Erweiterter DDoS-Schutz für Cloud-/NFV-Umgebungen mit BIG-IP VE für SmartNICs

Distributed-Denial-of-Service-Angriffe (DDoS) werden von Aktivisten, Kriminellen, Gamern und sogar Regierungen immer häufiger als Sabotageangriffe eingesetzt. Da Dienstanbieter eine 5G-Infrastruktur implementieren und Unternehmen eine digitale Transformation durchlaufen, ist damit zu rechnen, dass Größe und Zielfläche potenzieller Angriffe zunehmen werden. Dieses erhöhte Risiko sowie der Trend zur organisatorischen Umstellung auf effiziente und kostengünstige softwaredefinierte Architekturen machen die DDoS-Minderung für Cloud-/NFV-Umgebungen heute wichtiger als je zuvor.

Dieses Dokument enthält Informationen zu DDoS-Angriffsmechanismen und beschreibt, wie die Software-DDoS-Minderungslösung von F5 durch Intels FPGA PAC N3000 SmartNIC erweitert werden kann. So können bis zu 300-mal stärkere DDoS-Angriffe durch Auslagerung auf das eingebettete FPGA der SmartNICs abgeschwächt werden.

In dieser digital abhängigen, vernetzten Welt können Cyberangriffe erhebliche negative Auswirkungen auf Unternehmen, Dienstleister und staatliche Stellen haben. Während sich die Nachrichtenorganisationen auf Hacker konzentrieren, die vertrauliche Informationen stehlen, um sie für Erpressungen und Nötigung zu verwenden, beabsichtigen viele böswillige Akteure lediglich, finanziellen Schaden anzurichten.^[1] Bei einem Denial-of-Service-Angriff (DoS) zielen Angreifer auf einen mit dem Internet verbundenen Dienst (beispielsweise eine Website oder einen Mailserver) ab und führen dazu, dass dieser abstürzt oder nicht mehr reagiert. Ein DoS-Angriff kann das Ergebnis einer speziell gestalteten Anfrage sein, die zu Fehlfunktionen der Serversoftware führt.

In den letzten Jahren haben bessere Kodierungspraktiken und Regressionstechniken einfache DoS-Angriffe weniger effektiv gemacht. Infolgedessen sind Distributed-Denial-of-Service-Angriffe (DDoS) häufiger geworden. Es wird erwartet, dass sich dieser Trend fortsetzt, da Dienstanbieter 5G-Infrastruktur und Edge-Computing implementieren. DDoS-Angriffe werden oft von böswilligen Einzelpersonen orchestriert und über ein koordiniertes Botnetz aus kompromittierten, vernetzten Computergeräten verteilt. Diesen Geräten kann der Befehl erteilt werden, Angriffsdaten an ein Opfergerät oder einen Opferdienst zu senden.^[1] Während die Auswirkungen eines einzelnen kompromittierten Geräts nach den meisten Verarbeitungsdurchsatzstandards minimal sind, kann ein koordinierter Angriff von Tausenden oder sogar Zehntausenden von Geräten aus einem großen Botnetz Durchsatzniveaus erreichen, die viele Dienstanbieter nicht bewältigen können.

Für Unternehmen, die auf ihre Online-Präsenz angewiesen sind, wirken sich Qualitätseinbußen und Ausfallzeiten negativ auf das Geschäftsergebnis aus. Der elektronische Handel ist besonders anfällig für Störungen; Dienstausfälle können Tausende bis Millionen Dollar pro Minute kosten. Auch Angriffe, die keinen Ausfall verursachen, können die Leistung beeinträchtigen und so zu echten Umsatzeinbußen führen, wenn frustrierte Kunden zu einem anderen E-Commerce-Anbieter wechseln.^[2]

Durch die zunehmende Geschwindigkeit der Internetverbindungen der Verbraucher und die zunehmende Verbreitung von Geräten in der Cloud steigt das Potenzial für DDoS-Angriffe. Vernetzte Geräte stellen ein besonderes Problem dar und die Aufrechterhaltung ihrer Sicherheit ist für die Wahrung der Sicherheit und Zuverlässigkeit von Online-Diensten zwingend erforderlich. Neben dem erhöhten Potenzial dieser Angriffe sind viele Organisationen aufgrund ihrer softwarezentrierten Architekturen auch einem höheren Risiko durch DDoS-Angriffe ausgesetzt. Den meisten softwarebasierten Schutzmaßnahmen gegen DDoS mangelt es an der Kapazität und Leistung, die zur Abwehr groß angelegter Angriffe erforderlich sind. Glücklicherweise könnte dies durch SmartNICs – die neueste Generation von Netzwerkschnittstellenkarten – geändert werden, indem sie Netzwerk- und Sicherheitsfunktionen aus Softwarelösungen auslagern und so die Belastung der verfügbaren CPUs verringern.

