DDoS 2.0 - es geht noch schlimmer
Wir alle kennen mittlerweile DDoS-Attacken, hierbei wird zum Beispiel die Netzwerkinfrastruktur und/oder die Anwendungsserver massivst attackiert und mit so vielen Anfragen überflutet, dass die Webseiten außer Gefecht gesetzt werden und Kunden beispielsweise keine Einkäufe oder Online-Banking-Aktionen mehr ausführen können. Als Folge der Systemüberlastung bedeutet es für Anbieter solcher Services nicht nur einen finanziellen Verlust sondern auch Einbußen bei der Reputation und im schlimmsten Fall bleiben die Kunden zukünftig einfach aus.
Für solche Attacken ist längst kein Fachwissen mehr nötig, denn viele Werkzeuge, um eine Volumenattacke auszuführen, können mittlerweile im Internet bei einschlägigen Anbietern einfach gekauft werden.
Schlimm genug – es geht aber noch weiter…
Immer häufiger versteckt sich hinter einem volumenbasierten DDoS-Angriff eine schwerwiegendere Attacke. Diese nutzen Schwächen in den höheren Layern (4-7) aus. Denn ist der Dienst erstmal mit einer leicht zu erkennenden, volumenbasierten Attacke ausgeschaltet und beschäftigt sich die zuständige IT-Abteilung mit dem Problem, ist sie somit vom Ort des eigentlichen Geschehens abgelenkt. Mit viel weniger Aufwand kann nun verdeckt eine „intelligentere“ Attacke (Layer 4-7) ausgeführt werden, die nicht zum Ziel hat, den Dienst auszuschalten sondern vielmehr die Bestimmung verfolgt, Informationen zu stehlen oder zu kompromittieren. So sind bereits viele Fälle bekannt, bei denen Konten von Online-Banken geplündert worden sind.
Erschwerend kommt hinzu, dass viele Attacken verschlüsselt zum Angriffspunkt gesendet werden und klassische Perimeter Firewalls sehr häufig den SSL-Verkehr ungeprüft passieren lassen. Einer solchen durch SSL verschlüsselten Attacke kann mit einer vorgelagerten Full-Proxy-Architektur (Application Delivery Controller) begegnet werden, indem die eingehende Client-Verbindung vollständig terminiert wird, auf mögliche Sicherheitsbedrohungen untersucht und erst dann an den Server weitergeleitet wird, wenn keine Bedrohungen vorliegen. Umgekehrt muss diese Server-to-Client-Kommunikation ebenfalls als Proxy fungieren, so können die zurückgesandten Daten auf vertrauliche Informationen überprüft werden. Dazu zählen beispielsweise Protokollantwortcodes, die Netzwerkdetails für Ausspähversuche oder vertrauliche Daten wie Kreditkarten- und Versicherungsnummern enthalten können.
Der Verlust dieser Daten und vor allem wenn Fälle dieser Art öffentlich werden, hat in der Regel dramatische Folgen für den Dienstanbieter. Ein umfassender Schutz des Rechenzentrums muß gewährleisten, dass die Kommunikation auf allen Layern überprüft und abgesichert wird.