043 500 11 11
Was sind DDoS-Attacke wie geht iWay damit um?
Blog| 30. Juli 2021 | Lesezeit: 2 Minuten
Was sind DDoS-Attacken?
DDoS ist eine Abkürzung aus dem Englischen und steht für «Distributed Denial of Service», was soviel wie «Verteilte Verweigerung des Dienstes» bedeutet. Diese Angriffe sind meist volumetrischer Natur: Mit möglichst viel Verkehr soll der Service lahmgelegt werden. Der Verkehr kommt von hunderten, wenn nicht tausenden von IP-Adressen her, was den (weit-) verteilten Aspekt der Attacke charakterisiert. Der Angreifer nutzt dazu meist fremde Systeme, welche nicht geschützt sind oder falsch konfigurierte Systeme, die auf UDP (User Datagram Protocol) basierende Services nach aussen zur Verfügung stellen.
Am häufigsten sind dies offene DNS Resolver (DNS-Server, welche Anfragen für beliebige Domain-Namen zulassen und beantworten) oder falsch konfigurierte NTP-Server. Bei diesen «Amplification Attaks» macht sich der Angreifer zwei Eigenschaften dieser Protokolle zunutze. Zum einen, dass man UDP-Pakete mit einer gefälschten Absenderadresse versenden kann und so die Antwort an die anzugreifende Adresse zustellt. Zum anderen, dass man mit kleinen Anfragen grosse Antworten erhalten kann (Zum Beispiel: Bei DNS kann man nach einem TXT Record fragen und mehrere hundert Byte Antwort erhalten). Damit kann ein Verstärkungsfaktor von bis zu 50 und mehr erreicht werden. Der Angreifer kann so zum Beispiel mit 100 Mbit/s Traffic eine Attacke von 5 Gbit/s erreichen. Wenn dieser nun die Anfragen noch über ein Botnetz laufen lässt, stehen ihm beinahe unlimitierte Bandbreiten zur Verfügung. Dies kann Attacken von bis zu mehreren 100 Gbit/s zur Folge haben kann.
Wie geht iWay mit DDoS-Attacken um?
Es gibt grundsätzlich zwei Möglichkeiten, wie man mit DDoS-Attacken umgehen kann. Da meist wegen des sehr grossen Verkehrsaufkommens die Leitungen überlastet sind, steht der einzelne Service nicht im Zentrum. Es muss das Netz als Ganzes vor der Attacke geschützt werden.
Option 1: Blackholing
Hierzu kann man ein sogenanntes Blackholing einrichten: Um die Leitungen zu entlasten, verwirft man den eingehenden Verkehr auf die angegriffene IP möglichst weit aussen im Netz, indem man eine Null Route einrichtet. Damit der Verkehr gar nicht erst im eigenen Netz ankommt, können mittels BGP Communities die Informationen auch an Upstream-Provider weitergegeben werden. Dieser Mechanismus ist sehr effektiv beim Schutz des gesamten Netzes. Er verhindert jedoch nicht, dass der betroffene Dienst nicht mehr erreichbar ist.
Option 2: Washing Machine
Ist der betroffene Service sehr wichtig und sollte dieser bei einer solchen Attacke weiter erreichbar bleiben, dann kann man den Verkehr zu diesem Service durch eine sogenannte DDoS Washing Machine schicken. Hat man selber genügend grosse Leitungen in die Aussenwelt (mehrere 100 Gbit/s) kann man diese selber im eigenen Netz betreiben. Für alle anderen lohnt es sich, den Service bei einem DDoS Protection Anbieter einzukaufen. Diese «Waschmaschine» erkennt die Attacke und filtert aktiv die «bösen» Pakete aus dem Verkehr heraus, so dass hinten nur noch «sauberer» Verkehr rauskommt.
Der optimale Schutz
iWay setzt selbst beide Techniken ein. Hierfür befindet sich in unserem Netz ein Auswertungstool, welches innert weniger Sekunden eine DDoS-Attacke erkennen kann. Anhand einer Klassifizierungsliste entscheidet das System automatisch, ob ein Blackholing oder ein Washing des Verkehrs stattfinden soll. iWay sendet im Falle eines Blackholings die Information an alle Upstream Provider weiter. Soll der Traffic «gewaschen» werden, wird er automatisch über unseren DDoS Provider geroutet. Dadurch gewährt iWay sich und ihren Kunden den optimalen Schutz gegen solche DDoS-Attacken.
Zurück zur Übersicht
