Blog
DoS & DDoS mitigation: Leitfaden zum Verständnis, wann es funktioniert und wann nicht

DoS & DDoS mitigation: Leitfaden zum Verständnis, wann es funktioniert und wann nicht

2022-05-31 -
DDoS

Dieses Dokument beschreibt, was sich hinter den beiden einfachen Akronymen DoS und DDoS verbirgt, die stattdessen eine Vielzahl von Aspekten umfassen, die berücksichtigt werden müssen, um die Dynamik und die Lösungen besser zu verstehen.

Das Dokument ist als Referenz für diejenigen gedacht, die am Tag nach dem Kauf von Anti-DoS/DDoS-Diensten und Anwendungen, die weiterhin von diesem Problem geplagt werden, Fragen haben.

DoS / DDoS Typologien

Lassen Sie uns zunächst die beiden Begriffe klären, die angesichts der Akronyme offensichtlich erscheinen, aber in Wirklichkeit können selbst Akronyme falsch interpretiert werden. .

DoS (Denial of Service) ist das Akronym für einen Angriff, der von einer einzelnen IP-Adresse ausgeht, während DDoS (Distributed Denial of Service) einen Angriff bezeichnet, der von mehreren IP-Adressen ausgeht.

In der Realität kann sogar ein DoS-Angriff von mehreren Adressen ausgehen, die aufgrund der Auswirkungen von NAT-Netzen oder Proxy-Systemen die tatsächlichen Ursprünge verbergen. Diese Angriffe sind leicht zu erkennen.

DDoS-Angriffe hingegen sind Angriffe, die immer von verschiedenen IP-Adressen aus durchgeführt werden und sich durch ihre Art und Herkunft auszeichnen.

Typologien:

  1. Volumetrische oder quantitative Angriffe

  2. Qualitative Angriffe

Herkunft:

  1. Von völlig unterschiedlichen und rechtmäßigen Adressen kommend

  2. Von bestimmten Subnetzen kommend

Volumetrischer oder quantitativer DDoS

Ein volumetrischer oder quantitativer DDoS-Angriff bezieht sich auf einen Angriff, bei dem die übertragene Datenmenge so groß ist, dass sie die Kapazität des Netzes bis zum Zusammenbruch sättigen kann. Diese Angriffe sind in der Regel sehr schwerwiegend und kommen oft direkt von Dienstanbietern oder sogar CDNs, die, nachdem sie gehackt wurden, ohne ihr Wissen massive Angriffe durchführen. Standleitungen oder CDNs werden in Kategorien eingeteilt:

EUROPA

SorteFähigkeit
E064Kbps
E132 Linien E0 2Mbps
E2128 Linien E0 8Mbps
E316 Linien E1 34Mbps
E464 Linien E1 140Mbps

STATI UNITI

SorteFähigkeit
T11.544 Mbps
T24 Linien T1 6 Mbps
T328 Linien T1 45 Mbps
T4168 Linien T1 275 Mbps

Diese Knoten befinden sich häufig und traditionell in Forschungszentren und werden genau aus diesem Grund zu unbeabsichtigten Angriffsvektoren für Verletzungen, die in Laboratorien auftreten können, die typischerweise und von Natur aus keine oder keine hohen Sicherheitssysteme einsetzen.

Qualitative DDoS

Unter Qualitäts-DDoS-Angriffen versteht man Angriffe von mehreren IP-Adressen aus, die zwar keine großen Datenmengen bewegen, aber die Dienstqualität beeinträchtigen. Diese Angriffe zielen in der Regel auf die Sättigung der Anwendung und nicht des Netzes ab und können daher von Netzwerktools nicht unterschieden werden. Diese Angriffe zielen entweder auf die Anwendungsschicht ab, d. h. auf das Transport- und Anwendungsprotokoll (4-7 OSI), oder auf die konstruktive Anfälligkeit der Anwendung, d. h. auf den Code, der zur Ausführung des Dienstes geschrieben wurde.

Unterscheidung eines DDoS-Angriffs von legitimem Datenverkehr

Die Unterscheidung zwischen einem DDoS-Angriff und legitimem Datenverkehr erscheint auf den ersten Blick einfach! Wenn das Volumen oder die Zahl der Anfragen im Vergleich zur Norm ansteigt, könnte man meinen, dass dies ausreicht, um einen Angriff festzustellen und Abhilfe zu schaffen. Nichts könnte falscher sein, eine Erhöhung der Anzahl der Anfragen oder des Volumens oder beides ist nicht genug.

