Denial-of-Service an der Quelle bekämpfen
Denial of Service (DoS)-Angriffe sind eine besondere Art von Bedrohung der Cybersicherheit. Der Angreifer muss sich nicht in Ihre Systeme hacken oder eine Lücke in Ihren Sicherheitsvorkehrungen finden. Der Angreifer muss nicht einmal über umfangreiche Kenntnisse oder Ressourcen verfügen, um einen wirksamen DoS-Angriff zu starten - er braucht nur 30 USD pro Monat zu zahlen und kann ein Botnet mieten, um ein kleines/mittleres Unternehmensnetz für einige Zeit vom Internet abzuschneiden.
DoS-Angriffe - nein, nicht MS-DOS, das altehrwürdige Betriebssystem - lassen sich in zwei große Kategorien einteilen: Überwältigender Netzwerkverkehr, der legitimen Datenverkehr effektiv daran hindert, Ihre Systeme zu erreichen, und überwältigende Anfragen, die eine beträchtliche Menge an Ressourcen binden, um zu reagieren und legitime Anfragen daran hindern, von Ihren Systemen bedient zu werden. Es gibt noch einige andere Szenarien, die unter die weit gefasste Denial-of-Service-Kategorie fallen (z. B. die physische Beschädigung eines Servers oder einer Kommunikationsleitung), aber das sind eher die Ausnahme als die Regel.
Es wird auch unterschieden zwischen einem Denial-of-Service-Angriff, der von einer einzelnen Person und einem einzelnen Quellsystem oder einer geringen Anzahl von Quellsystemen gestartet wird, und solchen, die von Hunderttausenden von Systemen gleichzeitig gegen ein Zielsystem oder -netz gestartet werden (Distributed-Denial-of-Service-Angriff, DDoS).
Im Jahr 2020 gab Amazon bekannt, dass es den größten zu diesem Zeitpunkt bekannten DDoS-Angriff erfolgreich abgewehrt hatte: 2,3 Tbps an Datenverkehr trafen das AWS-Netzwerk und zielten auf einen kleinen Teil der gehosteten Dienste ab. Das sind 2,3 Terabit Datenverkehr pro Sekunde, jede Sekunde, über einen bestimmten Zeitraum hinweg. Das sind fast 300 Gigabyte pro Sekunde oder, in alten Zahlen ausgedrückt, 67 DVDs mit Daten pro Sekunde, jede Sekunde (falls Sie nicht wissen, dass eine DVD so etwas wie Netflix ist, nur ohne den "Netz"-Teil, und nur einen Film enthält).
Aber das war 2020. Im Jahr 2018 hatte sich Github gegen einen anderen groß angelegten Angriff in etwa dieser Größenordnung gewehrt - 1,3 Tbps. Das ist immer noch eine gewaltige Datenmenge, aber aus heutiger Sicht ist das wie Höhlenmalerei im Vergleich zur Mona Lisa.
Spulen wir ins Jahr 2023 vor, und CloudFlare hat gerade bekannt gegeben, dass sie einen 71-Millionen-Anfragen-pro-Sekunde DDoS-Angriff. Wir können die Zahlen zwar nicht genau vergleichen, da AWS seine Ergebnisse in Netzwerkverkehr und Cloudflare in Anfragen pro Sekunde meldete (oder der AWS-Angriff war vom Typ "Netzwerküberflutung" und der von CloudFlare vom Typ "Erschöpfung der Ressourcen"), aber es ist dennoch eine wahnsinnig hohe Zahl.
Wie ist es überhaupt möglich, Angriffe dieses Ausmaßes durchzuführen?
Es gibt mehrere Faktoren, die zu dem offensichtlichen Größenwachstum von DoS beitragen. Erstens, und das ist sehr wichtig, verfügen die Hyperscale-Cloud-Anbieter über die größten Netzwerkverbindungen im Internet, so dass Datenverkehr dieser Größenordnung ihre Netzwerke und gehosteten Dienste erreichen kann. Zweitens hängt die Durchführung eines DoS-Angriffs nicht "nur" von den eigenen Ressourcen des Angreifers ab.
Um erfolgreiche DoS-Angriffe zu starten, müssen in der Regel Schwachstellen in einer Vielzahl von Systemen ausgenutzt werden, die dazu nicht bereit sind. Eine gängige Taktik besteht darin, eine Art von Dienst zu finden, der auf eine Anfrage mit mehr Daten antwortet, als an ihn gesendet wurden - eine DNS-Anfrage für google.com antwortet beispielsweise mit viel mehr Zeichen, als ursprünglich in der Anfrage gesendet wurden. Wenn Sie auch noch einen Weg finden, den DNS-Server dazu zu bringen, die Antwort an Ihr Ziel zu senden, haben Sie gerade das Pfand gefunden, das Sie brauchen, um einen DoS durchzuführen. Man nennt dies einen "Verstärkungs-DoS".
