Hintergrund einer DDoS-Attacke ist nicht selten eine Erpressung: Geld für ungestörte Erreichbarkeit. Das scheint auch im März 2016 der Fall gewesen zu sein: In den Tagen zuvor kursierten Erpressermails, in denen die Cyberkriminellen versprachen, gegen Bezahlung von 25 Bitcoins von einer DDoS-Attacke abzusehen.
Opfer einer DDoS-Attacke kann heute jeder werden, denn solche Angriffe sind einfach zu realisieren. Entsprechende Angebote sind im Darknet schon ab 20 US-Dollar für mehrminütige Attacken zu finden. Mit smarten Fernsehern, Web-Cams und kaum geschützten IoT-Geräten stehen den Angreifern heute auch immer mehr Angriffsquellen zur Verfügung. Und die Intensität der Attacken nimmt zu: Seit 2016 stieg die Bandbreite der stärksten Angriffe von 620 Gbit/s auf einen Rekordwert von 1,7 Tbit/s in diesem Frühjahr.
Das Übel noch im Internet bekämpfen
Lokale Router, Firewalls oder Inline-DDoS-Filter schützen kaum mehr. Wirklichen Schutz bieten nur Massnahmen, die das Übel schon vor dem eigenen Anschluss, also noch im Internet beseitigen. Entsprechende Dienstleistungen für Geschäftskunden werden von Internet-Service-Providern angeboten, bei Green etwa unter dem Namen DDoS-Guard.
Dabei überwachen spezielle Sensoren den Datenverkehr des Kunden auf Unregelmässigkeiten bei den eingehenden Datenpaketen. Diese Flow-Control erkennt Angriffe nicht nur volumen-, sondern auch verhaltensbasiert. Sobald vordefinierte Parameter überschritten werden, wird der ganze Netzwerkverkehr innerhalb einer Minute mittels BGP-Rerouting in ein sogenanntes Scrubbing-Center umgeleitet. Diese Server befreien den erwünschten Datenverkehr vom Datenmüll und leiten ihn über eine gesicherte Verbindung an den Empfänger. Viele Angebote basieren allerdings auf lokalem Equipment der Provider, das eine Kapazität von einigen zig Gbit/s erreicht. Gegen die neuen Terabit-Attacken sind sie machtlos.
Besser wirken Cloud-Scrubbing-Center, die in der Nähe der grossen Internetknoten wie beispielsweise Frankfurt stehen. Die Verzögerung von wenigen Millisekunden aufgrund der Umleitung ist für den Endbenutzer kaum spürbar. Sicherheitsbedenken sind dabei unnötig, da es sich zum einen nur um den eingehenden Datenverkehr handelt. Zum anderen erkennen die Sensoren auch bei verschlüsselten Daten, ob es sich um legitimen Verkehr handelt oder nicht, ohne die Verschlüsselung aufbrechen zu müssen.
Die Umschaltung des Datenverkehrs ins Scrubbing-Center erfolgt in der Regel automatisch. Sie kann auf Wunsch jedoch auch manuell erfolgen oder aber als dauernde Umleitung eingerichtet werden. Die Provider bieten dabei verschiedene Szenarien an. Um nachfolgende Attacke-Wellen ins Leere laufen zu lassen, bleibt die Umleitung im Normalfall über mehrere Stunden bestehen. Erst wenn keine bösartigen Datenpakete mehr festgestellt werden, wird der Datenstrom in Absprache mit dem Kunden wieder zurückgeschaltet.
Ein Rüstungswettlauf um Bandbreite
Je nach Anbieter arbeiten solche Anti-DDoS-Lösungen mit Anbindung an ein Cloud-Scrubbing-Center heute mit Bandbreiten von über 3 Terabit pro Sekunde. Damit bieten sie bei weitem ausreichend Schutz, auch vor den derzeit stärksten Attacken. Selbstverständlich arbeiten die Anbieter aber laufend an einer Vergrösserung der Bandbreiten, denn eines ist gewiss: Es ist nur eine Frage der Zeit, wann der nächste Angriff einen neuen Rekordwert erzielt.
Über den Autor:
Hanspeter Gehrig ist für die B2B-Services verantwortlich.