenige Systeme sind - diese kann man mit einer alternativen IP versehen und die Änderungen per DNS neu verteilen.
Das verschafft normalerweise zumindest ein wenig Luft für Reaktionen. In jedem Fall sollte man spätestens jetzt seinen Internet-Provider einschalten. Der kann unter Umständen die Angriffe bereits in seinem Netzwerk blocken.
Abwehrmaßnamen mit Bordmitteln
De facto lassen sich zahlreiche Angriffe, vor allem SYN Floods, mit der richtigen Konfiguration in der Firewall blockieren oder die Auswirkungen minimieren. Cisco gibt in diesem Support-Eintrag grundlegende Abwehrmaßnamen vor, die sich auch in den Geräten von anderen Herstellern implementieren lassen:
-
SYNC-ACK-Warteschlange vergrößern: So können mehrere Verbindungen verarbeitet werden, bevor das System neue Anfragen abweist - allerdings nur, wenn die Hardware das auch verträgt.
-
Time-Out verkürzen: Verringert man die Zeit, die das System für eine neue Verbindung maximal zu warten bereit ist, verhindert man dadurch zwar keine Attacken, allerdings kann man die Auswirkungen begrenzen.
-
Spezielle Patche und Updates einspielen: Nahezu alle Anbieter von Netzwerkhardware haben eigene Abwehrfunktionen für solche Attacken entwickelt. Es lohnt sich, den Hersteller der eigenen Infrastruktur zu kontaktieren, um zu sehen, ob entsprechende Lösungen verfügbar sind.
Speziell wenn es um die LOIC-Attacken geht, die etwa bei den Angriffen auf PayPal, Visa oder Mastercard 2010 genutzt wurden, kann man noch zusätzlich aktiv werden. Ein angeblich selbst Betroffener hat diesen Eintrag des SANS kommentiert: Die Angriffe seien demnach nicht besonders bandbreitenintensiv. Man könne sie relativ gut in den Griff kriegen, wenn man die Anzahl der gleichzeitig möglichen Verbindungen pro IP reglementiert. Zudem sollte man versuchen, die Angriffe zu unterwandern, indem man sich etwa selbst mit den Chat-Räumen der jeweiligen "Aktionsgruppen" verbindet. Es sei selten, so der Kommentator, dass Angriffe so offen vorab bekannt gegeben werden.
Eine weitere, wenn auch besonders drastische Maßnahme ist das Blackholing. Dabei wird der komplette eingehende Traffic so weitergeleitet, dass er einfach verschwindet, ohne dass der jeweilige Partner eine Rückmeldung erhält. Die Weiterleitung könnte etwa auf eine IP-Adresse erfolgen, die nicht vergeben ist oder deren Server ausgeschalten ist. Der Vorteil ist, dass man sich und seinen Systemen dadurch zusätzliche Zeit verschafft, um etwa Gegenmaßnahmen einzuleiten. Der Nachteil ist, dass alle Anfragen ins Leere laufen, also auch legitime Zugriffe.
Hardwarebasierte Lösungen gegen DoS-Angriffe
Natürlich hat sich auch um dieses Segment eine umfangreiche Herstellerlandschaft gebildet, die mit eigenen Lösungen aufwartet. Normalerweise sind alle aktuellen IPS-Systeme und Firewalls mit entsprechenden Signaturen versehen, die gängige Attacken erkennen, entsprechende Warnungen an die Verantwortlichen schicken und gegebenenfalls vorprogrammierte Gegenmaßnahmen einleiten können.
Zahlreiche Internet-Provider bieten außerdem spezielle Blackholing- oder Sinkholing-Dienste an. Wie bereits erwähnt, wird der komplette Traffic dabei umgeleitet und verworfen. Der Provider kann dies normalerweise besser regeln, da er einen detaillierten Überblick über sein Netzwerk hat.
Eine weitere Möglichkeit sind sogenannte Clean Pipes. Dabei wird der komplette Traffic durch das Data Center eines weiteren Providers geleitet. Dieser untersucht die Verbindungen auf Attacken oder anderen auffälligen Traffic. Sobald das System verdächtige Aktivitäten erkennt, säubert es die jeweiligen Anfragen aus dem Datenstrom heraus und leitet so nur die legitimen Verbindungen zum eigentlichen Server weiter. Einen solchen Dienst bietet unter anderem Verisign an.