Als Beispiel können wir einige Fälle anführen. Stellen Sie sich eine E-Commerce-Website vor, auf der das Marketing eine Verkaufskampagne mit Rabatten auf eine bestimmte Gruppe von Artikeln durchgeführt hat. Das Marketing beschließt nach Fertigstellung der Kampagne, die Werbeaktion per E-Mail an eine sehr große Anzahl von Adressen zu senden, z. B. an 600.000 E-Mail-Adressen. Es ist statistisch erwiesen, dass 25/30 % der gesendeten E-Mails geöffnet werden und die Person, die sie erhält, sich den Inhalt der Werbeaktion ansieht und sie mit einem Klick anfordert, und zwar gleichzeitig. In diesem Fall sprechen wir pessimistischerweise von 150.000 Nutzern!

Aus der Sicht der Erkennung könnte ein unintelligentes DDoS-System von einem Angriff ausgehen, wenn es schätzt, dass der durchschnittliche Datenverkehr in den letzten zwei Wochen 6000 gleichzeitige Nutzer mit Spitzen von 2500 Nutzern betrug.

Natürlich ist dies kein Angriff, sondern eine gut durchdachte und erfolgreiche Marketing-Kampagne, die eine Umwandlung von E-Mails in Kontakte ermöglicht, und die bei 4 % zu Verkäufen führt. Wenn ein DDoS-System diesen Datenverkehr blockieren würde, gäbe es wahrscheinlich eine Schadensersatzklage wegen entgangener Einnahmen. Behalten Sie dies im Hinterkopf, denn wir werden später darauf zurückkommen.

Ein weiteres Beispiel wäre der so genannte "Click-day" in Italien (diese
sehr treffende Bezeichnung gibt es nirgendwo sonst auf der Welt!), d. h. ein im Voraus festgelegter "Zeitpunkt", zu dem ein Dienst aktiviert wird, um Dienste/Leistungen zu erhalten, die jedoch nach dem Prinzip "wer zuerst kommt, mahlt zuerst" vergeben werden. Es liegt auf der Hand, dass zu diesem Zeitpunkt alle, die sich am Wettbewerb beteiligen wollen, bereit sein müssen, auf die Leistung/den Dienst zuzugreifen, was unweigerlich zu einem Anstieg des Volumens führt, das in der Regel nicht signifikant ist, aber vor allem zu einem Anstieg der Zahl der gleichzeitigen Anfragen. Die Auswirkungen sind allen bekannt. Auch hier würde ein Anti-DDoS-System, das versucht, einen Angriff statistisch zu ermitteln, in die Irre geführt werden. Je nach Art der Leistung könnten dann rechtliche Schritte angedroht werden, weil der Zugang zur Leistung nicht möglich ist.

Andere von vielen Gründen, warum Anti-DoS/DDoS-Systeme einen Angriff möglicherweise nicht erkennen, ergeben sich aus Anwendungen, nicht aus Menschen, die unter bestimmten Umständen oder zu bestimmten Zeitpunkten aufgrund eines zufälligen Faktors eine große Anzahl von Transaktionen durchführen. Denken Sie zum Beispiel an Online-Handelssysteme, die mit automatischen Verkäufen oder Käufen reagieren. Die Zunahme der Dienstanfragen könnte durch ein Ereignis oder durch Fehler, Netz-/Anwendungsfehler, verursacht werden, die in bestimmten Situationen zu einer zwanghaften Wiederholung und Wiederholung der fehlgeschlagenen Transaktion führen. Sollte auch in diesem Fall ein Anti-DDoS-System in Aktion treten und Transaktionen blockieren, würde das Problem mit Sicherheit rechtliche Konsequenzen und Schadensersatzforderungen nach sich ziehen.

Jetzt sind wir bereit, besser zu verstehen, warum Systeme manchmal nicht eingreifen!

Wir unterscheiden daher die Anti-DDoS-Systeme in vier Kategorien:

  1. Volumetrisch

  2. Statistische Daten

  3. Datenbanken mit bösartigen Adressen

  4. Erkennung des Stresslevels der Anwendung (Application stress level detection) In dieser Kategorie unterscheiden wir auch zwei andere Kategorien:

    a. mit Nachweismitteln

    b. ohne Nachweismittel (agent-less)

Volumetrische Anti-DDoS-Systeme

Volumetrische DDoS-Systeme, oder besser gesagt, volumenbasierte DDoS-Abwehrsysteme, werden in der Regel von Telekommunikationsanbietern eingesetzt. Diese Systeme erkennen das Verkehrsaufkommen und handeln auf der Grundlage eines endlichen Parameters, der Durchsatzkapazität des beobachteten Netzes. Diese Systeme sind sehr zuverlässig, weil sie auf einen bestimmten Parameter einwirken, aber sie garantieren keine effektive Abdeckung der Anwendungen.

