Ich habe in einem Beitrag bereits beschrieben was ein (Distributed) Denial of Service Angriff ist. Ferner habe ich auch eine Software vorgestellt, mit der man einen Denial of Service (DoS) Angriff durchführen kann.
Jetzt geht es um die Abwehrmaßnahmen.
Was kann man machen, wenn man per (D)DoS angegriffen wird?
Schonmal vorweg … Man kann nicht viel machen, besonders wenn man per Distributed Denial of Service angegriffen wird, hat man quasi keine Change zur Abwehr.
Prominentes Beispiel
Akamai Technologies, Ende September 2016: https://www.heise.de/security/meldung/Security-Journalist-Brian-Krebs-war-Ziel-eines-massiven-DDoS-Angriffs-3329988.html
Akamai ist einer der größten Internetanbieter für Unternehmen, welche eine schnelle und jederzeit verfügbare Auslieferung von Inhalten wünschen. Wikipedia dazu: https://de.wikipedia.org/wiki/Akamai
Akamai wirbt sogar damit, dass sie DDoS-Angriffe locker abwehren können. Das hat ihnen aber 2016 auch nichts genützt. Der DDoS-Angriff war, mit einer Last von ca. 620 GBps (Gigabits per second), ein so gewaltiges Gewitter, dass Akamai nur noch „den Stecker ziehen“ konnte (https://www.heise.de/security/meldung/Akamai-kapituliert-vor-DDoS-Angriff-auf-Security-Blogger-3330281.html).
Gut, aber nun zurück zur Abwehr …
Um kleinere DoS-Angriffe besser abzuwehren sollte man seine Systeme, Anwendungen und Infrastrukturkomponenten härten. Mit „härten“ meint man, nicht benötigte Dienste, Ports und Funktionen deaktivieren oder deinstallieren. Das reduziert schonmal die Angriffsfläche.
Ferner benötigt man eine Strategie. Diese DoS-Strategie sollte im Vorfeld auch mal getestet werden, beispielsweise durch einen eigens durchgeführten DoS-Angriff mit der Low Orbit Ion Cannon.
Weiterhin benötigt man einen Managementplan, beispielsweise in Form einer Checkliste oder eines sog. Runbooks. Dort werden alle notwendigen Informationen und alternative Infrastrukturkomponenten hinterlegt, um den DoS-Angriff gut zu überstehen. Ein populäres Runbook ist beispielsweise das von Robert Hanson (https://www.whitehatsec.com/wp-content/uploads/DDoS-RunBook.docx)
Zusammenfassung
erste Verteidigungslinie:
- Strategie entwickeln
- Strategie testen
- Managementplan erstellen
- Kosten dafür kalkulieren und einplanen
zweite Verteidigungslinie:
- nicht benötigte Ports schließen
- nicht benötigte Protokolle blockieren (bspw. ICMP)
- eingehende Kommunikationen filtern (bspw. über eine Firewall)
- bekannte IP-Adressen, über die in der Vergangenheit evtl. schon DoS-Angriffe stattgefunden haben blockieren (siehe div. Blocklisten im Internet)
Bei einem Distributed Denial of Service Angriff, wenn er vor allem noch über mehrere Botnetze geht, gibt es quasi keine guten Gegenmaßnahmen. Dann muss man den betroffenen Dienst – das betroffene Unternehmen – zeitweise vom Netz nehmen.
weitere Fachbeiträge …
- Dezember 2023 (1)
- Oktober 2023 (1)
- August 2023 (1)
- Juni 2023 (1)
- September 2022 (2)
- August 2022 (2)
- Juni 2022 (1)
- Mai 2022 (3)
- April 2022 (2)
- März 2022 (4)
- Februar 2022 (7)
- Januar 2022 (12)
- Dezember 2021 (8)
Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech
