Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

DDoS aus der Wolke in die Wolke

Das Hosting eines CDNs in der Wolke gewinnt zunehmend an Popularität. Doch anders als vermutet bietet diese skalierbare Cloud-Architektur nicht nur keinen Schutz vor DDoS-Attacken, sondern ganz im Gegenteil, der Angreifer kann die eigene Infrastruktur des Opfers ausnutzen, um IP-basierte Abwehrmechanismen auf dem Zielserver aufzuheben. Ein CDN kann Attacken mit einem hohen Datenvolumen aufnehmen und das Ausschöpfen der verfügbaren Ressourcen wesentlich erschweren. Leider bietet dies den IT-Fachkräften ein falsches Gefühl der Sicherheit. Anfragen nach dynamisch erzeugten Daten leitet das CDN an den Origin-Server. Indem die Angreifer jede Anfrage nach nicht vorhandenen Daten leicht modifizieren, können sie das CDN dazu veranlassen, eine DDoS-Attacke auf das eigene Data Center loszutreten. Die Täter können das CDN außerdem mit Cache-Direktiven im HTTP-Header umgehen, zum Beispiel mit:

cache-control: no-cache
oder
Pragma: no-cache

Werden bösartige Anfragen durch das CDN an den Origin-Server weitergeleitet, unterlaufen sie außerdem bestehende Sicherheitssysteme, weil sie sich nun mit einer vertrauenswürdigen IP-Adresse des eigenen CDNs ausweisen. Das Resultat ist eine DoS-Attacke des eigenen CDNs auf das eigene Data Center des Opfers. Nicht-legitime Anfragen lassen sich in diesem Fall weder anhand der IP-Adresse blocken noch anhand des Datenvolumens identifizieren. Die Lastverteilung eingehender Angriffe auf verschiedene Knoten des CDNs sorgt dafür, dass sie unerkannt mit legitimen Datenströmen im Multiplex-Verfahren gemischt werden und erst dann hochkonzentriert die Zielsysteme bombardieren.

Die einzige Methode, um legitime von nicht legitimen Anfragen in einer Attacke aus dem eigenen CDN zu unterscheiden, besteht im Inspizieren des HTTP-Headers. Denn erst der X-Forwarded-For-Header (XFF) gibt hier endgültigen Aufschluss über den tatsächlichen Ursprung der Anfrage und ermöglicht dann das gezielte Abblocken der Attacke anhand der IP-Adresse.

 

Bei DDoS (Distributed Denial of Service) handelt es sich um eine verteilte Attacke, die mithilfe von Anfragen aus einer Vielzahl von Quellen den betroffenen Dienst lahmlegt.

Volumetrische DDoS-Attacken generieren eine Datenflut, mit der sie die Bandbreite ausschöpfen und die Datenübertragung stilllegen. TCP-State-Exhaustion-Attacken nehmen sich die Verbindungsstatus-Tabellen von Firewalls vor, um diese Elemente der Infrastruktur außer Gefecht zu setzen und das nun nicht mehr geschützte Netzwerk zu unterwandern. Angriffe auf der Applikationsebene adressieren treffsicher Schwächen der betroffenen Software-Architektur mit dem geringstmöglichen Datenaufkommen, das gerade einen Schaden verursacht.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Linux-Botnetz XOR DDos attackiert mit bis zu 150 Gbps

Ein XOR DDos getaufter Trojaner hat ein Botnetz aus Linux-Systemen errichtet, das inzwischen Geschwindigkeiten von bis zu 150 Gbps erreicht.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022