Ddos Defence

Ddos-Abwehr

Von wem kann man die DDoS töten? "Wenn die Anbieter ihren Dienst verrichten würden, gäbe es kein DDoS" - diese Arbeit wird von Peter Kämper, Eigentümer der Berner Firma PKA Computernetzwerke, vorgelegt und bietet damit viel Diskussionsmaterial in der Sicherheitsindustrie. Zusätzlich zu den Kämpfern wurde der Aufforderung von einer Jury aus hochkarätigen Experten gefolgt: Dazu gehören Michael Tullius, der für das deutsche Geschäft des DDoS-Schutzspezialisten Baum-Netzwerke verantwortlich ist, Bernd Eßer, Chef des Rechner-Notfallteams (CERT) der Telekom in Bonn, Motasem Al Amour des Netzwerksicherheitsanbieters Stonesoft, der in Kürze zu McAfee gehören wird, Volker Lieder, Managing Director von uvensys, eines in Butzbach ansässigen Managment Dienstleisters, und Adem Sen, Security Expert bei DB Systel in Frankfurt.

Oftmals ist es das gleiche Untenehmen, zum Beispiel die Telekom. Diskussionsbeginn: Kämper hat ein Gesamtkonzept erarbeitet, mit dem Zugangsanbieter ihrer Ansicht nach ihre Kundschaft von der Furcht vor DDoS-Angriffen befreien können - wenn sie es wünschen. Die Zauberformel heißt Bandbreitenmanagement. Dazu gehören auch die technischen Massnahmen zur Regulierung des Datenverkehrs im Netzwerk.

Bandbreitenmanagement ist daher nichts anderes als die "optimale" Aufteilung der gesamten verfügbaren Bandbreiten oder die Einordnung von Verkehrsströmen innerhalb eines Netzwerks. Wenn ein Anbieter die Bandbreiten zwischen seinem Netzwerkzugang und dem Zugriff des Clients managt, ist es laut Kämper möglich, den Verkehr zu steuern und zu verlangsamen, der einen Clientserver trifft.

Weil nach Kämperangaben mindestens mengenbasierte DDoS-Angriffe darauf basieren, gewisse Webserver mit zu vielen (legalen) Anforderungen parallel zu deaktivieren, kann hier auf der Anbieterseite ein effektiver Schutz eingerichtet werden. "â??Der Anbieter sollte sein Netz unter Kontrolle haben und seine Bandbreiten aus eigener Initiative richtig verteilenâ??, forderte der Netz-Spezialist. Heute tun sie dies zum Beispiel durch die Verwendung kostenintensiver Minderungsdienste, die de facto nur noch den Datenverkehr vor dem Kunden herausfiltern - nur auf Rechnung des Benutzers und nicht auf Rechnung des Zugangsanbieters.

Dies sollte nicht der Fall sein und ist auch nicht nötig, wenn Anbieter Bandbreitenmanagement nutzen, so Kämper. Der Nutzer bleibt nur für den Schutze vor simplen Denial-of-Service-Angriffen (DoS) und inhaltsbasierten DDoS-Angriffen zuständig, da der Anbieter genaue Einblicke in die IT-Systeme der Nutzer haben muss, um sich vor bekannten Angriffen zu schützen.

Mit Hilfe von Brandmauern, Intrusion Detection/Itrusion Prevention Systemen, Webapplikations- bzw. Serversicherheitsmaßnahmen können die Benutzer dies jedoch erreichen. Das Fazit von Kämper: "Bei den Anbietern mangelt es an Denksystem- und Netzwerkmanagement. Sollte ich als deutschsprachiger Nutzer nur einmal 10000 Packungen wollen oder akzeptieren können, muss mich der Anbieter nicht durch 11000 Anträge lassen.

Erst dann kann der Benutzer bestimmte Sicherheitsvorschriften einhalten. Praktische Erfahrungen im Bandbreitenmanagement sammelte Kämper in einem Großprojekt mit einer Berlin-Autorität, wo er sein Gesamtkonzept zusammen mit Colt umsetzte. Michael Tullius, der die Netzneutralitätsgefährdung für Kämper als gefährlich ansieht, sorgt für Gegenwind: "Man kann nicht einmal wissen, ob es sich um "schlechten" oder "guten" Traffic auswirkt.

Auch für DDoS-Schutzprodukte gibt es keine branchenweiten Normen - zum Beispiel hinsichtlich der Höhe der zu sichernden Resourcen oder der Antwortzeiten der angegriffenen Rechner - kann Bandbreitenmanagement nicht durchgängig implementiert werden. Dies umso mehr, als viele Nutzer auch Kunden mehrerer Anbieter sind, was die notwendige Standardisierung und Koordination der Sicherheitsprozesse erheblich erschwert. Für die Kunden ist es wichtig, dass die Sicherheitsprozesse standardisiert und koordiniert werden.

