Voxility – sicher geschützt vor DDoS-Angriffen auf Netzwerkebene

27.09.2018
extendedLogo

DDoS-Angriffe haben in ihrer Häufigkeit und in ihrem Bandbreitenvolumen zugenommen. Selbst die Coding-Plattform GitHub wurde attackiert und von der stärksten jemals gemessenen DDoS-Attacke getroffen. Wir schützen unsere Kunden vor DDoS-Angriffen auf Netzwerkebene und nutzen dafür den Dienst von Voxility. Wichtige Informationen zu diesem Schutz haben wir im Beitrag zusammengefasst.

Was ist Voxility und was sind DDoS-Angriffe?

Voxility ist ein Unternehmen, dass sich auf den Schutz gegen DDoS-Angriffe spezialisiert hat. Diese „Distributed-Denial-of-Service“ (DDoS) Angriffe nutzen Cyberkriminelle, um durch eine gezielte Attacke auf den Server die Anwendungen, Web Services oder die Firewall arbeitsunfähig zu machen. Dies geschieht durch eine Überlastung der Infrastruktur.

Für einen DDoS-Angriff infizieren die Angreifer zunächst einen oder mehrere Rechner mit Schadcode. Von dem dadurch entstandenen infizierten Rechner-Netz, dem sogenannten Botnet, greifen Cyberkriminelle dann ferngesteuert ein bestimmtes Ziel an. Dabei wird das Ziel mit zahllosen Anfragen überhäuft und die Infrastruktur somit betriebsunfähig gemacht. Je mehr Rechner sich in diesem Bot-Netzwerk befinden, umso schlagkräftiger ist die Attacke.

Server ohne einen DDoS-Schutz sind von diesem Angriff überlastet und können ihre Webservices nicht mehr oder nur eingeschränkt durchführen. Auf diese Weise lässt sich die Anwendung nicht mehr von Endkunden erreichen.

Es gibt zwei wesentliche Angriffsszenarien: Angriffe auf Netzwerkebene (Layer 3 und 4) und auf Anwendungsebene (Layer 7). Im Folgenden erklären wir diese beiden Szenarien näher.

Layer 3 und 4 – Angriffe auf die Netzwerkebene

Angriffe auf die Netzwerkebene, die auch als Layer 3 und 4 Angriffe bekannt sind, dienen dazu, Verbindungen im Netzwerk zu verstopfen. Diese Form von DDoS-Attacken finden am häufigsten Anwendung. Meist handelt es sich um Reflexionsangriffe wie User Datagram Packet (UDP) Floods, synchronisierte Floods oder Network Time Protocol (NTP) Amplification Angriffe. Durch eine Überflutung mit Datenpaketen oder Anfragen wird das Zielsystem letztendlich überlastet.

Oftmals reichen bereits 20 bis 40 Gigabit pro Sekunde an Datenaufkommen aus, um die meisten Netzwerkinfrastrukturen betriebsunfähig zu machen. Im Jahr 2017 wurde eine durchschnittliche Angriffsgröße von 112.8 Gbit/s bei DDoS-Angriffen gemessen. Voxility bietet einen Netzwerkschutz mit einem Volumen von 1.000 Gigabit pro Sekunde. Mit diesem DDoS-Schutz schützen wir unser gesamtes Netzwerk. Damit sind unsere Kunden automatisch und ohne zusätzliche Kosten vor Angriffen auf die Layer 3 und 4 geschützt.

Unter anderem sichern wir unsere Kunden vor folgenden Angriffsszenarien auf der Netzwerkebene:

  • „IP non-existing protocol“-Angriff, wie etwa Flood mit IP-Paketen mit reservierten Werten im Protokollfeld
  • Angriff mit Fragmenten, wie zum Beispiel das Senden von verfälschten IP-Fragmenten, welche übergroße Nutzlasten für das Ziel darstellen
  • IGMP Flood und andere IGMP Angriffe
  • TCP Angriffe, wie zum Beispiel: SYN Flood, SYN-ACK Flood, ACK Flood, FIN Flood, RST Flood, TCP ECE Flood, TCP NULL Flood, TCP Erroneous Flags Flood, TCP Xmas, Fake Session, SRC IP und DST IP
  • UDP Angriffe, wie beispielsweise: General Random UDP Floods, Fraggle, DNS query, DNS Amplification (+DNSSEC), NTP Amplification, SNMPv2, NetBIOS, SDP, CharGEN, QOTD, BitTorrent, Kad, Quake Network Protocol, Steam Protocol

Angriffe auf die Anwendungsschicht – Layer 7 Angriffe

Angriffe auf Layer 7 richten sich gegen die Anwendungsschicht. Diese Attacken treten deutlich weniger als Layer 3 und 4 Angriffe auf, sind dafür allerdings um einiges komplexer. Die Angriffe auf die Anwendungsschicht konzentrieren sich auf die Layer 7 Features, wie zum Beispiel HTTP, SNMP oder FTP.

Die häufigste Methode ist dabei HTTP-Flood. Werden mehrere Anfragen simultan an einen Server geschickt, benötigt dieser etwas Zeit, um die letzte Anfrage zu beantworten. Diese Einschränkung lässt sich bei einem HTTP-Flood von einem Cyberkriminellen ausnutzen. Er sendet möglichst viele Anfragen aus, zum Beispiel auf die Newsletter-Registrierung, die den Server überlasten oder zum Absturz bringen. Dabei könnte der Hacker durch ein einfaches Script programmieren, dass er keine Antworten des Servers entgegennimmt. Oder er könnte programmieren, dass auf die Antwort des Servers eine erneute Anfrage an alle Unterseiten gestellt wird. Bei beiden Methoden wird der Server überlastet. Diese Art von Angriff ist nur schwer identifizierbar.

