michelangelus - Fotolia

Netzwerksicherheit: Mehrgleisige Strategie gegen DoS-Attacken

Denial-of-Service-Attacken sind auf dem Vormarsch. Mit einer mehrgleisigen Strategie können Unternehmen ihre Wirkung abschwächen.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Kennen Sie das Sprichwort, dass alles Alte irgendwann wieder modern wird? Dies gilt auf jeden Fall für DoS-Attacken (Denial of Service), die versuchen, den Betrieb von Webservern, Websites oder Webanwendungen zu stören oder zu unterbrechen. Denial-of-Service-Attacken nehmen tatsächlich zu. Ein Bericht von Akamai Technologies (PDF) zeigt, dass die Anzahl der DoS-Angriffe im ersten Quartal 2016 im Jahresvergleich um 125 Prozent gestiegen ist. Dem Verizon Breach Report 2016 zufolge richten sich die Angriffe vor allem auf den öffentlichen Sektor, Einzelhandel, Finanzdienstleistungen und Schulen – all diese Branchen benötigen bessere DoS-Verteidigungstechniken.

Auch wenn DoS-Attacken nicht so bekannt sind wie Ransomware oder Datenlecks im Handel, können sie eine große Anzahl von Benutzern betreffen. Derartige Angriffe sind sehr einfach zu starten und nur schwer komplett abzuwehren – das macht sie bei Cyberkriminellen so beliebt. Ihr einziges Ziel ist es, die Verfügbarkeit von Webdiensten zu beeinträchtigen oder zu unterbrechen.

Neue Formen von DoS-Attacken

Manche Schüler und Studenten haben die Macht von DoS-Angriffen entdeckt und die Technik eingesetzt, um Prüfungen oder Tests einfach zu umgehen. Indem sie den Anwendungsserver mehrere Stunden mit Anfragen fluten und zum Absturz bringen, brauchen sie keine (Online-)Prüfung abzulegen. DoS-Angebote sind einfach und billig online gegen Geld verfügbar, der Umweg über das Darknet ist nicht notwendig. Eine einfache Google-Suche nach dem Begriff Booter ergibt beispielsweise Hunderte von Treffern für DoS-Dienste. Viele dieser Websites akzeptieren die Zahlung über Kreditkarte, PayPal, Western Union oder Bitcoin.

Unternehmen sollten wissen, dass die Eintrittsbarriere sehr niedrig ist und jede Person einen DoS-Angriff auf die Webinfrastruktur starten kann. Daher sollten Firmen einen Denial-of-Service-Verteidigungsplan haben, bevor überhaupt ein Angriff stattfindet. Dieser Plan sollte bestimmen, wer für die Reaktion verantwortlich ist, welche Maßnahmen konkret zur Abwehr eines Angriffs getroffen werden und welche Sicherheitsfunktionen bereits vor der Attacke implementiert wurden. Um mögliche Schäden zu mildern, müssen Firmen entsprechende Angriffe identifizieren und frühzeitig erkennen.

Unterscheidung von gutem und bösem Traffic

Identifizierungs- und Nachweisverfahren basieren darauf, legitime Anfragen zu erkennen und von bösartigem oder schädlichem Traffic zu unterscheiden. Eine gängige Methode ist das so genannte Activity Profiling. Dabei werden die durchschnittlichen Paketraten aufgezeichnet und Abweichungen im Verkehrsfluss markiert; diese Abweichungen zeigen, dass möglicherweise gerade ein Angriff läuft. Das Verfahren Change Point Detection verwendet Statistik und berechnet eine kumulative Summe, um den tatsächlichen Netzwerkverkehr im Vergleich zum erwarteten Traffic zu ermitteln.

Zwei weitere wichtige Schritte sind die Maximierung der Bandbreite sowie Load Balancing. Unternehmen sollten grundsätzlich immer mehr Bandbreite vorhalten, als sie eigentlich benötigen. Das hat nicht nur mit DoS zu tun, sondern mit jedem anderen legitimen Ereignis, das zu Schwankungen beim Traffic führt. Zusätzliche Bandbreite federt einen Angriff ab und bietet einen Zeitpuffer für eine angemessene Reaktion. Auch Replication Server liefern zusätzlichen Ausfallschutz. Hinter dieser DoS-Verteidigungsstrategie steht die Idee, die Lasten in einer Multi-Server-Architektur auf verschiedene Server zu verteilen, um Angriffen die Schärfe zu nehmen.

Drosseln von Anfragen schützt das Netzwerk

Das Verzögern von Anfragen (Throttling) ist eine weitere nützliche Technik gegen DoS-Attacken. Anfragen jedes Nutzers werdend dabei verlangsamt, um sie einfacher blockieren zu können, falls sie in zu kurzer Zeit zu viele Aktionen ausführen. Unternehmen sollten zudem ungültige Adressen blockieren, sprich Bogon- und Martian-Packet-Filterung einsetzen. Beispiele für ungültige Adressen sind nicht genutzte IP-Adressen, Loopback- und NAT-Adressen (Network Address Translation).

Firmen sollten zudem Ingress-Filter wie RFC 2827 und RFC 3704 beachten, die Netze vor unerwünschtem Eingangsdatenverkehr schützen, indem sie Internetpakete mit gefälschten oder fehlerhaften Absenderadressen blockieren. Ein Ingress-Filter lässt nur IP-Pakete mit bekannter Absenderadresse durch. RFC 2827 bietet zwar keinen Schutz gegen einen DoS-Angriff, aber es verhindert, dass ein Angreifer im Netzwerk mit gefälschten Absenderadressen arbeitet, die nicht den Firewall-Filterregeln entsprechen.

Auch RFC 3704 begrenzt die Wirkung von DoS-Attacken, da es IP-Pakete blockiert, die sich mit gefälschten Adressen Zugang zum Netzwerk erschleichen wollen. RFC 3704 sorgt zudem dafür, dass die korrekte Quelle des Traffics offengelegt wird. Darüber hinaus sollten Unternehmen überlegen, ob sie Dienste ihres Internet Service Provider (ISP) zur DoS-Prävention oder Funktionen wie Blackhole-Filtering nutzen. Bei letzterem werden Adressen erkannt und blockiert, die häufig Ausgangspunkte von Spam-Mails, Malware oder anderer schädlicher Aktionen waren. Auch damit lässt sich schnell auf DoS-Attacken reagieren.

Die eben beschriebenen Strategien begrenzen zwar den Schaden durch DoS-Attacken, verhindern aber grundsätzlich die Angriffe auf das Netzwerk nicht. Unternehmen müssen sich daher mit einem genauen Incident-Response-Plan auf einen möglichen Angriff vorbereiten. Zu den wesentlichen Maßnahmen gehören zusätzliche Bandbreite, die Blockade von fehlerhaften IP-Adressen oder der Kauf zusätzlicher Services beim ISP. Das Schlechteste, was Firmen tun können, ist abzuwarten und erst dann zu reagieren, wenn sie zum Opfer einer DoS-Attacke geworden sind.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im September 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close