Der Parameter, auf den sie ihre Reaktion stützen, ist nämlich das übertragene Datenvolumen, und wenn dieses erkannt wird, ist es für die Anwendungen bereits zu spät. Sie schützen die Core-Switches des Telco Operators sehr effektiv, und nur wenn das System eine mögliche Beeinträchtigung dieser Geräte feststellt, reagieren sie, indem sie das Routing der Grenzrouter auf "schwarze Löcher" verlagern, die den Betrieb der Geräte schützen. Es handelt sich in der Tat um einen Schutz der Ausrüstung des Telco Operators, der nicht in der Lage ist, den Betrieb der Anwendungen (Dienste) zu garantieren, **weil er nicht in der Lage ist, die Ermüdung der Anwendungen zu verstehen, und eine Reaktion auf eine Änderung des Volumens das Geschäft der Anwendung gefährden könnte, mit den Folgen einer Klage wegen Einnahmeverlusten oder eines schlechten Dienstes.

Letztlich könnte man diese Art der Erkennung mit einem Stresserkennungssystem gleichsetzen, das nicht anwendungsbezogen ist, sondern eher auf den Telco Operator bezogen ist.

Statistische Anti-DDoS-Systeme

In dieses Segment fallen Produkte, die auf der Variation von Zuständen basieren. Das System erlernt und speichert eine Volumen- oder Anfrageerfahrung und reagiert auf Änderungen dieser, indem es die Quelladressen sperrt.

Selbst in diesem Fall ist der Algorithmus in all den Fällen, in denen das Verkehrsaufkommen oder die Zahl der Anfragen bestimmte Schwellenwerte überschreitet, die Dienste aber einwandfrei funktionieren, eklatant falsch.

Dieses System ist das nachteiligste, da es den Anwendungsstress nicht berücksichtigt!

Aus diesem Grund reagieren alle Systeme, die auf diesem Algorithmus basieren, im besten Fall einfach nicht und bieten nur eine "Post-Mortem"-Plattform des Dienstes, um festzustellen, welche IP-Adressen den Absturz verursacht haben.

Die meisten Systeme, die heute auf dem Markt sind, basieren auf diesem Algorithmus, der, um die negativen Auswirkungen zu mildern, mit anderen Algorithmen kombiniert wird, wie z. B. solche, die auf Schadadressen-Datenbanken basieren.

Anti-DDoS-Systeme mit Adressdatenbanken

Um die Unzulänglichkeiten der statistischen Anti-DDoS-Systeme auszugleichen, haben sich im Laufe der Zeit Datenbanken mit schädlichen Adressen entwickelt. **Datenbanken von statistischen Anti-DDoS-Systemen, also immer zu spät für den Unglücklichen. **

Darüber hinaus besteht ein grosses Problem darin, dass, wenn die erfasste Adresse von einem legalen Dienst stammt, dieser für alle Nutzer dieser Datenbank gesperrt wird, ohne dass der Diensteanbieter dies merkt, wodurch das Verkehrsaufkommen und – was noch schlimmer ist – das Umsatzvolumen verringert wird**.

Diese Art von Systemen ist höchst unzuverlässig, auch angesichts der jüngsten Angriffe, die immer von legalen Adressen stammen und noch nicht in diesen Datenbanken enthalten sind, mit dem Ergebnis, dass auch diese Adressen postmortal unzulässig erscheinen**. In der Praxis ist dieses System veraltet und sogar schädlich, wenn man an mögliche Missbräuche denkt, wie etwa unlauteren Wettbewerb durch nicht vertrauenswürdige Mitarbeiter, die Adressen aus Gewinngründen in die Datenbank eingeben.

Darüber hinaus und nicht zuletzt, da die Datenbanken durch die Erfahrungen mit dem Absturz von Diensten gespeist werden, sind sie eine spontane Extraktion sensibler Daten, die oft nicht an den Nutzer weitergegeben werden, der sie vielleicht als bezahlt. In der Tat befinden sich in dieser Datenbank nicht nur die Adressen, die die Website blockiert haben, sondern oft auch die Website und der Dienst blockiert, wodurch dieser Dienst noch mehr möglichen gezielten Angriffen ausgesetzt wird, weil er durch den Absturz deutlich hervorgehoben wurde.