Die Größe von Attacken auf die Anwendungsschicht lässt sich in der Regel in Anfragen pro Sekunde (requests per second, RPS) messen, wobei nicht mehr als 50 bis 100 RPS nötig sind, um die meisten Websites mittlerer Größe lahmzulegen.

Ein effektiver Layer 7 DDoS-Schutz ist sehr komplex. Dieser Schutz muss individuell eingerichtet, konfiguriert und gewartet werden. Für jede Domain muss zum Beispiel das SSL-Zertifikat zur Verfügung gestellt sowie ein SSL-Proxy konfiguriert werden. Unser Schwerpunkt lag auf einem zentralen DDoS-Schutz, weswegen wir nur einen Schutz für Layer 3 und 4 anbieten.

Wenn Sie Interesse an einem Layer 7 Schutz haben, empfehlen wir Ihnen Cloudflare. Falls Sie Unterstützung benötigen kontaktieren Sie gerne unseren Support via E-Mail an support@maxcluster.de.

Funktionsweise von Voxility bei einem DDoS-Angriff

Wie funktioniert Voxility?

Quelle: Voxility.com, 2018

Ein Besucher greift von einem Rechenzentrum aus auf eine IP zu. Dann überflutet ein Cyberkrimineller das Rechenzentrum mit DDoS-Datenverkehr, wodurch die Uplinks stark überlastet werden. Die angegriffenen Netzwerke werden sofort durch einen Secure Uplink entlastet und der Datenverkehr wird über diesen Secure Link auf das Netzwerk von Voxility weiter gelenkt. Dort wird er auf verschiedene Angriffsszenarien auf die Netzwerkebene hin untersucht.

Noch bevor der Datenstrom überhaupt in unserem deutschen Rechenzentrum in Frankfurt ankommt, ist er also bereits durch Voxility geprüft. Damit sind unsere Server und das gesamte Netzwerk vor Layer 3 und 4 Angriffen geschützt.

Voxility hat Sensoren implementiert, die permanent das Netzwerk überwachen. Angriffe lassen sich unmittelbar identifizieren und der Datenstrom wird zu einer Security Cloud umgeleitet. Die Umleitung stoppt wenige Sekunden nach Beendigung des Angriffs. Dies führt nicht zu einer Erhöhung der Seitenladezeit bzw. Latenzzeit.

Während eines Angriffes bleibt der Server durch Voxility weiter erreichbar und die Web Services lassen sich normal nutzen. Alle nicht relevanten Ports werden während der Angriffsdauer geblockt, wie zum Beispiel ICMP für Ping-Abfragen.

Insgesamt wird das Netzwerk bis zu einer Angriffsstärke von 1.000 Gigabit pro Sekunde geschützt. DDoS-Angriffe liegen in der Regel in einem weitaus geringeren Umfang. Der bisher stärkste, gemessene Angriff richtete sich mit 1.350 Gigabit pro Sekunde gegen GitHub, doch auch dort konnte der Angriff durch einen DDoS-Schutz abgefangen werden.

Warum verwenden wir Voxility?

Wir haben uns als Ziel gesetzt, all unsere Kunden vor DDoS-Attacken auf Netzwerkebene zu schützen und das ohne Mehrkosten für den Kunden.

Bei der Suche nach einem passenden Anbieter war es für uns wichtig, eine Netzwerk-Lösung zu implementieren, die den Datenverkehr filtert, noch bevor er in unserem Rechenzentrum in Frankfurt eintrifft. Auf diese Weise ist das gesamte Netzwerk geschützt.

In einem mehrstufigen System haben wir den DDoS-Schutz bereits innerhalb der letzten drei Monate ausgerollt.

Welche Vorteile bietet der Schutz durch Voxility?

Nachfolgende Vorteile bietet Voxility im Vergleich zu anderen DDoS-Schutz-Lösungen:

  • Die Filterung des Angriffs erfolgt außerhalb unseres Netzwerks, bevor die Attacke das Rechenzentrum erreicht.
  • DDoS-Schutz bis 1.000 Gbit/s Netzwerkbandbreite
  • keine zusätzlichen Traffic-Kosten durch die Filterung

Durch unsere Nutzung von Voxility ist das Risiko eines DDoS-Angriffs bereits im Vorfeld minimiert. Mit einem effektiven Anti-DDos-Schutz im Einsatz ist die Aussicht auf einen erfolgreichen Angriff durch Cyberkriminelle sehr gering. Zudem ist die Wahrscheinlichkeit, dass Cyberkriminelle überhaupt einen Angriff starten, auf ein Minimum gesunken.

Gibt es Nachteile?

Bei einem Shop mit viel Traffic kann es bei einem ersten Aufbau zwischen Server und Client zu einer Verzögerung von 3 bis 5 Millisekunden kommen. Das liegt daran, dass Voxility die Datenpakete des bereits hohen Traffics auf die Angriffsszenarien hin analysiert.

Fazit

Wir sind davon überzeugt, mit dem zentralen DDoS-Schutz von Voxility unsere Kunden effektiv vor Netzwerkangriffen auf die Layer 3 und Layer 4 zu schützen. Im Vergleich zu anderen Anbietern schützt Voxility vor Angriffen bis 1.000 Gbit/s. Für unsere Kunden entstehen dadurch keine weiteren Kosten.

Sollten Sie Fragen dazu haben, kontaktieren Sie bitte unser maxcluster Support Team unter 05251/41 41 30 oder via E-Mail support@maxcluster.de.

Bild: Rechenzentrum Frankfurt, 23media GmbH, 2018