BLOG

DDoS-Angriffe des letzten Monats verstehen

F5 Miniaturansicht
F5
Veröffentlicht am 27. Oktober 2016

In diesem Artikel werfen wir einen kurzen Blick auf die Auswirkungen der beispiellosen #DDoS-Angriffe vom September und Oktober 2016 und geben Hinweise für alle, die ihre Widerstandsfähigkeit verbessern möchten.

Feiern wir die Ankunft des Internets der Dinge! Wir wissen, dass es endlich da ist, weil es seit September dreimal als Cyberwaffe eingesetzt wurde. Es begann mit einem massiven Angriff auf den Blogger-Journalisten Brian Krebs, dessen Website krebsonsecurity.com vom CDN Akamai gehostet und geschützt wurde. Der Angriff war so schwerwiegend, dass auch andere Kunden von Akamai in Mitleidenschaft gezogen wurden, dass das Unternehmen seine kostenlose Verteidigung des Bloggers einstellte.

Branchenforscher (darunter auch F5) wurden auf ein neues Botnetz aufmerksam gemacht, das aus DVRs, Videokameras und anderen „Dingen“ besteht. Doch die DVRs und Videokameras sind von Bedeutung, da sie sowohl über eine hohe CPU-Leistung verfügen (und daher als Host für hochentwickelte Schadsoftware dienen können) als auch über Uplinks mit hoher Bandbreite (von denen aus sie Angriffe mit jeweils bis zu 100 Mbit/s starten konnten). Der gesamte auf Krebs gerichtete Angriffsverkehr betrug 620 Gbit/s, was damals der weltweit größte DDoS-Angriff war.

Der zweite Angriff legte OVH, den größten französischen Hosting-Anbieter (der Literatur zufolge weltweit die Nummer drei) für fast einen Tag lahm. In vielen Medienberichten wurde die Größe des OVH-Angriffs mit fast der doppelten Größe des Krebs-Angriffs angegeben: ein ganzes Terabit pro Sekunde.

Der dritte und möglicherweise schlimmste Angriff richtete sich gegen Dyn, das DNS-Dienstleistungsunternehmen. Dyn ist der DNS-Anbieter für viele namhafte Websites, darunter Twitter, Spotify und GitHub (wo ironischerweise der Code des IoT-Botnetzes gepostet wurde).

Also, wer war es?

Durch einen merkwürdigen Zufall war der Branchenstar Bruce Schneier im Monat zuvor in zahlreichen Interviews unterwegs und warnte vor bevorstehenden massiven DDoS-Angriffen durch Nationalstaaten. Seine Insiderinformationen stammten von anonymen Quellen aus der Branche, die gezielte DDoS-Angriffe auf die zentrale Internet-Infrastruktur entdeckt hatten.

Doch wie sich herausstellte, waren diese Sondierungsangriffe möglicherweise bloßer Zufall. Schneier selbst gab in seinem Blog zu , dass er nicht glaubt, dass es sich bei dem Angriff auf Dyn um einen Nationalstaat handelte. Aber vielleicht beobachtet und wartet dieser Nationalstaat auch nur.

Der Schlüssel zur Zuordnung in den Fällen Krebs, OVH und Dyn dürfte von Brian Krebs selbst stammen.

„Der Angriff auf DYN erfolgte nur wenige Stunden, nachdem der DYN-Forscher Doug Madory bei einem Treffen der North American Network Operators Group (NANOG) in Dallas, Texas, einen Vortrag über DDoS-Angriffe gehalten hatte. …der Rekord-DDoS-Angriff mit 620 Gbit/s gegen KrebsOnSecurity.com erfolgte nur wenige Stunden, nachdem ich die Story veröffentlicht hatte, bei der Madory und ich zusammengearbeitet hatten.“

Sehr wahrscheinlich handelt es sich bei dem Gegner um eine Einzelperson (oder eine kleine Gruppe) mit einer Agenda gegen Brian Krebs oder Doug Madory oder beide.

Wir alle können verstehen, dass ein umfassender Cyberkrieg zwischen China und den USA Millionen von Nutzern betreffen würde. Was aber, wenn sich herausstellt, dass es sich um die persönliche Agenda einer Einzelperson gegen eine andere Einzelperson handelt? Das ist noch beängstigender als ein Angriff eines Nationalstaats. Was für ein Internet haben wir aufgebaut, wenn eine einzelne Person, die einen Groll gegen eine andere Person hegt, lebenswichtige Dienste für Millionen von Menschen unterbrechen kann?

Wie sind wir hierher gekommen?

