Automatisiert gegen DDoS-Attacken

arten-der-angriffe-in-unternehmen-2015
7

Mit weitgehend automatisierten Abwehrmethoden will Radware Unternehmen und Organisationen helfen, sich gegen die zunehmende Zahl von Denial-of-Service-Attacken zu wehren. Gerade die Weiterentwicklung von DDoS-Angriffen zu Advanced Persistent Denial-of-Service (APDoS) stellt laut Radware eine ganz neue Bedrohungslage dar, die neben dem eigentlichen Ziel auch dessen Service Provider betrifft. Mit herkömmlichen Anti-DDoS- Maßnahmen können man APDoS-Attacken nicht wirksam entgegentreten, da sie massive manuelle Intervention erfordern.

APDoS ist eine fortlaufende DDoS-Attacke, die erst beendet wird, wenn der Angreifer dies will oder angegriffene Server in der Lage ist, sich dagegen zu wehren. Dabei kombinieren Angreifer über Wochen hinweg eine ganze Reihe unterschiedlicher Angriffsmuster und Angriffsvektoren, die alle Netzwerk-Layer gleichzeitig attackieren. Ein typisches Beispiel besteht etwa ausmassiven DDoS-Attacken auf der Netzwerkebene und gezieltem (HTTP-)Flooding, auf Anwendungsebene, gefolgt von wiederholten SQLI- und XSS-Attacken, die in variablen Abständen erfolgen. Dabei können achtstellige Anzahlen von Requests pro Sekunde generiert werden. Zudem lassen sich solche Attacken auch mit herkömmlichen SYN-Floods kombinieren, was die Verteidigung weiter erschwert. Die großen SYN-Floods beeinträchtigen übrigens oft nicht nur das eigentliche Angriffsziel, sondern auch den Service Provider und dessen anderen Kunden.

Automatisierte Abwehrmaßnahmen

Diese neuen Bedrohungen erfordern automatisierte Abwehrmaßnahmen sowie eine schnelle Analyse und Bekämpfung – doch dies ist in vielen heutigen Netzwerken nahezu unmöglich. Oft verlassen die Unternehmen sich auf ältere Konzepte und Techniken wie etwa den Versuch, Lösungen unterschiedlicher Hersteller zu synchronisieren. Doch solche Ansätze ermöglichen keine effiziente Automatisierung, sondern erfordern massive manuelle Intervention und sind damit schlich zu langsam.

Das Aufkommen von APDos-Attacken erfordert sehr viel ausgefeiltere Methoden der Entdeckung und Bekämpfung sowie eine enge Partnerschaft mit einem DDoS Mitigation Provider. Angreifer legen heute eine große Geduld, aber auch die entsprechende Ausdauer, an den Tag und nutzen sogenannte „low and slow“-Techniken, die eher Anwendungsressourcen binden als die in Netzwerk-Stacks. Burst-Attacken oder “Hit-and-Run DDoS” dagegen verwenden kurze, explosionsartige  und hochvolumige Angriffe, die in zufälligen Intervallen erfolgen und sich über Tage oder gar Wochen hinziehen können. Solche Angriffe erfordern auf Seiten des Angreifers den Zugriff auf massive Ressourcen, um innerhalb kurzer Zeit Angriffe mit hohem Datenvolumen zu ermöglichen. Diese Bursts dauern nicht lang – oft nur wenige Minuten -, bevor der Server in die Knie geht. In der Regel werden solche Bursts alle paar Stunden wiederholt, solange die Angriffsoperation läuft. Solche Bursts werden manchmal auch als Test eingesetzt, um bestehende Abwehrmaßnahmen, ob nun Software oder Services, gegen fortdauernde DDoS-Angriffe zu erkennen.

Burst-Attacken werden immer häufiger eingesetzt. Von ihrer Natur her volumetrisch, involvieren sie doch erheblich größere Anfragevolumen als herkömmliche volumetrische Angriffe und drohen, die Internet-Anbindung zu sättigen. Eine hybride Verteidigungslösung mit On-Premise-Systemen für die Entdeckung und Echtzeit Bekämpfung sowie einem on-demand Cloud Service gegen diese volumetrischen Attacken ist in der Regel der beste Ansatz zur Bekämpfung.