Dieser Bericht definiert anhand von Beweisen aus realen Angriffsszenarien eine Reihe von Angriffsmechanismen. Anschließend wird gezeigt, wie die Software-DDoS-Abwehrlösung von F5, F5® BIG IP® Advanced Firewall Manager™, Virtual Edition (BIG-IP AFM VE), mit Intels PAC 3000 SmartNIC erweitert werden kann. Wir zeigen, wie diese kombinierte Lösung (BIG-IP Virtual Edition für SmartNICs-Lösung) DDoS-Angriffe abwehren kann, die bis zu 300 Mal stärker sind als eine entsprechende reine Softwarelösung.

Zustandslose Angriffe können gegen zustandsbehaftete Protokolle eingesetzt werden, erfordern vom Angreifer jedoch nicht, den Zustand böswilliger Verbindungen zu verfolgen. Sie sind beliebt, weil sie nur minimale Ressourcen erfordern und mit der Vortäuschung einer Quell-IP-Adresse arbeiten. Die klassische und am weitesten verbreitete Angriffsform beginnt mit einer gefälschten Anfrage an einen Server zum Öffnen einer Statusverbindung, die vom angreifenden Client (häufig ein Botnet-Knoten) niemals bestätigt wird.^[1] Der TCP-SYN-Flood-Angriff ist ein konkretes Beispiel. Beim Aufbau einer TCP-Verbindung beginnt der 3-Wege-Handshake damit, dass der Client ein SYN-Paket überträgt. Wenn der Server ein SYN-Paket vom Client empfängt, reserviert er sofort Speicher für eine TCP-Socket-Datenstruktur, die das Tupel, die Sequenznummer und den Status der Sitzung enthält. Der Server antwortet dem Client dann mit einem SYN-ACK-Paket.

Unter normalen Umständen können Paketverluste oder langsame Kommunikation dazu führen, dass das SYN-ACK-Paket verzögert wird oder ganz verloren geht. Der Server muss entscheiden, wie lange der Socket in einem halb geöffneten Zustand gehalten werden soll, bevor ein Reset gesendet und der Speicher für andere Aufgaben freigegeben wird.^[3] Eine beliebte DDoS-Technik besteht darin, eine Flut von SYN-Paketen zu generieren, um den Opferserver dazu zu bringen, TCP-Sockets und Speicher für Tausende von Scheinsitzungen zuzuweisen. Eine Angriffsrate von Tausenden von SYN-Paketen pro Sekunde führt schnell dazu, dass ein Webserver seinen gesamten Speicher verbraucht. In diesem Beispiel hat der böswillige Angreifer den Vorteil; der Angreifer weiß, dass keine der Sitzungen verwendet wird, sodass es nicht notwendig ist, Speicher zu reservieren, um die Sitzungen zu verfolgen. Dadurch kann der Angreifer sämtliche Systemressourcen für die Übertragung zusätzlicher gefälschter SYN-Pakete verwenden.

Zustandslose Protokolle können leicht ausgenutzt werden, da sie mit gefälschten Quelladressen gut funktionieren.^[4] Da zustandslose Protokolle keinen Handshake erfordern, löst die Übertragung eines einzelnen manipulierten Pakets an einen Server eine sofortige Antwort aus. Dabei werden auf dem Gerät des Angreifers nur minimale Ressourcen verbraucht und die Identität des Angreifers wird verborgen.^[5] Die Datenantwortpakete des Opfers werden an die gefälschte IP weitergeleitet, bei der es sich um die Adresse eines anderen Opfers handeln könnte. In großen Mengen können diese eine Internetverbindung oder einen Server verlangsamen oder deaktivieren, was die Wirksamkeit des Angriffs erhöht.

