DDoS Angriffe einfach erklärt + 6 Tipps für mehr Sicherheit im eigenem Netz

In diesem Artikel erkläre ich zunächst mit einfachen Worten was ein DDoS-Angriff eigentlich ist, wie dieser technisch im Detail am Beispiel der Domain-Namensauflösung (DNS) ausgeführt wird - und gebe sechs einfache Tipps um Ihre Infrastruktur vor einer ungewollten Teilnahme an solchen DDoS Angriffen zu schützen.

Immer wieder bekommen wir Benachrichtigungen von anderen Internetprovidern oder von dem Bundesamt für Sicherheit in der Informationstechnik (BSI), was bei unseren Kunden alles offen erreichbar und für DDoS-Attacken genutzt worden ist. Da hierbei oft tiefgreifendes technisches Wissen notwendig ist, will ich einmal verständlich erklären, weshalb welche Lücken oder Dienste "böse" sind und was man dagegen tun kann.

Offene Dienste auf dem eigenen Router: Fast immer im Zusammenhang mit DDoS-Angriffen genannt werden offene DNS-Resolver, SNMP, SSDP-Dienste oder NTP-Server mit aktivierter monlist-Funktion. Diese Dienste sind oft auf Routern oder auch auf Betriebssystem-Ebene vorinstalliert. Normalerweise nur um eigenen Computern und Geräten zur Verfügung zu stehen. Manchmal stehen diese Dienste aber auf einmal auch allen Internetnutzern zur Verfügung - dies kann durch Konfigurationsfehler oder Unachtsamkeit entstehen. Gerade DSL-Router werden in derartigen Massen auch an Nicht-Techniker verkauft und versendet, dass es hier immer wieder zu ungewollten offenen Diensten kommt - von denen der Betreiber der Router oft noch nicht mal etwas weiß.

"Was kann mein DNS-Resolver auf meinem Router dafür, dass jemand anderes Webseite nicht mehr erreichbar ist?" wird sich der eine oder andere dennoch fragen. Der Zusammenhang ist tatsächlich nur über Umwege erklärbar. Zunächst an einem Nicht-Technik-Beispiel aus der "analogen Welt" erklärt:

Was ist DDos ? Kleiner Hebel - große Wirkung

Stellen Sie sich vor, Sie liegen im Streit mit dem Bäcker von gegenüber und wollen ihn daran hindern Brötchen zu verkaufen. Dies geht sehr einfach in 2 Schritten:

1. Anfrage nach schweren Paketen: Weil Sie es mit der Bandscheibe haben und nicht schwer heben dürfen und daher nur Postkarten tragen können, beschließen Sie, ihn damit fertig zu machen. Sie setzen sich also hin und schreiben Anfragen auf die Postkarten, in denen Sie diverse Versandhändler um die Zusendung aktueller Kataloge bitten. Und zwar die vollständigen (schweren) Ausgaben!

2. Fälschung der Adresse: Auf die Postkarten ("Anfrage") schreiben Sie als Absender die Adresse Ihres Bäckers gegenüber auf und werfen die Postkarten nun ein. Die Firmen schicken nun also jeweils einen Katalog ("Antwortpaket") an den vermeintlichen Absender, da sie ja nicht erkennen können, dass dieser gefälscht ist.

Der Effekt dieser DDoS-Attacke:Beim Bäcker treffen derweil immer mehr Kataloge ein, die er nicht bestellt hat und die langsam aber sicher bis zur Decke reichen und den Zugang zur Verkaufstheke unmöglich machen. Spätestens wenn die Kataloge dann Wagen-Weise kommen: Der arme Bäcker kommt auch gar nicht mehr dazu noch Brötchen zu backen, da er immer weiter hunderte einkommende Kataloge von diversen Händlern schreddern und entsorgen muss ...

So haben Sie mit einem kleinen Beutel mit vielen kleinen, handlichen und leichten Postkarten eine Logistik in Bewegung gesetzt, die mehrere hundert Kilogramm Kataloge zum Bäcker transportiert hat.

Bitte nicht nachmachen - kein Aufruf: Bevor Sie jedoch zu Stift und Postwertzeichen greifen versuchen Sie bitte erst, den Streit mit Ihrem Bäcker friedlich beizulegen... Denn das soll hier natürlich kein Aufruf "How to DDoS" oder gar ein "DDoS Tutorial" sein!