F5 beobachtet die Jagd nach Geräten des Internets der Dinge (IoT) seit über einem Jahr. Unser erster Bericht zu diesem Problem wurde im Juli 2016 veröffentlicht und zeigte einen Anstieg der Telnet- und SSH-Brute-Force-Scans im Vergleich zum Vorjahr um 140 %. Telnet und SSH sind weit verbreitete Ports für die Remote-Verwaltung und werden häufig unwissentlich mit den vom Hersteller standardmäßigen (oder leicht zu erratenden) Benutzernamen und Passwörtern dem Internet ausgesetzt.

Bei den beispiellosen DDoS-Angriffen auf Krebs, OVH und Dyn im Oktober 2016 wurde genau diese Technik (Scannen nach Telnet-Ports und Standardkennwörtern von Herstellern auf IoT-Geräten) verwendet, um ein Botnetz mit einzigartigen Fähigkeiten zu erstellen.

Jeder ist wieder ein Ziel. Die Bot-Hirten schrecken nicht davor zurück, ihre Cyber-Waffe gegen einige der größten Anbieter der Welt einzusetzen – Ziele, die bislang als unantastbar galten.

Es mag zwar so scheinen, als hätten diese Angriffe über Nacht stattgefunden, doch in Wirklichkeit sucht, findet und kompromittiert der Bot-Hirte bereits seit mindestens einem Jahr langsam anfällige IoT-Geräte.

Tauchen Sie tief in das ein, was wir wissen

Wir haben tatsächlich eine ziemlich gute Vorstellung von den Fähigkeiten des IoT-Botnetzes Mirai. Die Forscher bei F5 verfassten eine technische Analyse des Mirai-Bots, kurz nachdem sein Autor den Quellcode auf hackforums.net veröffentlicht hatte .

Die kollektive Feuerkraft ist wahrscheinlich um ein Vielfaches größer als bei früheren Botnetzen, nämlich mehrere Terabit pro Sekunde.

Das IoT-Botnetz umfasst (ist aber nicht beschränkt auf) die folgenden erweiterten DDoS-Techniken. Der nachstehende Abschnitt mit verbindlichen Leitlinien enthält Empfehlungen dazu, wie diese Risiken, sofern möglich, eingedämmt werden können.

Umleitungsresistente HTTP-GET-Floods

HTTP-GET-Floods waren bereits heimtückisch. Seit Jahren ist es Angreifern möglich, Websites durch das Senden einer Flut von HTTP-Anfragen für große Objekte oder langsame Datenbankabfragen lahmzulegen. Normalerweise passieren diese Anfragen eine Standard-Firewall problemlos, da sie für die meisten Geräte mit Hardware-Paketverarbeitung wie normale HTTP-Anfragen aussehen. Der Mirai-Angriffscode geht noch einen Schritt weiter, indem er Cloud-basierte DDoS-Scrubber mit einem Fingerabdruck versehen und dann alle 302-Weiterleitungen umgeht, die die Scrubber zurücksenden. Weiterleitungen waren früher eine gute Möglichkeit, einfache Bots zu blockieren, aber diese hier ist nicht so einfach .

DNS-Wasserfolter

Der Mirai-Bot beinhaltet einen „Wasserfolter“-Angriff gegen einen Ziel-DNS-Anbieter. Diese Technik unterscheidet sich vom regulären DNS-Reflection- und Amplification-Angriff , da sie wesentlich weniger Abfragen durch den Bot erfordert und der rekursive DNS-Server des ISP den Angriff auf den autoritativen DNS-Zielserver durchführen kann. Bei diesem Angriff sendet der Bot eine wohlgeformte DNS-Abfrage, die den aufzulösenden Zieldomänennamen enthält, und hängt an den Namen ein zufällig generiertes Präfix an. Der Angriff wird wirksam, wenn der Ziel-DNS-Server überlastet ist und nicht mehr reagiert. Die DNS-Server des Internetdienstanbieters leiten die Abfrage dann automatisch erneut weiter, um einen anderen autorisierten DNS-Server der Zielorganisation auszuprobieren und so diese Server im Namen des Bots anzugreifen.

Dyn bestätigte in seinem Blog-Beitrag „Dyn Analysis Summary of Friday, October 21“ , dass die Wasserfolter tatsächlich gegen sie eingesetzt wurde.

„Beispielsweise löste die Auswirkung des Angriffs eine Flut legitimer Wiederholungsaktivitäten aus, da rekursive Server versuchten, ihre Caches zu aktualisieren, wodurch über eine große Anzahl von IP-Adressen ein 10- bis 20-fach höheres Datenverkehrsaufkommen als normal entstand. Wenn es zu einer Überlastung des DNS-Verkehrs kommt, können legitime Wiederholungsversuche das Verkehrsaufkommen weiter erhöhen.