Zu den sogenannten Amplification-Angriffen zählen DNS-Flood und NTP-Flood, eine separate Kategorie zustandsloser Angriffe. Beide verwenden Adress-Spoofing als Teil des Angriffsvektors. Vergrößerungsangriffe richten besonders großen Schaden an, da die Antwort des Servers um ein Vielfaches größer sein kann als die ursprüngliche Anfrage.

Im Jahr 2018 war GitHub, ein beliebter und unter Entwicklern beliebter Codeverwaltungsdienst, Ziel des größten DDoS-Angriffs aller Zeiten. Während des Angriffshöhepunkts verzeichnete der Dienst einen eingehenden Datenverkehr von 1,3 Terabyte pro Sekunde (Tbps). Dabei handelte es sich um einen Memcached-DDoS-Angriff, der den Verstärkungseffekt mithilfe des beliebten Datenbank-Caching-Systems Memcached ausnutzte. Während des Angriffs überflutete der Angreifer Memcached-Server mit gefälschten Anfragen und konnte den Angriff um den Faktor 50.000 verstärken.^[6]

Obwohl zustandslose Angriffe eine häufige Art von DDoS-Bedrohungen darstellen, sind sie aufgrund ihrer Einfachheit leicht zu erkennen und zu verhindern oder abzuschwächen.

Stateful DDoS-Angriffe sind erfolgreicher und schwieriger zu verhindern. Stateful-Angriffe führen einen Handshake mit dem Opfer durch und verhalten sich ansonsten wie ein legitimer Benutzer. Diese Kategorie von Angriffsvektoren kann ältere DDoS-Präventionsmechanismen täuschen und erfordert mehr Rechenleistung und Speicher auf dem angreifenden Computer. Der Schlüssel zu einem erfolgreichen Angriff liegt darin, sich wie eine legitime Anfrage zu verhalten. Die Herausforderung bei der Abwehr dieser Angriffe liegt in der richtigen Klassifizierung, um echte von böswilligen Benutzeranfragen zu unterscheiden.

Ein einfaches Beispiel für einen Stateful-Angriff ist die Emulation des Verhaltens legitimer Benutzer, um durch den Einsatz einer großen Anzahl von Angreifern (z. B. eines Botnetzes) ein ausreichend großes Datenverkehrsvolumen zu erzeugen. Diese volumetrischen Angriffe sind erfolgreich, wenn das Opfer nicht alle Anfragen nutzen oder verarbeiten kann oder wenn die Internetverbindung des Dienstes bis zur Kapazitätsgrenze ausgelastet ist. Da der Datenverkehr so gestaltet ist, dass er das Verhalten legitimer Benutzer nachahmt, ist es viel schwieriger, bösartigen Datenverkehr von legitimem Datenverkehr zu erkennen und zu unterscheiden. Bei Diensten, die eine Art Handshake-Mechanismus beinhalten (Beispiele hierfür sind Challenge-Response, geheime Verschlüsselung oder Cookie-Austausch), kann ein volumetrischer Angriff die einzige Möglichkeit sein, das Opfer auszunutzen, es sei denn, es wird eine Schwachstelle im Antwortschema gefunden, die die einfache Generierung einer gültigen Antwort ermöglichen würde.^[7]

Eine Kategorie fortgeschrittener Stateful-Angriffe zielt auf bestimmte Dienste auf Anwendungsebene ab. Ein Beispiel, das das HTTP-Protokoll angreift, ist als „Slowloris“ bekannt. Dieser Angriff beginnt damit, dass ein böswilliger Angreifer mehrere partielle HTTP-GET-Anfragen an den Webserver sendet, um die maximal verfügbaren gleichzeitigen Verbindungen auszulasten. Der Angriff funktioniert, weil das HTTP-Protokoll eine Verbindung offen hält, während ein Client einen Anforderungsbefehl sendet, der selbst in mehrere Pakete aufgeteilt werden kann. Der böswillige Client sendet in regelmäßigen Abständen teilweise HTTP-Anfragen an den Server – mit einer Leerlaufzeit von bis zu mehreren Minuten dazwischen –, ohne die Anfrage jemals zu beenden.