Innovative Gegenmaßnahmen: SpeakUp und DOS Deflate
Neben den Hardwareherstellern haben sich auch zahlreiche Softwareentwickler zu dem Thema Gedanken gemacht. DOS Deflate beispielsweise ist ein kostenloses Script für die Linux-Shell, das von der Firma Media Layer entwickelt wurde. Das Script kann herausfinden, welche IPs mit dem jeweiligen Server verbunden sind und wie viele Verbindungen pro IP eingerichtet sind. Übersteigt die Anzahl der Verbindungen pro IP einen zuvor eingestellten Grenzwert, wird die Firewall aktiv und blockiert die jeweilige IP-Adresse. Weitere Informationen zu Download und Konfiguration finden sich auf dieser Seite.
Einen komplett anderen Ansatz fährt Speak Up, das Projekt ist allerdings derzeit noch Theorie: Speak Up versucht, unter den zahlreichen Anfragen die bösartigen Attacken herauszufiltern. Dabei geht das System davon aus, dass legitime Clients normalerweise mehr Bandbreite zur Verfügung haben als die Rechner der Angreifer. Das System fragt also bei den verbundenen Clients an, ob diese einige größere Pakete zum Server schicken können. Ein legitimer Client, so die Forscher in ihrer Arbeit, kann diese Anfrage normalerweise erfüllen und wird bevorzugt behandelt. Die Systeme der Angreifer sind dagegen meist am Limit ihrer Kapazitäten und können die geforderten Daten nicht bringen. Die "guten" Clients werden demnach bevorzugt, die Angreifer hintangestellt. Speak Up hat einige Vorteile, beinhaltet allerdings auch zahlreiche Fallstricke - etwa wenn die Nutzer langsame Verbindungen nutzen oder vom Smartphone aus surfen. Das komplette Forschungspapier ist hier verfügbar.
Ungewolltes Denial of Service: Wenn die Seite zu populär wird
Neben gezielten Angriffen kann es auch passieren, dass eine Seite einfach zu populär wird, um mit dem Ansturm der Nutzer klarzukommen. Ein imposantes Beispiel war beispielsweise der Tod des Sängers Michael Jackson: Innerhalb kürzester Zeit wurde Google mit vollkommen legitimen Anfragen überflutet, die das System nahezu komplett auslasteten - der Kurznachrichtendienst Twitter kollabierte unter der Last sogar.
Dieses Phänomen ist ebenfalls nicht neu, unter anderem ist es als "Slashdot"-Effekt bekannt. Der Name stammt von der Website Slashdot, einem der ersten populären News-Aggregatoren im Web. Wurde eine Seite auf Slashdot erwähnt, folgte ein massiver Anstieg der Besucherzahlen. Vor allem kleinere Webseiten waren diesem nicht gewachsen und gaben auf.
Die Gegenmaßnahmen hier unterscheiden sich deutlich von denen einer Attacke, schließlich sind alle Anfragen legitim. Die einfachste Gegenmaßnahme ist es, eine statische und möglichst einfache Landing-Page einzurichten, die den interessanten Inhalt enthält. Vor allem bei Downloads oder rechenintensiven Angeboten, etwa Videos, sollte man sich zudem überlegen, ob man sie - zumindest für einen kurzen Zeitraum - auf die Server eines Anbieters auslagert, der mit entsprechend hohen Anfragen klar kommt. Cloud-basierte Lösungen mit flexiblen Ressourcen bieten sich hier an. Zudem kann man die Nutzer über andere Dienste informieren, etwa Twitter oder Facebook, um auf den ungewöhnlich hohen Andrang hinzuweisen.
Fazit
DoS- und DDoS-Attacken werden nicht verschwinden, im Gegenteil. Sie sind billig, erfordern kaum IT-Erfahrung und sind durchaus effektive Angriffsmethoden gegen Internetangebote. Zwar kann man sich mit verschiedenen Maßnahmen gegen Angriffe schützen oder die Auswirkungen minimieren, eine "Silver Bulett" gibt es allerdings nicht.
Es hilft auch wenig, sich auf die Hoffnung zu verlassen, dass es einen selbst nicht erwischen wird. Besonders die Attacken der Wikileaks-Unterstützer haben gezeigt, wie schnell eine Firma ins Visier von Angreifern geraten kann. Auch Kriminellen wird es immer einfacher gemacht: Botnetze lassen sich tage- oder stundenweise mieten, um etwa einen Konkurrenten lahmzulegen.
IT-Verantwortliche und Administratoren sollten sich in jedem Fall auf den Notfall vorbereiten. Wer vorab entsprechende Pläne und Gegenmaßnahmen entwickelt - und diese auch regelmäßig überprüft -, kann im Falle eines Angriffs schnell und gezielt reagieren. Zudem gibt es Firmen, die spezielle Denial-of-Service-Tests durchführen, um das System etwa auf Angriffspunkte zu prüfen.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche . (cvi)