Im Einzelfall könnte es klappen, wenn der Nutzer seine Bedürfnisse ganz genau kennt; das Topic war als "verkaufbare" Variante nicht zu haben. "Heute ist DDoS nur noch ein Teil eines zielgerichteten Attacks, um Firmen vom Internet zu nehmen", erläutert Tullius und erläutert, warum diese Form des Attackings weder ein reinrassiges Benutzer- noch ein reinrassiges Providerproblem ist.

Der Angriff störte auch den normalen Netzwerkverkehr. Obwohl DDoS aus technischer Sicht ein sehr alter Begriff ist, ist es immer noch populär und ein erfolgreiches Verfahren..... Der Angriff störte auch den normalen Netzwerkverkehr. Über Zwitschern bezeichnen sie die Gruppierung der 20 bedeutendsten Wirtschaftsnationen der Weltwirtschaft als weitgehend für die weltweite Armutsbekämpfung mitverantwortlich.

Auch Volker Lieder, dessen Firma unter anderem ebenso wie Adem Sens DB Systel und Bernd Eßers Telekom Kunden von Arbor Networks ist, ist der Ansicht, dass allein die Regulierung der Bandbreiten nicht mehr aktuell ist, denn die enorme Geschwindigkeit steigt und immer kostengünstigere Anschlüsse erlauben heute ganz andere Größenordnungen von volumengestützten Angriffen als noch vor wenigen Jahren.

Dies war für die Nutzer lästig und sogar geschäftsgefährlich, aber für die Betreiber nicht erkennbar, da solche Banden kein Thema waren. "Wir haben unsere Arbor-Betriebskräfte seit 2011 mit denen der anderen großen internationalen Telekommunikationsanbieter zusammengebracht und die Abläufe mit der Firma Voodafone, Telecom Italia, France Telecom / Oranien und Telefonica koordiniert, um den Datendurchsatz über Netzwerke zu filtern", erläutert er.

Auf diese Weise kann der Nutzer zusammen mit dem Anbieter bestimmen, welcher Traffic von welchem Sender in das entsprechende Leitungsnetz erlaubt ist. "â??Das Bestreben muss sein, die Ursache eines bösartigen Codeangriffs so weit wie möglich vor unser eigenes Unternehmen zu stellenâ??, sagt der uvensys-GeschÃ?ftsfÃ?hrer. Die Kämper AG widerlegt und macht geltend, dass jeder beliebige Kreuzschienenrouter mit wenigen Zugangsregeln (ACLs) dementsprechend eingerichtet und beschleunigt werden kann.

"â??Der Benutzer muss auf alles gefasst seinâ??, sagt Stonesoft-ReprÃ?sentant Al Amour, der vor zu nÃ??tzlichen, aber auch zu komplizierten Filternormen anprangert. Der Rundgang argumentiert über das Ziel einer Zugriffsregel und eines Filtersets für den DDoS-Schutz des Benutzers. Das Panel kommt zu dem Schluss, dass es immer vom Einzelfall abhängt, ob Bandbreitenmanagement für den DDoS-Schutz geeignet ist oder nicht.

Trotz seiner langjährigen Geschichte ist das Themengebiet DDoS heute so aktuell wie nie zuvor - nicht nur aufgrund des Hacktivismustrends. Laut dem vorliegenden "State of the Internet Report" des CDN-Spezialisten Akamai stieg die Anzahl der bekannten DDoS-Angriffe 2012 gegenüber 2011 um beachtliche 200 Prozent: Es gab 768 Anschläge auf 413 Firmen, von denen ein großer Teil (35 Prozent) im E-Commerce liegt.

Tullius rechnet für die nächsten Jahre nicht nur mit einem weiteren Anstieg des DDoS, sondern auch mit neuen Angriffsformen wie HTTPS- und IPv6-basierten Angriffen oder gezielten Angriffen auf Mobilgeräte. Daher rechnet Eßer auf Anbieterseite mit einer stark ansteigenden Nachfrage nach Security-Experten, die sowohl mit den Netzwerken der Anbieter und Nutzer als auch mit den Security-Produkten und -Systemen vertraut sind.

Deshalb plädiert er für eine verstärkte Aufklärung über die Wichtigkeit und Gefährlichkeit von DDoS sowie der vorhandenen Gegentechnologie. "â??Der Austausch von Informationen ist ein wichtiger Punkt fÃ?r Firmen, der heute bedauerlicherweise viel zu wenig in Anspruch genommen wird. "Al Amour betont, dass Sicherheitsanbieter wie Stonesoft nur die "letzte Verteidigungslinie" sein sollten, um das abzufangen, was von den Anbietern nicht getan werden kann.

Was ist Ihrer Ansicht nach für den Datenschutz gegen DDoS-Angriffe vonnöten? Anbieter, Benutzer, Sicherheitsbranche oder eine Vereinigung mehrerer dieser Unternehmen?