Reflection Angriffe (DRDoS)

Seit Ende letzten Jahres häufen sich DRDoS- und RDoS-Angriffe auf Systeme. Besonders wurden zuletzt deutsche Unternehmen und Behörden mittels Reflection-Attacks angegriffen.

Bei einer Distributed-Reflected-Denial-of-Service-Attacke (DRDoS) handelt es sich um eine Sonderform einer DDoS Attacke. Denn hier ist der angreifende Server selbst eines der Opfer und ist meist ein Teil eines von dritten gestreuten Botnet’s. Die Attacke funktioniert über das Ausnutzen von unterschiedlichen Internetprotokollen.

Das Verfahren ist so einfach, wie es gefährlich ist. Denn der Angreifer verschleiert bei seinem Angriff sich selbst, indem er den Angriff durch einen anderen Server ausführen lässt.

Abbildung 1: Ablauf eines Reflection-Angriffs

Voraussetzung für diese Art des Angriffs ist die Möglichkeit die Absenderadresse zu fälschen (IP-Spoofing). Daher wird für die meisten dieser Angriffe das verbindungslose Transportprotokoll UDP verwendet.

Bei der Anfrage des Angreifers, wird als “Antwort-IP-Adresse” die Adresse des Opfersystems angegeben. Der Angreifer sendet so tausende Anfragen an den Zielserver, jedoch das Opfersystem alle Antworten erhält. Somit ist das Opfersystem ab einem bestimmten Moment mit den Anfragen überfordert und stürzt ab oder wird aus dem Internet geschmissen.

DRDoS-Attacken erfolgen in der Regel über hoch verstärkende Reflektoren wie DNS-Dienste, welche die kurzen Anfragen der Angreifer mit großen Datenpaketen beantworten. Man spricht in diesem Fall von einer Verstärkung der eingesetzten Bandbreit (amplification), wodurch die Kraft des Angriffs auf das Opfersystem noch weiter in die Höhe steigt.

Maßnahmen

DRDoS-Attacken sind nicht neu und in den letzten Jahren wurden bereits Attacken dieses Musters erkannt. Trotzdem sind viele Server bis heute nicht vor diesen Reflection-Angriffen geschützt.

Da Protokolle wie DNS und NTP immer noch auf das UDP-Protokoll angewiesen und moderne Systeme auf diese Dienste angewiesen sind, ist es gar nicht so einfach einen Komplettschutz zu realisieren. Dennoch lassen sich einige Absicherungen realisieren, mit welchen sich DRDoS-Angriffe erkennen lassen.

Zuerst sollte auf eine solide Grundsicherung gesetzt werden, damit vor allem kritische Systeme von außen nicht zu erreichen sind bzw. nur von sicheren Quellen oder per VPN erreichbar sind. So können zum Beispiel DNS oder NTP Dienste und deren Ports deaktiviert werden, wenn sie nicht genutzt werden. Zudem sollten Überwachungstools zur Unterstützung eingesetzt werden. Außerdem erzwingen IDS/IPS Systeme und WAFs einen Timeout bei den Ursprungs IP-Adressen und schützen so ebenfalls vor DRDoS-Angriffen.

Es ist ebenfalls ratsam, bestimmte Services hinter CDN-Netzwerken, wie Cloudfare zu verstecken, um diese nochmals gesondert zu schützen.

Like
Like Love Haha Wow Sad Angry
42