Solche Angriffe bezeichnet man in der IT als "Denial of Service"-Angriffe. Denial of Service ist wie so oft englisch und steht für "Dienstblockade", also die Nichtverfügbarkeit eines Dienstes. Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird von einer "Verteilten Dienstblockade" oder englisch "Distributed Denial of Service (DDoS)" gesprochen.

Also: Was ist eine DDoS Attacke ? Ein sehr sehr hinterhältiger Angriff, der für das Opfer nur sehr schwer abzuwehren und rückverfolgbar ist.

DDoS Attacke - Zutat Nummer 1: IP-Adressen fälschen

IP-Adressen fälschen (IP-Spoofing): IP-Adressen im Internet sind zwar einzigartig, aber derzeit nicht wirklich fälschungssicher. Wer will, kann ungehindert IP-Pakete verschicken in denen als Absender eine beliebige IP-Adresse steht - z.B. die "8.8.8.8". Dies wird als "IP-Spoofing" bezeichnet. "Spoffing" heißt auf Deutsch Manipulation, Verschleierung oder Vortäuschung.

Richtig funktional kann man diese fremde IP-Adresse jedoch nicht nutzen - denn man würde zwar Pakete mit diesem Absender verschicken können, jedoch niemals die Antworten darauf empfangen, diese werden von den Routern zum echten "Inhaber" dieser IP-Adresse transportiert und nicht zum Absender.

Würde sich also jemand als 8.8.8.8 ausgeben und Ping-Pakete verschicken, kämen plötzlich Ping-Antworten bei der echten 8.8.8.8 an, wo man sich wundert was das soll.

Fehlende Filter: An allen Internetzugängen und Routern in Rechenzentren sollten deshalb Filter konfiguriert sein, die verhindern dass Pakete mit gefälschten Absendern das Netzwerk verlassen, so dass dieser Fehler eigentlich nie auftreten dürfte. Die Betonung liegt hier auf dem Konjunktiv, denn leider sind diese Filter eben nicht überall vorhanden.

 

Zutat Nummer 2: Der Zusammenhang zwischen DNS-Resolvern und DDoS-Attacken

Die gerade beschriebene Form des "IP-Spoofing", also dem absichtlichen Fälschen der Absender-IP, ist in den letzten Jahren immer mehr in die Richtung gegangen, dass versucht wird mit möglichst wenig Einsatz möglichst viel Bandbreite zu erzeugen.

Großer Hebel per Domain-Auflösung: Einer dieser Wege ist, mit gefälschtem Absender offene DNS-Server nach irgendwas zu fragen, was eine große Antwort erzeugt. Dadurch benötigt der Angreifer selbst vergleichsweise wenig Bandbreite und fällt daher auch weniger auf, das Opfer der Attacke bekommt trotzdem die volle Ladung ab.

Warum ist das so?

Die Anfrage nach einem DNS-Eintrag selbst ist nur etwa 20-60 Bytes groß (in unserem Analog-Beispiel die Postkarte), die Antwort vom DNS-Server hingegen kann problemlos mehrere Kilobytes groß sein! (in unserem Analog-Beispiel der fette Katalog).

Wo findet man besonders große DNS-Zonen ? Sehr beliebt scheint dabei besonders die DNS-Zone des "United States Department Of Commerce" (doc.gov) zu sein, welche tragischerweise über 8 KB groß ist. Das heißt also in konkreten Zahlen: Auf ein Anfragepaket mit 20 Bytes Größe erhalte ich eine Antwort, die 8243 Bytes groß ist - das ist über 412 Mal mehr als die Anfrage!

Nicht leicht rückverfolgbar: Wir denken daran: Die Anfrage wurde mit einer gefälschten Absenderadresse geschickt, ergo erhält auch nicht der Absender die Antworten. Beim eigentlichen Nutzer der IP-Adresse schlagen jetzt 8 KB große DNS-Antworten auf, die nie angefordert wurden!

Ziele unerreichbar machen: Schickt der Angreifer nun nicht nur eine DNS-Anfrage sondern zigtausende gleichzeitig (z.B. mit 10 Mbit/s gesamt - verteilt auf einige wenige hunderte gehackte Systeme), wird das Opfer mit DNS-Antworten (fast 500 Mbit/s) überflutet - und ist in der Folge kaum noch oder nur eingeschränkt erreichbar.

Da hierbei die Bandbreite des Angreifers extrem verstärkt wird, bewahrheitet sich der Name "DNS Amplification Attack" (deutsch "DNS-Verstärkungsangriff") dafür ganz offensichtlich!

