Das Hosting eines CDNs in der Wolke gewinnt zunehmend an Popularität. Doch anders als vermutet bietet diese skalierbare Cloud-Architektur nicht nur keinen Schutz vor DDoS-Attacken, sondern ganz im Gegenteil, der Angreifer kann die eigene Infrastruktur des Opfers ausnutzen, um IP-basierte Abwehrmechanismen auf dem Zielserver aufzuheben. Ein CDN kann Attacken mit einem hohen Datenvolumen aufnehmen und das Ausschöpfen der verfügbaren Ressourcen wesentlich erschweren. Leider bietet dies den IT-Fachkräften ein falsches Gefühl der Sicherheit. Anfragen nach dynamisch erzeugten Daten leitet das CDN an den Origin-Server. Indem die Angreifer jede Anfrage nach nicht vorhandenen Daten leicht modifizieren, können sie das CDN dazu veranlassen, eine DDoS-Attacke auf das eigene Data Center loszutreten. Die Täter können das CDN außerdem mit Cache-Direktiven im HTTP-Header umgehen, zum Beispiel mit:
cache-control: no-cache oder Pragma: no-cache
Werden bösartige Anfragen durch das CDN an den Origin-Server weitergeleitet, unterlaufen sie außerdem bestehende Sicherheitssysteme, weil sie sich nun mit einer vertrauenswürdigen IP-Adresse des eigenen CDNs ausweisen. Das Resultat ist eine DoS-Attacke des eigenen CDNs auf das eigene Data Center des Opfers. Nicht-legitime Anfragen lassen sich in diesem Fall weder anhand der IP-Adresse blocken noch anhand des Datenvolumens identifizieren. Die Lastverteilung eingehender Angriffe auf verschiedene Knoten des CDNs sorgt dafür, dass sie unerkannt mit legitimen Datenströmen im Multiplex-Verfahren gemischt werden und erst dann hochkonzentriert die Zielsysteme bombardieren.
Die einzige Methode, um legitime von nicht legitimen Anfragen in einer Attacke aus dem eigenen CDN zu unterscheiden, besteht im Inspizieren des HTTP-Headers. Denn erst der X-Forwarded-For-Header (XFF) gibt hier endgültigen Aufschluss über den tatsächlichen Ursprung der Anfrage und ermöglicht dann das gezielte Abblocken der Attacke anhand der IP-Adresse.
Bei DDoS (Distributed Denial of Service) handelt es sich um eine verteilte Attacke, die mithilfe von Anfragen aus einer Vielzahl von Quellen den betroffenen Dienst lahmlegt.
Volumetrische DDoS-Attacken generieren eine Datenflut, mit der sie die Bandbreite ausschöpfen und die Datenübertragung stilllegen. TCP-State-Exhaustion-Attacken nehmen sich die Verbindungsstatus-Tabellen von Firewalls vor, um diese Elemente der Infrastruktur außer Gefecht zu setzen und das nun nicht mehr geschützte Netzwerk zu unterwandern. Angriffe auf der Applikationsebene adressieren treffsicher Schwächen der betroffenen Software-Architektur mit dem geringstmöglichen Datenaufkommen, das gerade einen Schaden verursacht.
Infos
Ein XOR DDos getaufter Trojaner hat ein Botnetz aus Linux-Systemen errichtet, das inzwischen Geschwindigkeiten von bis zu 150 Gbps erreicht.