Offenbar gingen die bösartigen Angriffe von mindestens einem Botnetz aus, wobei der Retry Storm fälschlicherweise auf eine erheblich größere Anzahl von Endpunkten schließen ließ, als uns bislang bekannt ist. Wir arbeiten noch an der Analyse der Daten, aber zum Zeitpunkt dieses Berichts gehen wir von bis zu 100.000 bösartigen Endpunkten aus.

Der F5-Forscher Liron Segal hatte in seinem Post zuvor die Mechanik des Wasserfolterangriffs des Bots detailliert beschrieben – Mirai, der Bot, der Krebs besiegte.

Aktualisierte Layer 4-Angriffe

Laut dem Ersteller des Bots handelt es sich bei dem sogenannten „TCP STOMP“-Angriff um eine Variante der einfachen ACK-Flut, die darauf abzielt, Abwehrvorrichtungen zu umgehen. Bei der Analyse der tatsächlichen Implementierung dieses Angriffs scheint es, dass der Bot eine vollständige TCP-Verbindung öffnet und dann weiterhin mit ACK-Paketen mit legitimen Sequenznummern überflutet, um die Verbindung aufrechtzuerhalten.

Angesichts unseres Verständnisses der einzelnen Bedrohungsvektoren des neuen IoT-Bots können wir einige Hinweise zur Eindämmung dieser einzelnen Bedrohungsvektoren geben.

Lassen Sie uns Folgendes klarstellen, bevor wir mit der Anleitung beginnen. Die Angriffe von Krebs, OVH und Dyn sind eine Klasse für sich. Offensichtlich ließen sich die Angreifer mit den vorhandenen DDoS-Abwehrtechniken nicht so leicht in die Schranken weisen – daher die Ausfälle und die Schlagzeilen in den Medien. Dennoch zeigten die Maßnahmen zur Schadensbegrenzung in vielen Fällen letztlich Wirkung. Und auch eine geeignete Architektur, wie etwa die Verwendung von Anycast und verteilten Rechenzentren, war hilfreich. Beachten Sie, dass die Westküste und die westlichen Regionen der USA vom Dyn-Angriff weitgehend unberührt blieben.

Vorgeschriebene Anleitung

Unsere Orientierung richten wir nach unseren eigenen Kunden. F5 liefert seit zwanzig Jahren Applications für die namhaftesten Marken der Welt und viele dieser Kunden werden täglich DDoS-Angriffen ausgesetzt. Unsere erfahrensten Kunden unterteilen ihre Abwehrmaßnahmen in drei oder vier Zonen:

  • Cloud-Scrubbing
  • Netzwerkschutz
  • Application
  • DNS, sofern zutreffend

Eine DDoS-resistente Architektur der Superlative sieht daher folgendermaßen aus:

Dies ist die Referenzarchitektur zum DDoS-Schutz, die von F5-Kunden seit Jahren häufig genutzt wird. Die vollständige Referenzarchitektur und empfohlene Vorgehensweisen finden Sie unter F5.com. Damit Sie diese Angriffe schneller verarbeiten können, finden Sie nachfolgend ausführliche Hinweise zu den entsprechenden Angriffen.

Volumetrische Verteidigung

Das französische Hosting-Unternehmen OVH wurde von einem volumetrischer Angriff mit einem Volumen von 990 Gbit/s getroffen. Berichten zufolge erreichte der Dyn-Angriff seinen Höhepunkt bei 1,2 Terabit. Angriffe dieser Größenordnung können normalerweise nur durch Cloud-Scrubber abgewehrt werden, die auf die Abwehr großer Angriffe spezialisiert sind. Cloud-Scrubber, darunter der Silverline DDoS-Schutz von F5, fangen den Angriffsverkehr ab, bereinigen ihn und senden nur den guten Verkehr über vorher eingerichtete Tunnel an das Ziel.

Anleitung: Organisationen sollten sicherstellen, dass sie Vereinbarungen mit einem oder mehreren Cloud Scrubbern haben, bevor sie angegriffen werden. Die Konfiguration der vorab eingerichteten Tunnel lässt sich während eines volumetrischer Angriff nicht so einfach durchführen. Schließen Sie als Teil Ihrer DDoS-Strategie einen Vertrag mit einem Cloud-Scrubbing-DDoS-Abwehrsystem ab.

Anleitung: Bei volumetrischen Angriffen kann die Angriffsdiffusion Ihr Freund sein. Denken Sie daran, dass DNS auch Ihr Freund sein kann. Nutzen Sie Anycast für Ihre globalen Rechenzentren für replizierte Inhalte, um DDoS-Angriffe zu entschärfen, wenn sie stattfinden. Jedes Rechenzentrum, das an Anycast teilnimmt, kann dazu beitragen, den Angriff aufzuteilen.