Eine ähnliche Methode wie Slowloris ist der „Are You Dead Yet“- oder „RUDY“-Angriff, der HTTP-„POST“-Befehle verwendet, um langsam Datenantworten an einen ahnungslosen Webserver zu senden.^[8] Für die Ausführung beider Methoden sind nur minimale Ressourcen erforderlich. Da das Standard-Timeout zum Offenhalten einer HTTP-Verbindung auf vielen Webservern 5 Minuten beträgt, ist auch nur minimale Bandbreite erforderlich.^[1]

Ein Fragment-Flood-Angriff kann auch ein effektiver Stateful-Angriff sein. Diese Technik kann mit vielen Quellports und Adressen koordiniert werden, die auf ein einzelnes Ziel abzielen. Der angegriffene Endpunkt speichert den Status jedes Fragmentpakets, während er versucht, jedes einzelne wieder zusammenzusetzen. Für jede eindeutige Kombination aus Quellport und Adresse ist die Zuweisung eines weiteren Fragmentierungspuffers durch das angegriffene System erforderlich. Die Fähigkeit der verschiedenen Schadsysteme, fragmentierte Pakete zu erzeugen, kann die Ressourcen des angegriffenen Systems übersteigen, da dieses versucht, den Status aller fragmentierten Transaktionen aufrechtzuerhalten.

Da Stateful-Angriffe auf der Generierung gültiger Antworten für das Opfer beruhen, ist es im Allgemeinen nicht möglich, die Quelladresse des Angreifers zu fälschen. Eine Ausnahme von dieser Regel besteht, wenn der Angreifer einen Router oder ein Netzwerkmedium kompromittieren kann, über das legitimer Datenverkehr läuft. In diesem Fall kann der Angreifer die Quelladresse fälschen und beim Abhören der Antwort des Opfers gültige Statusantworten generieren und so im Wesentlichen den Status der Verbindung verfolgen.^[7]

Um die Wirksamkeit der F5-Lösungen bei der Abwehr unterschiedlicher Arten von DDoS-Angriffen zu testen, wurde mithilfe von IXIA-Testsystemen eine Testumgebung konfiguriert. Ein IXIA XT80 lieferte guten „legitimen“ Client-Verkehr und Server-Antworten, und ein IXIA XGS12 generierte schädlichen Client-Angriffsverkehr. Der Test wurde so konfiguriert, dass eine stabile Basislinie des legitimen Client-Server-Datenverkehrs erstellt und gleichzeitig der Angriffsverkehr hochgefahren wird, um das Niveau zu ermitteln, ab dem der Angriffsverkehr die erfolgreiche Übermittlung des legitimen Datenverkehrs zu beeinträchtigen beginnt. Dies ermöglichte eine reproduzierbare Charakterisierung und einen Vergleich der Wirksamkeit der Schadensbegrenzungsmaßnahmen.  Bei jedem Test wurde davon ausgegangen, dass die DDoS-Angriffe das System erfolgreich beeinträchtigt hatten, wenn ein Rückgang des legitimen Datenverkehrs um 10 % gegenüber dem festgelegten Basiswert beobachtet wurde.

Die Basislinie für legitimen Datenverkehr ist auf 20 % der Kapazität des BIG-IP VE-Systems konfiguriert, bei dem es sich um ein 8 vCPU High Performance VE mit bereitgestelltem BIG-IP AFM-Modul handelte. Da dieses System 40 Gbit/s übertragen kann, wurde die legitime Datenverkehrsbasis bei 8 Gbit/s gehalten.

BIG-IP AFM VE mildert DDoS-Angriffe, indem es zulässige Schwellenwerte für verschiedene Verkehrsklassifizierungen festlegt (z. B. UDP, Fragmente, TCP SYN usw.). Sobald der Schwellenwert für einen bestimmten Verkehrstyp überschritten wurde, kann das System so konfiguriert werden, dass der gesamte Verkehr, der dieser Klassifizierung entspricht, gelöscht wird. Dadurch wird das System von weiteren Kosten entlastet, die mit der Verarbeitung dieser Art von Datenverkehr verbunden sind. Zwar können softwarebasierte DDoS-Lösungen gegenüber ungeschützten Systemen gewisse Vorteile bieten, doch aufgrund der begrenzten Fähigkeit der Software, Pakete mit Leitungsgeschwindigkeit zu verarbeiten, können die Auswirkungen eines DDoS-Angriffs durch Software-Abwehrmaßnahmen nicht vollständig verhindert werden.