Sistemi anti DDoS con rilevamento del livello di stress applicativo

Questi sistemi sono tra i più efficaci nel rilevare attacchi DDoS o meglio, come vedremo, nel rilevare un possibile problema che determinerà uno stop del servizio.

È chiaro che il sistema a rilevazione dello stress entra in azione solamente nel momento in cui, indipendentemente dalla causa, il servizio rallenta al punto di diventare inservibile per gli utenti quindi in vero stato di Denial of Service.

Questo sistema è l'unico che dovrebbe essere annoverato tra i sistemi DDoS in quanto rileva effettivamente il "Denial of Service" e non il "Denial of Tool" (core-swicth fault) o l'incremento delle richieste.

L'algoritmo quindi è abbastanza buono per mitigare gli effetti di un overload del servizio ma anche qui dipende da chi esegue il rilevamento e su quali basi viene determinato l'overload e inoltre, se è in grado di segnalare e reagire per tempo prima che si arrivi al crash del servizio.

Cominciamo con il distinguere due tipi di rilevatori, quelli ad agenti e senza agenti (agent-less).

Anti-DDoS-Systeme mit Agenten zur Erkennung von Anwendungsstress

Bei agentenbasierten Detektoren wird wiederum unterschieden zwischen Agenten an Bord der Anwendung (Plugin-Agent), auf dem Server (Agent) oder außerhalb, Überwachungssystemen oder Hybridsystemen.

In der Regel dienen diese Agenten der "post-mortem"-Verfolgung oder dem Auslösen von Alarmen. In den letzten Jahren haben sie sich auch dahingehend weiterentwickelt, dass sie Stress erkennen und die Anzahl der Ressourcen erhöhen, um die erhöhte Last zu bewältigen (siehe EC2 Autoscaling, Kubernetes Horizontal Pod Autoscaling usw.), was sich nur schwer in Systeme integrieren lässt, die mit der Blockierung unrechtmäßiger Überlast reagieren.

Agentengesteuerte Systeme haben auch ein Entropieproblem. Wenn es sich um wenige und genau definierte Dienste handelt, sind sie durchsetzbar, bei mehreren Tausend verwalteten Diensten ist die Wartung von Agenten sehr teuer, was die Installations- und Wartungskosten angeht. Wenn sich die Versionen oder Aktualisierungen von Agenten ändern, wird es unmöglich, die Wartung unter Kontrolle zu halten, und es wird fast immer ein Zustand der Inkonsistenz erreicht.

Plugin-Agent-Systeme, d. h. Systeme, die in die Anwendungs-Middlware, den Webserver oder den Anwendungsserver integriert sind, leiden ebenfalls unter Inkompatibilitätsproblemen zwischen den Middlware-Versionen und den Plugin-Agenten, was häufig zu Dienstproblemen führt, noch bevor diese bhoben sind.

Darüber hinaus können Agentensysteme kaum die neuen "slow" Angriffe erkennen, die in der Regel sehr wenig Datenverkehr erzeugen, aber die Server mit Verbindungen beschäftigen, die nur sehr wenige Daten übertragen und alle Ressourcen beschäftigen, indem sie nur wenige Bytes austauschen, um die Verbindung nicht zu unterbrechen, sondern den Speicher bis zum Überlauf zu sättigen, einen Speicher, der im Fall von Plugin-Agenten auf dem gleichen Adressraum wie der Web- oder Applikationsserver liegt!

Anti-DDoS-Agent-less Systeme zur Erkennung von Anwendungsstress

Diese Systeme sind das beste DoS/DDoS-Attack Mitogation-Tool auf dem heutigen Markt, da sie auf der Grundlage der Erkennung von Anwendungsstress keine Agenten in Infrastrukturen mit Tausenden von Diensten installieren müssen und keine Wartung der Dienste erfordern, selbst wenn diese Tausende von Knoten und Anwendungen bedienen.

Da sie den Datenverkehr durchleiten (pass-through) müssen, sind sie außerdem spontan das System, in dem sofortige Entscheidungen getroffen werden können, und können somit perfekt DoS/DDoS-Phänomene abschwächen, nachdem sie den übermäßigen Handlungsbedarf erkannt haben. Mit diesen Werkzeugen wird die Verlangsamung der Systeme rechtzeitig erkannt, und es können sofort Maßnahmen ergriffen werden.

Offensichtlich kann die Erkennung nicht auf der Ebene und mit der Netzwerkausrüstung erkannt werden, die Logik der Pakete sollte berücksichtigt werden! Sie kann also nicht von einem Schalter oder gar von einem System durchgeführt werden, das den Paketverkehr "inspiziert", der im Übrigen in fast allen Rechenzentren, selbst in Intranets, zunehmend verschlüsselt wird, um eine Fuge sensibler Daten zu verhindern.