Relevante Materialien:

Netzwerkverteidigung

Der Mirai-Bot verfügt über mehrere Layer-4-Angriffe in seinem Arsenal: Standard-SYN-Floods, TCP-Floods und UDP-Floods. Diese alten Bedrohungsvektoren müssen entweder in einem Cloud-Scrubber oder – sofern sie klein genug sind – auf der Netzwerkverteidigungsebene im Rechenzentrum entschärft werden. Die Netzwerkverteidigungsebene ist um die Netzwerk-Firewall herum aufgebaut. Es wurde entwickelt, um rechnergestützte Angriffe wie SYN-Floods und ICMP-Fragmentierungs-Floods abzuschwächen. Diese Ebene mildert auch volumetrische Angriffe bis zur Überlastung des Eintrittspunkts (normalerweise 80 bis 90 Prozent der Nennrohrgröße).

Anleitung: Viele Firewalls sind nicht resistent gegen DDoS-Angriffe, wenn sie nicht richtig konfiguriert sind. Erkundigen Sie sich bei dem Anbieter Ihrer Netzwerk-Firewall nach den Einstellungen. Einige Kunden installieren Anti-DDoS-Geräte vor ihren Firewalls, um Layer-4-Angriffe abzuwehren.

Anleitung: Das F5-Firewall-Modul (BIG-IP Advanced Firewall Manager (AFM)) wurde speziell zur Abwehr von Layer-4-Angriffen entwickelt. Einige Architekten verwenden BIG-IP AFM genau für diesen Fall – entweder vor oder als Ersatz für herkömmliche Netzwerk-Firewalls. Hardware-Geräte mit AFM verwenden feldprogrammierbare Gate-Arrays, um mehr als 30 Arten von Paketfluten abzuwehren und die CPU von der Arbeit zu entlasten.

Relevante Materialien:

Anwendungsschutz

Der Mirai-Bot kann beeindruckende HTTP-GET-Floods generieren und Weiterleitungen verarbeiten. Da GET-Floods für die Netzwerkverteidigungsgeräte wie normaler Datenverkehr aussehen, müssen sie auf der Application behandelt werden. GET-Floods sind bei F5 der mit Abstand häufigste Angriffstyp auf Application und es gibt viele Möglichkeiten, sie abzuschwächen, abhängig vom Produktportfolio eines Kunden.

Anleitung: Für Bots, die einfache Weiterleitungen verarbeiten können, empfiehlt F5 entweder die Drosselung der Verbindungen basierend auf ihrer Anforderungs-pro-Sekunde-Metrik oder die Verwendung einer sogenannten „Login-Wall“. Eine Login-Wall erfordert eine authentifizierte Verbindung zur Application , bevor diese nicht zwischengespeicherte oder dynamische Ressourcen wie Datenbankabfragen nutzen kann.

Relevante Materialien:

DNS-Verteidigung

Im Zusammenhang mit dem Dyn-Angriff gibt es zwei DNS-Probleme, die erwähnenswert sind. Die erste und einfachste Frage ist, was zu tun ist, wenn Ihr DNS-Anbieter durch eine der neuen Angriffsarten offline genommen wird. Dyn war der Nameservice-Provider für Twitter, GitHub und Spotify. Als Dyn blockiert war, konnten Endbenutzer daher keine IP-Adressen für diese Dienste finden.

Anleitung: Integrieren Sie Ausfallsicherheit in Ihren DNS-Plan, der unter anderem mehrere DNS-Anbieter zur Bereitstellung von Adressen für Ihre kritischen Applications umfasst. Auf diese Weise kann der andere Anbieter Ihre Adressen bereitstellen, wenn einer der Anbieter vorübergehend einem Angriff zum Opfer fällt. Dies kann zwar zu einer Verlangsamung Ihrer Endbenutzer um einige Millisekunden führen, Ihre Applications und Dienste sind jedoch weiterhin verfügbar.

Die zweite Frage ist, was zu tun ist, wenn der eigene DNS-Server angegriffen wird. DNS ist der am häufigsten angegriffene Dienst, HTTP liegt auf Platz zwei. Bei einer DNS-Störung sind alle externen Rechenzentrumsdienste (nicht nur eine einzelne Application) betroffen. Dieser einzelne Totalausfallpunkt sowie die häufig unzureichend ausgestattete DNS-Infrastruktur machen DNS zu einem verlockenden Ziel für Angreifer.