Der nächste Testschritt bestand darin, die DDoS-Verkehrsrate zu ermitteln, die erforderlich ist, um den legitimen Datenverkehr nur durch die Installation der Softwarelösung zu unterbrechen. Dies wurde getan, um einen Leistungsvergleich zwischen einer reinen Softwarelösung und der BIG-IP VE-Lösung für SmartNICs zu ermöglichen. Die architektonische Systemkonfiguration für den BIG-IP AFM-Test ist in Abbildung 6 dargestellt.

Um eine umfassendere Analyse zu ermöglichen, wurden Leistungsdaten zur DDoS-Minderung für BIG-IP AFM VE für drei verschiedene DDoS-Angriffstypen erfasst. Die Angriffsarten für diese Simulation umfassten:

• Angriffstyp 1 – UDP-Flood-Angriff: Dieser zustandslose volumetrische Angriff wird durchgeführt, indem eine große Anzahl von User Datagram Protocol-Paketen an einen Zielserver gesendet wird, mit dem Ziel, die Verarbeitungs- und Antwortfähigkeit dieses Servers zu beeinträchtigen.
• Angriffstyp 2 – Weihnachtsbaumangriff: Bei diesem Angriff werden Weihnachtsbaumpakete verwendet. Diese werden so genannt, weil bei ihnen alle Optionen auf „Ein“ eingestellt sind, sodass jedes beliebige Protokoll verwendet werden kann und sie dadurch „wie ein Weihnachtsbaum beleuchtet“ erscheinen. Diese Pakete erfordern viel mehr Verarbeitungsleistung als andere Pakete und können, wenn sie in großen Mengen gesendet werden, schnell die Rechenkapazität eines Endgeräts beanspruchen.
• Angriffstyp 3 – IP-Kurzfragmentangriff: Dieser weit verbreitete volumetrische DDoS-Angriff überlastet ein Netzwerk, indem er den Prozess der Datagrammfragmentierung ausnutzt. Diese Angriffe werden normalerweise durch das Senden gefälschter Pakete erreicht, die nicht wieder zusammengesetzt werden können und größer sind als die Maximum Transmission Unit (MTU) des Netzwerks. Sie überfordern die Server schnell, da sie die CPU-Ressourcen erschöpfen.

Abbildung 7 zeigt das Verkehrsvolumen in Gbit/s, das für jeden dieser Angriffstypen erforderlich ist, um guten Verkehr zu beeinträchtigen, wenn BIG-IP AFM VE (nur Software) verwendet wird.

Nicht alle DDoS-Angriffe sind gleich. Einige sind weiter über das System verteilt als andere, und manche Angriffe erfordern eine gründlichere Paketprüfung und -analyse, bevor sie identifiziert werden können. Dies führt dazu, dass die Effektivität von DDoS-Angriffen unterschiedlich ausfällt, wie in der Grafik oben zu sehen ist. Diese drei simulierten Angriffsmethoden zeigen, dass legitimer Datenverkehr bei relativ geringem Durchsatz durch DDoS-Angriffe beeinträchtigt werden kann, wenn ausschließlich Softwarelösungen zum Einsatz kommen.

Die BIG-IP VE für SmartNICs-Lösung besteht aus einem 8vCPU High Performance AFM VE (dasselbe wie im reinen Softwaretest), integriert mit einem Intel FPGA PAC N3000 SmartNIC. Dadurch kann der DDoS-Schutz auf das SmartNIC ausgelagert werden. Das in dieses SmartNIC eingebettete FPGA wurde so programmiert, dass es über 100 verschiedene Arten bekannter DDoS-Angriffe automatisch erkennt und blockiert und gleichzeitig Verhaltensanalysen verwendet, um unbekannte, sich entwickelnde Bedrohungen abzuschwächen.

