Advanced Persistent Denial of Service
Angreifer sind geduldig
Mit der Weiterentwicklung von DDoS-Angriffen (Distributed Denial of Service) zu Advanced Persistent Denial of Service (APDoS) entsteht für Unternehmen und deren Service-Provider ein ganz neues Bedrohungsszenario: Herkömmliche DDoS-Abwehrmaßnahmen sind gegen APDoS-Angriffe nahezu wirkungslos, da sie massive manuelle Intervention erfordern. Erfolg gegen die weitgehend automatisierten APDoS-Angriffe versprechen vor allem ebenfalls automatisierte Abwehrmethoden.
In vielen Unternehmen herrscht der Glaube vor, dass das eigene Netzwerk einen DDoS-Angriff überstehen kann - wenn man nur genügend Bandbreite zur Verfügung stellt. Die Kapazität der Internetverbindung erhöhen, Netzwerkressourcen ausbauen und ein paar neue Kabel verlegen - und schon sollte das Netzwerk in der Lage sein, zusätzlichen Verkehr zu verkraften. Und wenn das doch nicht hilft, muss man halt einmal Pakete droppen. Doch auf diese Weise wird man neuere Multi-Vektor-Angriffe nicht aufhalten können - und diese sind, wie man derzeit beobachten kann, eher eine Frage des "wann" als des "ob".
Angreifer kennen die auf dem Markt verbreiteten Sicherheitslösungen sehr genau und haben auch eine gute Vorstellung davon, welchen Trends und Heuristiken Sicherheitsexperten folgen. Auf Basis dieser Kenntnis entwickeln sie immer ausgefeiltere Tools wie etwa APDoS und Burst-Angriffe (auch "Hit-and-Run DDoS" genannt). In seinem jüngsten Bericht hat Radwares Emergency Response Team (ERT) auf den zunehmenden Einsatz dieser DDoS-Angriffsformate hingewiesen.
APDoS ist ein fortlaufender DDoS-Angriff, die erst ein Ende findet, wenn der Angreifer dies will oder der angegriffene Server in der Lage ist, sich dagegen zu wehren. Als persistenter Angriff vereint APDoS ein ganzes Potpourri von Angriffsmustern: Er wird in aller Regel unterschiedliche Angriffsvektoren beinhalten, die alle Netzwerk-Layer zur gleichen Zeit attackieren. Eine typische APDoS-Kampagne kombiniert zum Beispiel massive DDoS-Angriffe auf der Netzwerkebene und gezieltes (HTTP-)Flooding auf Anwendungsebene, gefolgt von wiederholten SQL-Injection- und XSS-Angriffen (Cross-Site Scripting), die in variablen Abständen erfolgen. Dabei können die Requests pro Sekunde im achtstelligen Bereich liegen. Vereint man dies noch mit der guten alten volumetrischen Angriff in Form gewaltiger SYN-Floods und mit dem relativ neuen Vektor Secure SMTP (TLS over SMTP), so wird es schon sehr schwierig, sich gegen einen derartigen Angriff wirksam zu verteidigen.
Viele Unternehmen, die DDoS-Abwehrlösungen einsetzen, haben nicht unbedingt mit einem so breiten Spektrum von Angriffsvektoren gerechnet, insbesondere nicht mit SMTP oder FTP beziehungsweise deren sicheren Varianten. Hinzu kommt, dass APDoS-Angriffe sich über Wochen hinziehen können, was selbst die modernsten Sicherheitsarchitekturen und -systeme an den Rand ihrer Leistungsfähigkeit bringt. Die großen SYN-Floods beeinträchtigen dabei oft nicht nur das eigentliche Angriffsziel, sondern auch den Service-Provider und dessen anderen Kunden.
