Die Bedrohung durch DDoS-Attacken wächst ständig. Da das Thema von großem Interesse in der gesamten Branche ist und es erst kürzlich in UK wieder einen spektakulären Fall gab, möchte ich hier einen Ausblick für 2013 vorstellen. Darin zeige ich, warum DNS-Verstärkungsangriffe (Reflection Attacks) und ähnliche Attacken in der Zukunft einen größeren Teil der DDoS-Angriffe ausmachen werden.

Die Hauptmotivation dieser Attacken hängt mit der sinkenden Zahl von mietbaren Bots zusammen, was wiederum mit einem effizienterem Vorgehen der Behörden gegen große Botnetze einhergeht. Aufgrund der geringeren Zahl an verfügbaren Bots suchen Hacktivisten und Cyber-Kriminelle nun nach neuen Wegen, um Ihre Angriffe wirksamer zu machen.

Die Funktionsweise eines DNS-Verstärkungsangriffs ist denkbar einfach: Die vom Angreifer erzeugten Daten werden von einem DNS-Resolver auf das Ziel reflektiert. Stellen Sie sich vor, Sie senden eine kleine DNS-Anfrage in der Größenordnung von 40 Bytes an einen DNS-Server und dieser antwortet mit einem 2500 Byte großem Paket. Klingt nach einem richtig guten Deal, oder? Im nächsten Schritt geben Sie sich als Server Ihres Ziels aus, indem Sie Ihre IP-Adresse fälschen. Nun landen die Antworten des DNS-Resolvers, große Datenmengen, bei Ihrem Ziel. Da DNS ein verbindungsloses Protokoll mit Namen UDP einsetzt, findet keine Verifizierung der Quell-Adresse statt. Dadurch ist es einfach, eine falsche Absenderadresse vorzugaukeln.

Ich glaube, DNS-Verstärkungsangriffe werden aus mehreren Gründen zur bevorzugten Angriffsmethode werden. Zum einen sind in der Liste der Top Ten Autonomous System Numbers (AS) ungefähr 20 000 DNS-Resolver zu finden*. Weiterhin lässt sich auf diese Weise die Attacke um den Faktor 250 verstärken und der Angreifer benötigt wenig Bandbreite. Je mehr Bots der Angreifer kontrolliert, umso größere Schäden zieht die Attacke nach sich. Und schließlich: Die DNS-Resolver loggen nur wenige Daten mit, was es sehr vereinfacht, die Herkunft der Attacke zu verschleiern.

Im Verlauf der letzten zwei Jahre haben diese Attacken stark zugenommen. Einige davon hatten bis zu 35 Gbit/s – mehr als genug, um den Internetanschluss eines Unternehmens mittlerer Größe zu überlasten. Man sollte immer im Hinterkopf behalten, dass die DDoS-Attacke sehr oft als Ablenkungsmanöver für einen ausgeklügelteren Angriff fungiert, welcher das Unternehmen richtig Geld kosten kann. Will man diesen Angriff isolieren, muss man die Nadel im Heuhaufen finden. Wie verhalten sich Ihre Security-Produkte unter Datenbeschuss während einer DDOS-Attacke? Und noch wichtiger: Können sie Auffälligkeiten wie SQL Injection-Attacken im Datensturm feststellen?

Wie können Sie Ihr Unternehmen gegen diese Art von Attacken schützen? Eine effektive Methode besteht darin, Sicherheitskonzepte auf allen Ebenen der Kommunikationsarchitektur einzusetzen. Dies bedeutet, dass Sie einen kombinierten Schutz für Network Layer DDoS-Attacken (L2-L4) mit DDoS-Attacken auf Application-Layer-Ebene (L5-L7) brauchen.

Um die Frage in der Überschrift zu beantworten: Das Risiko, Ziel einer DDoS-Attacke zu werden, war niemals größer. DDoS-Attacken sind de-facto Standard bei Online-Protesten und werden auch weiterhin von Hacktivisten genutzt werden, um sich Gehör zu verschaffen – ob für politische, ideologische, finanzielle oder religiöse Anliegen.

Unser Job ist es, die besten Lösungen zur Abwehr dieser Angriffe herzustellen.

* HostExploit’s – World hosts report Q3 2012