Die Angreifer brauchen UDP-Dienste

Damit die Attacken in der Form funktionieren, werden UDP-Basierte Dienste benötigt. Diese arbeiten - im Gegensatz z.B. zu TCP - verbindungslos.

Was ist das nun schon wieder? Das verbindungsorientierte TCP-Protokoll ist darauf ausgelegt, in der rauen Wildnis des Internets mit hin und wieder defekten oder verloren gegangenen Datenpaketen umgehen zu können, ohne dass man am Ende kaputte Daten erhält.

Dazu müssen der Server und der Client der jeweiligen Gegenstelle jedes ausgetauschte Paket bestätigen, um sicherzustellen dass es beim Kommunikationspartner angekommen ist. Dieser Aufwand hat den großen Vorteil dass auch über extrem schlechte Verbindungen noch Daten übertragen werden können, aber natürlich hat dieser ganze Zirkus drumherum den Nachteil dass die effektive Datenübertragungsrate sinkt und die Latenz (Zeitspanne zwischen Anfrage und Antwort) steigt - also am Ende sich etwas langsamer anfühlt. Eine weitere Eigenschaft dieses Verfahrens ist, dass es zwingend eine in beide Richtungen funktionierende Kommunikation voraussetzt, welche bei gefälschten Absenderadressen nicht gegeben ist.

UDP hingegen ist es egal, was mit dem Paket passiert: Es wird gesendet und entweder kommt eine Antwort oder sie kommt nicht. Wenn sie kommt, kommt sie aber deutlich schneller als eine eine TCP-Verbindung ausgehandelt worden wäre, weshalb Dienste wie DNS primär über UDP arbeiten um die Geschwindigkeit der DNS-Auflösung zu erhöhen. Allerdings kann natürlich per UDP nicht mehr gewährleistet werden, dass die Datenpakete auch wirklich vom echten Absender kommen - denn hier ist keine aufwändige Aushandlung der Verbindung u.s.w. vorgesehen.

6 wertvolle Tipps: Was man selbst dagegen tun kann

Im folgenden geben wir sechs wertvolle Tipp's, mit denen Sie den Missbrauch, dass Ihre eigene Infrastruktur an solchen Angriffen teilnimmt, deutlich reduzieren können. Sicherlich sind dies alles Standard-Ratschläge, die aber dadurch nicht weniger gültig sind:

Tipp 1 - Dienste auf interne Netze beschränken: Oftmals werden Dienste auch unbeabsichtigt offen ins Netz gestellt, weil sie auf dem Router laufen ohne dass man es selbst bemerkt. Bei den meisten Routern lassen sich diese Dienste entweder auf bestimmte Netzwerkschnittstellen beschränken (so dass sie nur noch intern erreichbar sind) oder nur bestimmten internen IP-Bereichen zugänglich machen. Oder - wenn man den Dienst nicht benötigt - schaltet man ihn einfach ab ;-)

Tipp 2 - Vorsicht bei VPN-Tunneln: Wenn Sie Tunnelverbindungen mit öffentlichen IP-Adressen direkt von einem PC oder MAC aus aufbauen denken Sie daran, dieser die richtige Netzwerkzone zuzuweisen. Ein "Öffentliches Netzwerk" unter Windows beispielsweise lässt erstmal standardmäßig nichts rein, es sei denn, man konfiguriert dafür Ausnahmeregeln. Diese Ausnahmeregeln in der Firewall sollten aber auch nur jene Ports umfassen, die tatsächlich offen zugänglich sein sollen. Gleiches gilt auch, wenn Sie einen Router den VPN-Tunnel aufbauen lassen - einige Router verwenden für VPN-Tunnel automatisch eine weniger restriktive Firewallkonfiguration, weil sie davon ausgehen dass auf VPN-Tunneln nur private IP-Adressen genutzt werden.

Tipp 3 - Rate-Limits aktivieren: Bevor man einen (UDP-) Dienst mit Absicht offen ins Netz stellt, sollte man sich fragen: Warum will ich das eigentlich? Und muss das wirklich sein? Wenn kein Weg dran vorbei geht, sollte man sich um ein sinnvolles Rate-Limiting bemühen, welches den Dienst weniger "missbrauchsfähig" macht. Bei manchen Serverdiensten können diese Limits direkt konfiguriert werden, manchmal braucht es halbwegs intelligente Firewall-Regeln dafür. Vorsicht bei Rate-Limiting per Firewall: Man kann schnell den Dienst auch für legitime Nutzung unbenutzbar machen, wenn zu agressive Limits eingerichtet werden!

