In den vergangenen Jahren sind DDoS-Angriffe (Distributed Denial of Service) immer häufiger und ausgefeilter geworden. Angreifer finden immer neue Wege, um Zielnetzwerke mit massiven Angriffen zu überfluten, die exponentiell wachsen und verschiedene Angriffstechniken verwenden. Carpet-Bombing ist eine dieser zerstörerischen Techniken, die für Unternehmen und Dienstanbieter weltweit ein großes Problem darstellt, zumal fortgeschrittene Hacktivisten diese Technik zunehmend nutzen.
Die Auswirkungen von DDoS-Carpet-Bombing-Attacken können für eine Organisation verheerend sein – sie können längere Ausfallzeiten für große Teile des Netzwerks verursachen und zu finanziellen Verlusten und Rufschädigung führen.
Carpet-Bombing-Techniken
DDoS-Angriffe zielen darauf ab, die Ressourcen des Ziels zu überwältigen und dessen Dienste für legitime Benutzer unzugänglich zu machen. Aber Carpet-Bombing hebt den traditionellen DDoS-Angriff auf eine ganz neue Ebene, indem ein riesiges Botnet genutzt wird, um gleichzeitige Angriffe auf mehrere Ziele zu orchestrieren. Der schiere Umfang und die Komplexität dieses Ansatzes machen es besonders schwierig, sich dagegen zu verteidigen.
So funktioniert DDoS-Carpet-Bombing
Es gibt vor allem drei Wege, Carpet-Bombing-Attacken zu entdecken.
- Botnet-Rekrutierung: Angreifer rekrutieren eine große Anzahl kompromittierter Geräte, darunter Computer, Server, Router und IoT-Geräte, ohne das Wissen der Besitzer. Diese Geräte werden dann zu einem Botnet zusammengeschlossen.
- Ausführung des Angriffs: Sobald das Botnet rekrutiert ist, wird der Angreifer höchstwahrscheinlich mit dem Angriffsbefehl warten, da er davon ausgeht, dass das Ziel über eine Lösung zur Eindämmung von Angriffen verfügt. Der Angreifer sendet dann einen verteilten Angriff, im Gegensatz zum Senden an einzelne Ziel-IPs, um zu versuchen, die konfigurierten Schwellenwerte zu messen und danach zu suchen, was durchbrochen werden kann und was nicht. Letztlich sucht der Angreifer nach dem Sweet Spot, der knapp unter dem konfigurierten Schwellenwert liegt. Ist dieser Punkt gefunden, ziehen sich die Angreifer zurück oder halten den Angriff für eine gewisse Zeit (Stunden bis Tage) aufrecht, um festzustellen, ob sie entdeckt und auf die Blockliste gesetzt wurden.
Nun zum Angriffsbefehl: Der Angreifer initiiert das gleiche Volumen an bösartigem Datenverkehr, wobei diesmal das gesamte Subnetz bzw. die gesamten CIDRs (Tausende von Ziel-IPs) gleichzeitig bombardiert werden. Da er unter dem Schwellenwert bleibte, versuchen alle angegriffenen Server zu reagieren, was zu einer überwältigenden Flut führt, unter der interne Dienste, einschließlich des Mitigation Device, leiden. Diese Flut von Datenverkehr überfordert die Netzinfrastruktur des Ziels und macht Online-Dienste unzugänglich.
- Multi-Vektor-Ansatz: Bei einer DDoS-Carpet-Bombing-Attacke kommen mehrere Angriffsvektoren zum Einsatz, darunter volumetrische Angriffe (Überflutung des Netzes mit übermäßigem Datenverkehr), Angriffe auf der Anwendungsebene (die auf bestimmte Anwendungen oder Dienste abzielen) und Protokollangriffe (Ausnutzung von Schwachstellen in Netzwerkprotokollen). Dieser vielschichtige Ansatz maximiert die Erfolgschancen.
Folgen von DDoS-Carpet-Bombing:
Der Schutz vor Carpet-Bombing-DDoS-Angriffen ist schwieriger als der Schutz vor gezielten Angriffen, weil die meisten DDoS-Anbieter nur Angriffe auf einzelne IPs und nicht Subnetze und Netzwerke mitigieren. Die Kosequenzen ungenügenden Schutzes sind unterschiedlich.
