DDoS aus der Wolke in die Wolke

Das Hosting eines CDNs in der Wolke gewinnt zunehmend an Popularität. Doch anders als vermutet bietet diese skalierbare Cloud-Architektur nicht nur keinen Schutz vor DDoS-Attacken, sondern ganz im Gegenteil, der Angreifer kann die eigene Infrastruktur des Opfers ausnutzen, um IP-basierte Abwehrmechanismen auf dem Zielserver aufzuheben. Ein CDN kann Attacken mit einem hohen Datenvolumen aufnehmen und das Ausschöpfen der verfügbaren Ressourcen wesentlich erschweren. Leider bietet dies den IT-Fachkräften ein falsches Gefühl der Sicherheit. Anfragen nach dynamisch erzeugten Daten leitet das CDN an den Origin-Server. Indem die Angreifer jede Anfrage nach nicht vorhandenen Daten leicht modifizieren, können sie das CDN dazu veranlassen, eine DDoS-Attacke auf das eigene Data Center loszutreten. Die Täter können das CDN außerdem mit Cache-Direktiven im HTTP-Header umgehen, zum Beispiel mit:

cache-control: no-cache
oder
Pragma: no-cache

Werden bösartige Anfragen durch das CDN an den Origin-Server weitergeleitet, unterlaufen sie außerdem bestehende Sicherheitssysteme, weil sie sich nun mit einer vertrauenswürdigen IP-Adresse des eigenen CDNs ausweisen. Das Resultat ist eine DoS-Attacke des eigenen CDNs auf das eigene Data Center des Opfers. Nicht-legitime Anfragen lassen sich in diesem Fall weder anhand der IP-Adresse blocken noch anhand des Datenvolumens identifizieren. Die Lastverteilung eingehender Angriffe auf verschiedene Knoten des CDNs sorgt dafür, dass sie unerkannt mit legitimen Datenströmen im Multiplex-Verfahren gemischt werden und erst dann hochkonzentriert die Zielsysteme bombardieren.

Die einzige Methode, um legitime von nicht legitimen Anfragen in einer Attacke aus dem eigenen CDN zu unterscheiden, besteht im Inspizieren des HTTP-Headers. Denn erst der X-Forwarded-For-Header (XFF) gibt hier endgültigen Aufschluss über den tatsächlichen Ursprung der Anfrage und ermöglicht dann das gezielte Abblocken der Attacke anhand der IP-Adresse.