Oplon DoS/DDoS attack mitigation

Das Oplon DoS/DDoS attack mitigation System beinhaltet das Beste, was heute an Technologie verfügbar ist.

Das ist ein System der qualitativen Anti- DoS/DDoS-Kategorie mit Erkennung von Anwendungsstress und sofortiger (5 Millisekunden) Reaktion auf die Erkennung von Verlangsamungen ohne Einsatz von Agenten jeglicher Art (agent-less).

Das System basiert auf Studien zur Skalierbarkeit von Software, die zur Entwicklung einer Engine mit endlichen Ressourcen geführt haben, die bei richtiger Konfiguration nicht unter Out-of-memory oder Out-of-resource aufgrund von Überlastung leiden kann und daher in der Lage ist, selbst auf einen massiven Angriff zu reagieren.

Das System initialisiert beim Start die folgenden Grundelemente:

  1. Die Listeners

  2. Die Tunneln

  3. Eine Warteschlange für "incoming connections to resolve"

  4. Eine Warteschlange von "incoming connections to clean"

  5. Eine Washing Machine

  6. Eine Quarantine addresses/subnets table

  7. Ein DoS/DDoS-Angriffsdetektor

Das System basiert daher auf einer begrenzten Anzahl von Tunneln, die in der Regel für den zu einer bestimmten "normalen" Zeit zu bewältigenden Verkehr dimensioniert sind, wobei auch "Spitzen" auf der Grundlage der Erfahrungen und Angaben der Anwendungssysteme und -größen berücksichtigt werden.

Das Verhältnis von Tunnel zu Client beträgt bei beratenden Anwendungen in der Regel 1/7,1/10, was sich verringert, wenn die Anwendungen dauerhafte Verbindungen unterhalten.

Das System, das für die Erkennung von Ereignissen zuständig ist, Oplon DoS/DDoS Attack Mitigation, ist ein asynchrones System, das alle Elemente im Abstand von 5 Millisekunden scannt und verifiziert:

  1. Schwellenwert für aktive Tunnel

  2. Warteschlangenschwelle für eingehende Verbindungen

  3. Schwellenwerte für das Erreichen rekursiver IP-Vorkommen

  4. Katalogisierung des Vorkommens von IP-Subnetzen

  5. Katalogisierung des zeitlichen Auftretens von IP-Verpflichtungen und IP-Subnetzen

  6. Auf Layer 7 http, Katalogisierung des Vorkommens von X-FORWARDED-FOR-Ketten

  7. Survivor-Tunnelraumschwelle erreicht

Schlussfolgerungen und Vorteile

Nachfolgend finden Sie die Vorteile der Oplon DoS/DDoS Attack Mitigation Lösung und was sie nicht abdeckt.

Vorteile

  1. Das System ist vollständig agent-less

  2. Das System basiert auf der Anwendungsmüdigkeit

  3. Das System reagiert innerhalb von 5 Millisekunden nach der Erkennung

  4. Das System reagiert auch auf Verlangsamungen von Anwendungen, die nicht von außen verursacht werden

  5. Das System ist in der Lage, IP-Adressen, die unter Quarantäne stehen, zu löschen (Washing Machine)

  6. Die Washing Machine hat keinen Einfluss auf die für die Protokollauflösung zugewiesenen Ressourcen (Tunnel und incoming connections to resolve protocol)

  7. Das System ermöglicht eine genaue Verfolgung der IP-Adressen, die das Problem verursachen

  8. Das "Quarantäne"-System ermöglicht es, Adressen, die vorübergehend ein Problem verursachen, aber rechtmäßig sind, in einen Zustand zu versetzen, in dem sie keinen Schaden anrichten können

  9. Das System kann "slow" Angriffe abfangen

  10. Das System ermöglicht es einem Dienst, auch während eines Angriffs Ressourcen für andere Dienste freizuhalten, die diese Ressourcen gemeinsam nutzen (tunnel survivor space)

Was es nicht tut:

Dieses System ist nicht volumetrisch, sondern muss durch volumetrische "DDoS"

  • bzw. "DDoT" (Denial of Tool) -Systeme von Telco Providern unterstützt werden.



Autor: Valerio Mezzalira

DDoS Attack Mitigation: Wie man im E-Commerce kein Geld durch blockierte Dienste verlierteCommerce: Strategien und Investitionen für den Online-Verkauf