Bedenken Sie, dass selbst wenn Ihr eigener Server nicht angegriffen wird, ein Ausfall weiter unten auf Ihrem Server dazu führen kann, dass eine andere Gruppe von DNS-Servern Ihre DNS-Server mit Anfragen überflutet, da sie versuchen, ihre eigenen Caches zu füllen. Dyn meldete, dass dies bei ihnen 10 bis 20 Mal so viele Anfragen wie normal waren, und zwar von legitimen DNS-Servern, die versuchten, mit der Situation fertig zu werden.

Anleitung: Ein erheblicher Prozentsatz der DNS-Dienste ist derart unterversorgt, dass sie selbst kleinen bis mittelgroßen DDoS-Angriffen nicht standhalten können. DNS-Caches erfreuen sich zunehmender Beliebtheit, da sie die wahrgenommene Leistung eines DNS-Dienstes steigern und eine gewisse Widerstandsfähigkeit gegen standardmäßige DNS-Abfrageangriffe bieten können. Angreifer sind zu sogenannten „No Such Domain“-Angriffen (oder NXDOMAIN) übergegangen, die die Leistungsvorteile des Caches schnell aufzehren.

Für F5-Kunden empfiehlt F5, die DNS-Dienste mit dem DNS-Proxy-Modul F5 DNS Express™ zu frontendieren. DNS Express fungiert als absoluter Resolver vor den bestehenden DNS-Servern. Es lädt die Zoneninformationen von den Servern und löst jede einzelne Anfrage auf oder gibt NXDOMAIN zurück. Es handelt sich nicht um einen Cache und kann nicht über NXDOMAIN-Abfragefluten geleert werden.

Anleitung: Denken Sie daran, dass DNS bei einem DDoS-Angriff Ihr Freund sein kann. Nutzen Sie Anycast für Ihre globalen Rechenzentren für replizierte Inhalte, um DDoS-Angriffe zu entschärfen, wenn sie stattfinden.

Anleitung: Berücksichtigen Sie die Platzierung von DNS-Diensten. Oftmals besteht der DNS-Dienst als eigener Gerätesatz abseits des ersten Sicherheitsbereichs. Dies geschieht, um DNS unabhängig von den Applications zu halten, die es bedient.

Einige große Unternehmen mit mehreren Rechenzentren stellen DNS außerhalb des Hauptsicherheitsbereichs bereit, indem sie eine Kombination aus BIG-IP DNS mit DNS Express und dem BIG-IP AFM-Firewall-Modul verwenden. Der Hauptvorteil dieses Ansatzes besteht darin, dass die DNS-Dienste auch dann verfügbar bleiben, wenn die Netzwerkverteidigungsebene aufgrund von DDoS offline geht.

Relevante Materialien:

Abschluss

Die Angriffe von Krebs, OVH und Dyn markieren eine neue Phase im DDoS-Bereich. Gleichzeitig markieren sie den Beginn der Entwicklung des Internets der Dinge.

Wie Sie sehen, verfügt F5 über umfangreiche Erfahrung in der Erforschung und Bekämpfung von DDoS sowie in der Berichterstattung darüber. Wir möchten mit unseren Kunden zusammenarbeiten, um die Verfügbarkeit ihrer Applications aufrechtzuerhalten. Dies erfordert von allen unseren Seiten Wachsamkeit – von F5 über die Partner bis hin zu den Kunden.

Wenn Sie Kunde sind oder nicht und angegriffen werden, denken Sie daran, dass der DDoS-Schutz von F5 Silverline nur einen Anruf entfernt ist: 866-329-4253.

Was die Bedrohung durch das IoT betrifft, tauschen Blackhats ständig Informationen untereinander aus (sie haben Mirai geteilt, nachdem es Krebs und OVH angegriffen hatte, und es wurde beim Dyn-Angriff verwendet). Wir in der InfoSec-Community müssen uns ein Beispiel an ihnen nehmen und gemeinsam dieses globale IoT-Problem lösen. Wir haben keine andere Wahl, als dies zu tun. Es liegt in der Natur des Menschen, Probleme zu verstehen, zu lösen und sich so weiterzuentwickeln.

In den nächsten Jahren wird es zweifellos zu Problemen kommen, da die Angriffe immer größer werden, die Bandbreite der Scrubbing-Dienste erweitert wird, um diese großen Angriffe abzuwehren, und die Hersteller von IoT-Geräten neue Wege finden, um mit den Sicherheitslücken ihrer Geräte umzugehen. Organisationen und Verbraucher müssen sich an diese sich entwickelnde Bedrohung gewöhnen, wie an alle anderen großen Probleme zuvor.