Tipp 4 - Firewall nutzen: Nutzen Sie möglichst eine Firewall, die nur die Ports öffnet, die man auch wirklich von außen erreichen will. So bleiben Dienste geschützt, die man gar nicht weltweit anbieten will und dennoch laufen müssen.

Tipp 5 - Eigen-Check per Portscan: Machen Sie einen Portscan über Ihre IP-Adresse, der bekannte Schwachstellen abklopft. Heise Online bietet einen solchen Dienst kostenlos an, mit dem man seine eigene IP-Adresse schnell und einfach prüfen kann: www.heise.de/security/dienste/Netzwerkcheck-2114.html . Auch wir machen in unregelmäßigen Abständen bei akuten Sicherheitsproblemen Portscans auf gefährdete Ports und Protokolle durch unsere Netzwerke. Sobald wir solche Probleme selbst bemerken oder von Dritten darauf aufmerksam gemacht werden, informieren wir Sie per E-Mail darüber.

Tipp 6 - Kennwörter - Sicherheit auch mit TCP: Wenn Sie etwas ins Netz stellen, welches nur von Ihnen oder ausgewählten Personen genutzt werden soll (z.B. Webcams oder Dateifreigaben), sollten Sie diese natürlich mit Kennwörtern schützen. Denken Sie auch daran, die Standard-Zugangsdaten die in jedem Handbuch zu finden sind abzuändern. Das sicherste Kennwort hilft nicht, wenn gleichzeitig noch der Zugang "admin" mit Passwort "1234" existiert ;-) Beliebt sind auch (gerade bei Virtualisierungsumgebungen) VNC-Zugänge ohne Kennwort, mit denen aus der Ferne die virtuelle Maschine gekapert werden kann.

Zusammenfassung:

Ich hoffe ich konnte den Effekt von DDoS-Angriffen verständlich erklären sowie einige Hilfen geben um eigene Infrastruktur vor einem Missbrauch zu schützen.

Wir haben hier bei uns in der Technik leider immer wieder mit solchen Angriffen oder Hinweisen auf offene Dienste zu tun - und freuen uns von daher über jedes einzelne  abgesicherte Gerät...

Gerne freue ich mich auf Ihre Fragen und Kommentare über eigene Erfahrungen !

Seite 1 Seite 2

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
ddos (1)
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Maximilian Grobecker
Portunity GmbH
Ich bin Techniker und Entwickler bei Portunity Hosting und Access und somit immer da, wo irgendetwas technisches nicht funktioniert und zum Funktionieren gebracht werden soll. Böse Zungen behaupten, ich sei bereits vor Einsetzen des Problems vor Ort gewesen...

Meine Interessensgebiete sind daher auch eng mit Netzwerken, Telefonie und "irgendwas mit Computer" verknüpft, wenn ich nicht gerade hobbymäßig Videos drehe (NICHTS versautes!).

27.11.2012
09.06.2011
  • nisabalal

    nisabalal hat sich angemeldet


    am 09.11.2017
  • nisabalal

    nisabalal hat sich angemeldet


    am 09.11.2017
  • nalimidi

    nalimidi hat sich angemeldet


    am 06.11.2017
  • Knipfer_M

    Knipfer_M hat sich angemeldet


    am 05.11.2017
  • Hoppeschliff

    Hoppeschliff hat sich angemeldet


    am 16.10.2017
  • javahey

    javahey hat sich angemeldet


    am 13.10.2017
  • thecha0z

    thecha0z hat sich angemeldet


    am 11.10.2017
  • thecha0z

    thecha0z hat sich angemeldet


    am 11.10.2017
  • SirPipsy

    SirPipsy hat sich angemeldet


    am 11.10.2017
  • SirPipsy

    SirPipsy hat sich angemeldet


    am 11.10.2017
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
Telefonkette für Ihr Business
Mit Telefonkette.de können Sie Telefonketten verwaltet und automatisch die aufgenommenen Sprachnachrichten an die Mitglieder via echten Telefonanruf übermitteln.
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
Telefonvalidierung
Mit unserer Webservice-API Telefonvalidierung können Telefonnummern in eigenen Projekten überprüft werden (z.B. in Onlineshops, Communities, ...).
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.