Durch die Überwachung der Paketempfangsraten für alle programmierten Verkehrsprofile innerhalb des eingehenden Verkehrs und den Vergleich mit akzeptablen, konfigurierten Schwellenwerten kann das FPGA feststellen, wann ein Schwellenwert überschritten wurde. In diesem Fall erlässt das FPGA die entsprechenden Richtlinien, um Datenverkehr zu löschen, der die konfigurierten Höchstwerte überschreitet. Dies schützt das CPU-Subsystem vor der Verarbeitung von Paketverkehr, der aufgrund der DDoS-Minderungsrichtlinie letztendlich gelöscht würde. Da das FPGA (im Gegensatz zum CPU-Subsystem) in der Lage ist, Paketverkehr mit Leitungsgeschwindigkeit zu klassifizieren, bietet die SmartNIC-fähige Lösung deutliche Vorteile gegenüber der reinen Softwarelösung.

Im nächsten Schritt dieser Demonstration wurde die SmartNIC-fähige Lösung innerhalb der Testumgebung denselben drei DDoS-Angriffen ausgesetzt. Das Ziel bestand wie zuvor darin, die erforderliche DDoS-Verkehrsrate zu ermitteln, um den Strom legitimen Datenverkehrs zu beeinträchtigen. Abbildung 8 zeigt die architektonische Systemkonfiguration für den BIG-IP VE-Test für SmartNICs.

Die Ergebnisse dieses Tests sind in Abbildung 9 dargestellt.

Es wurde festgestellt, dass die reine Software-DDoS-Lösung von F5 (BIG-IP AFM VE) zwar einen gewissen Schutz vor Angriffen im kleineren Maßstab bieten kann, bevor der legitime Datenverkehr beeinträchtigt wird, die negativen Auswirkungen größerer Angriffe kann diese Lösung jedoch nicht verhindern. Die Integration des BIG-IP AFM VE mit Intels FPGA PAC N3000 SmartNIC zur Bildung der BIG-IP VE für SmartNICs-Lösung ergab deutliche Leistungsverbesserungen. Durch die Auslagerung der Verantwortung für die Eindämmung von DDoS-Bedrohungen vom BIG-IP AFM VE auf ein FPGA innerhalb des SmartNIC konnte die kombinierte Lösung Angriffen mit einer Stärke von 41 bis 381 standhalten, darunter auch Angriffen mit einer Geschwindigkeit von 30 Gbit/s und mehr. Für Organisationen und Dienstanbieter, bei denen die Cloud an erster Stelle steht, liefert diese Lösung den Hochleistungsschutz speziell entwickelter Hardware und bietet gleichzeitig die Flexibilität und Agilität von Cloud-Umgebungen. Da FPGAs neu programmiert werden können, ist es außerdem möglich, sie bei sich entwickelnden Bedrohungen in andere Netzwerk- und Sicherheitsfunktionen zu integrieren.

¹ G. D. Hakem Beitollahi, Analyse bekannter Gegenmaßnahmen gegen Distributed-Denial-of-Service-Angriffe, Computer Communications, 2012.
² HW Chuan Yue, „Gewinnbewusster Überlastschutz auf E-Commerce-Websites“, Journal of Network and Computer Applications, Bd. 32, S. 347–356, 2009.
³ AM Christos Douligeris, „DDoS-Angriffe und Abwehrmechanismen: Klassifizierung und aktueller Stand“, Computer Networks, Bd. 44, Nr. 5, S. 643–666, 2004.
⁴ GD Hakem Beitollahi, „Analyse bekannter Gegenmaßnahmen gegen Distributed-Denial-of-Service-Angriffe“, Computer Communications, Bd. 35, Nr. 11, S. 1312–1332, 2012.
⁵ M. Prince, „Deep Inside a DNS Amplification DDoS Attack“, CloudFlare, 30. 10. 2012. [Online]. Verfügbar: https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/ . [Zugriff am 1.11.2015].
⁶ US-CERT, „UDP-Based Amplification Attacks“, 19. August 2015. [Online]. Verfügbar: https://www.us-cert.gov/ncas/alerts/TA14-017A .
⁷ YTWD Shigang Chen, „Stateful DDoS-Angriffe und gezielte Filterung“, Journal of Network and Computer Applications, Bd. 30, Nr. 3, S. 823–840, 2007.
⁸ https://www.incapsula.com/ddos/attack-glossary/rudy-ru-dead-yet.html, „RUDY (RU-Dead-York?)," [Online]. Verfügbar: https://www.incapsula.com/ddos/attack-glossary/rudy-ru-dead-yet.html . [Zugriff am 9.12.2015].