Bei mehreren Diensten wurde festgestellt, dass sie anfällig für Amplifikation sind, d. h., dass sie von einem Angreifer ausgenutzt werden können, um ein Ziel zu überfluten, wie z. B. die BIND DNS-Server oder LDAP-Server die dem Internet ausgesetzt sind. So könnte ein einzelner Angreifer, der zu Hause an seinem Kaffee nippt, eine Liste von DNS-Servern zusammenstellen (und davon gibt es Tausende), ein einfaches Skript schreiben und - schwuppdiwupp! - DDoS ist einsatzbereit.
Wenn ein Angreifer nicht gewillt ist, sich die Mühe zu machen, eine einfache Shodan-Suche nach diesen DNS-Servern durchzuführen, hat er vielleicht 30 USD zur Verfügung, um ein DoS-as-a-Service-Angebot zu abonnieren. Ja, das ist richtig. Für nur 30 Dollar pro Monat können Sie ein Botnetz "mieten", das bereit ist, sich an solchen Unternehmungen zu beteiligen. Zahlen Sie mehr für mehr Bots oder längere Zeiträume für Ihre Angriffe.
Was ist ein Botnet, fragen Sie sich? Nun, es handelt sich um eine Gruppe von Workstations oder Servern, in der Regel in Unternehmen, die über eine versteckte Software verfügen, mit der sie von einem böswilligen Akteur oder einer Bedrohungsgruppe ferngesteuert - und somit als Waffe eingesetzt - werden können.
Und was ist der Sinn eines DoS-Angriffs?
Finanzieller Gewinn oder finanzieller Schaden sind in der Regel die Beweggründe. Dies kann entweder dadurch geschehen, dass ein Unternehmen als Geisel gehalten wird, indem gedroht wird: "Zahlen Sie uns einen Betrag von X Bitcoins oder Ihre Systeme gehen offline", oder es wird ein direkter finanzieller Schaden verursacht, indem Systeme, die die Geschäfts- oder Verkaufsfähigkeit eines Unternehmens unterstützen, ausgeschaltet werden.
Was auch immer der Angreifer wählt, das Opfer verliert es.
Wie können Sie sich dagegen wehren?
Abgesehen davon, dass Sie sich darauf verlassen, dass Ihr Internetanbieter den Datenverkehr filtert, oder einen Schutzdienst wie Cloudflare beauftragen, können Sie nicht viel anderes tun. Und selbst dann "lösen" Sie das Problem nicht, Sie fügen lediglich einen (hoffentlich) ausreichend großen Puffer zwischen Ihrem Netzwerk und dem Angreifer hinzu. In dem Moment, in dem Ihre Perimeter- oder Anwendungsfirewall den DoS-Verkehr unterbricht, ist es bereits zu spät - das Rohr ist bereits verstopft, und es spielt keine Rolle mehr, ob Sie den Abfluss verstopfen oder nicht. Und selbst wenn Sie irgendwie verhindern können, dass der Datenverkehr in Ihr Netz gelangt, könnte er ein solches Ausmaß annehmen, dass er stattdessen das Netz Ihres Internetanbieters überflutet und Ihre Verfügbarkeit ungeachtet Ihrer Bemühungen beeinträchtigt.
Und hier unterscheidet sich ein DoS-Angriff von anderen einfachen Bedrohungen der Cybersicherheit wie Ransomware oder einem Hacker, der sich Zugang zu einem System verschafft. Der Angreifer benötigt kein Insiderwissen über Ihre Systeme und keine Hacking-Fähigkeiten, und selbst wenn Sie rechtzeitig Patches installiert haben, um Ihre Compliance-Anforderungen zu erfüllen, macht das keinen Unterschied.
Die wirksame Bekämpfung von Denial-of-Service-Angriffen erfordert eine umfassendere Bekämpfung von Botnetzen und Patching-Verstärkungsdiensten, anstatt auf der Ebene der Ziele zu operieren. In gewisser Weise geht es darum, die Waffen zu beseitigen, anstatt die Ziele zu schützen.
Botnetze entstehen, wenn Systeme infiziert werden, und das ist der traditionelle Ansatz - Phishing, ungepatchte Schwachstellen, Fehlkonfigurationen - und diese können in der Tat wirksam gepatcht werden. Verstärkungsdienste sind in der Regel das Ergebnis von Fehlern bei der Konzeption oder Implementierung solcher Dienste - und auch das kann gepatcht werden. Dies unterstreicht nur die Notwendigkeit, alle Ihre Systeme ordnungsgemäß zu patchen. Nicht, weil Sie das Opfer des DoS sind, sondern weil Ihre Systeme die Waffe sein können, die auf die Systeme eines anderen gerichtet ist.
Die beste Möglichkeit, dies zu bekämpfen, ist an der Quelle, und die "Quelle" ist jedes infizierte oder nicht gepatchte System. Da es nicht möglich ist, zu erraten, welcher Dienst als Verstärker für einen solchen Angriff in Frage kommt, ist es am besten, einfach alles zu patchen, was Sie können, überall, wo Sie können, und zwar ständig. Wenn Sie damit überfordert sind, weil es eine Unterbrechung bedeutet, suchen Sie nach nicht unterbrechenden Optionen wie Live-Patching.
Die Sicherheit der eigenen Systeme trägt auch dazu bei, die Sicherheit der Systeme aller anderen zu gewährleisten.