- Unterbrechung von Diensten: Unternehmen, die von DDoS-Carpet-Bombing betroffen sind, müssen mit erheblichen Serviceunterbrechungen rechnen, die zu finanziellen Verlusten, einem schlechten Ruf und unzufriedenen Kunden führen. Die Nichtverfügbarkeit kritischer Dienste kann zu ernsthaften betrieblichen Problemen führen.
- Kollateralschäden: Da DDoS-Angriffe mit Carpet-Bombing gleichzeitig auf mehrere Einrichtungen abzielen, kommt es häufig zu Kollateralschäden. Selbst wenn es einem Ziel gelingt, den Angriff zu entschärfen, beeinträchtigt die schiere Menge des böswilligen Datenverkehrs die gesamte Infrastruktur und führt zu Verlangsamungen oder Ausfällen bei anderen Benutzern und Diensten.
Vorbeugende Maßnahmen
Zum Schutz vor Carpet-Bombing-Attacken, sollten Organisationen mehrere Best Practices befolgen:
- Proaktive Netzwerküberwachung: Organisationen benötigen einen DDoS-Detektor und -Mitigator, der die Netzwerküberwachung in Friedenszeiten gewährleistet und in der Lage ist, anormale Verkehrsmuster zu erkennen und potenzielle DDoS-Angriffe in Echtzeit zu identifizieren. Eine frühzeitige Erkennung ermöglicht eine schnelle Reaktion. Der nächste Schritt ist eine automatische Gegenmaßnahme zur Abschwächung.
- Skalierbare Bandbreiten und Infrastruktur: Unternehmen sollten sicherstellen, dass ihre Netzwerkinfrastruktur unerwartete Spitzen im Datenverkehr bewältigen kann. Es ist wichtig, in eine skalierbare Bandbreite, Load Balancer und ein starkes Erkennungs- und Abwehrsystem zu investieren, das den massiven Angriff bewältigen und die Verfügbarkeit der Dienste gewährleisten kann.
- DDoS-Abwehrdienste: Schließlich sollte eine Organistaion mit einem seriösen Anbieter von DDoS-Abwehrdiensten zusammenarbeiten. Diese Dienste setzen fortschrittliche Techniken zur Filterung des Datenverkehrs ein und verfügen über das nötige Fachwissen, um groß angelegte Angriffe zu bewältigen. Eine führende Lösung eines DDoS-Anbieters sollte bösartigen Datenverkehr erkennen und blockieren sowie sicherstellen, dass legitime Anfragen ihr Ziel erreichen. So bleibt der Angriffsverkehr draußen.
Erst kürzlich hat Radware Cloud Services erfolgreich eine sehr große Carpet-Bombing-Kampagne abgewehrt, die mehrere Unternehmen und Service Provider gleichzeitig angriff. Es handelte sich um eine globale Angriffskampagne, die sich auf TCP-Reflection großer Subnetze und CIDRs als Hauptangriffsvektor konzentrierte.
Die Angriffsmethode nutzte ein großes Subnetz/CIDR, um eine Flut von SYN-ACK-Paketen mit einem Umfang von über 300 Gbps an die Zielopfer zu reflektieren. Die Angriffe wurden sofort mit verschiedenen Abwehrtechniken abgewehrt. Bei nicht geschützten Organisationen kam es zu Verlangsamungen oder Ausfällen.
Fazit
Die Bedrohung durch DDoS Carpet-Bombing nimmt weiter zu, auch weil die Angriffe unterhalb der Schwellenwerte für die Schadensbegrenzung bleiben. Diese hochgradig verteilten Angriffe auf große Teile des Netzwerks des Opfers, z. B. Subnetze/CIDRs, sind äußerst verheerend, wenn sie nicht erkannt und abgewehrt werden. Organisationen, ob klein oder groß, müssen die notwendigen Schritte unternehmen, um sich zu schützen. Durch die Implementierung eines innovativen Erkennungsmechanismus, eines mehrschichtigen Schutzkonzepts und einer robusten Abwehrplattform sind Unternehmen für den nächsten Carpet-Bombing-Angriff gewappnet.
Autor: Itay Raviv ist Product Manager in der Radware Network Security Group.