Diese neuen Bedrohungen erfordern automatisierte Abwehrmaßnahmen sowie eine schnelle Analyse und Bekämpfung - doch dies ist in vielen heutigen Netzwerken nahezu unmöglich. Oft verlassen die Unternehmen sich auf ältere Konzepte und Techniken wie etwa den Versuch, Lösungen unterschiedlicher Hersteller zu synchronisieren. Doch solche Ansätze ermöglichen keine effiziente Automatisierung, sondern erfordern massive manuelle Intervention und sind damit schlicht zu langsam.
Das Aufkommen von APDoS-Angriffen erfordert sehr viel ausgefeiltere Methoden der Entdeckung und Bekämpfung sowie eine enge Partnerschaft mit einem DDoS-Mitigation-Provider. Angreifer legen heute große Geduld und die entsprechende Ausdauer an den Tag und nutzen sogenannte "Low and Slow"-Techniken (deutsch: leise und langsam), die eher Anwendungsressourcen binden als jene in Netzwerk-Stacks. Um der Entdeckung und Bekämpfung zu entgehen, kommen Ausweichtechniken zum Einsatz, darunter SSL-basierende Angriffe oder wechselnde Zielseiten in einer HTTP-Flood. Eine vor allem bei Hacktivisten beliebte Ablenkungsmethode ist zudem die, taktisch zwischen mehreren Angriffszielen zu wechseln, um plötzlich das eigentliche Opfer massiv zu attackieren.
Burst-Angriffe oder "Hit-and-Run DDoS? (deutsch: Fahrerflucht-DDoS) verwenden explosionsartig kurze und hochvolumige Angriffe, die in zufälligen Intervallen erfolgen und sich über Tage oder gar Wochen hinziehen können. Sie führen zu häufigen und unvorhersehbaren Beeinträchtigungen von Server-Diensten und können legitimen Anwendern den Zugriff auf diese Dienste unmöglich machen.
Hit-and-Run DDoS erfordert auf Seiten des Angreifers den Zugriff auf massive Ressourcen (Rechenleistung, Botnets und Anwendungen), um innerhalb kurzer Zeit hochvolumige Angriffe zu ermöglichen. Diese Bursts halten nicht lange an: Es dauert oft nur wenige Minuten, bis der Server in die Knie geht. In der Regel wiederholen die Angreifer die Bursts alle paar Stunden, solange die Angriffsoperation läuft.
Bursts als Testangriff
Solche Bursts finden manchmal auch als Test Verwendung. Dabei injiziert ein Hacker ein paar ungültige Pakete, um zu erkennen, ob das Netzwerk online ist und funktioniert. Hit-and-Run DDoS dient dazu, bestehende Abwehrmaßnahmen, ob nun Software oder Services, gegen fortdauernde DDoS-Angriffe zu erkennen. Die Aktivierung softwarebasierter Abwehrtechniken kann dabei länger dauern als die Attacke selbst. So kann ein Server bereits erfolgreich angegriffen sein, bevor der DDoS-Schutz greift. Zudem ist es für den Angegriffenen in diesem Fall unmöglich, das Angriffsmuster zu erkennen - das sich überdies im Laufe der Operation verändern kann.
Neue Bedrohungen erfordern neue Methoden
Die Analyse jüngerer Burst-Angriffe durch Radwares ERT zeigt eine zunehmende Nutzung automatisierter, Bot-basierender Angriffsmethoden, um innerhalb kurzer Zeit hohe Volumina zu generieren. Werden diese Peaks über längere Zeit durchgehalten, entsteht daraus eine APDoS-Angriff. Ein solcher involviert erheblich größere Anfragevolumen als herkömmliche volumetrische Angriffe und droht, die Internet-Anbindung zu sättigen. Eine hybride Verteidigungslösung mit On-Premise-Systemen für die Entdeckung und Echtzeitbekämpfung sowie einem Cloud-Service gegen die volumetrischen Angriffe ist in der Regel der beste Ansatz zur Bekämpfung.
Lesen Sie mehr zum Thema
