am 01.02.2002 Aktualisiert by Reini
Erkenntnisse, Tendenzen, Auswertung
1. Einleitung
Bereits seit einigen Jahren treten im Internet sog. "Denial of Service"-Angriffe (DoS) auf, die Schwachstellen in der Implementierung der Netzwerkfunktionalität verschiedener Betriebssysteme ausnutzen (chronologische Auflistung siehe Anhang). Die zum Teil drastischen Auswirkungen auf die Verfügbarkeit der Zielsysteme - in Verbindung mit einer freien Zugänglichkeit der entsprechende Tools - erzwangen eine sehr zeitnahe Reaktion der Hersteller der Betriebssysteme und der Administratoren vor Ort. Die auch heute noch wirksamen Gegenmaßnahmen bestehen im Einspielen entsprechender Patches sowie der Aktivierung bzw. Installation von Paketfiltern auf vorgeschalteten IT-Sicherheitskomponenten.
Die erstmals in der zweiten Hälfte des Jahres 1999 bekannt gewordenen "Distributed Denial of Service" (DDoS)-Angriffe stellen aufgrund einer verteilten Arbeitsweise unter Nutzung einiger weniger Master und einer Vielzahl sog. Agenten, die mehrere einfache DoS-Angriffsvarianten kombinieren - mithin eine Vervielfachung der Schadenswirkung erzielen - eine neue Qualität dar. Nur durch eine koordinierte Zusammenarbeit der verantwortlich Beteiligten bei Prävention und Reaktion kann diesem Gefahrenpotential angemessen und wirkungsvoll begegnet werden.
Gegenstand der nachfolgenden Kapitel ist eine Erläuterung der allgemeinen Funktionsweise von DDoS-Angriffen, eine anonymisierte Darstellung ausgewählter DDoS-Angriffe sowie eine kurze Auswertung mit Hinblick auf potentiell anwendbare Gegenmaßnahmen.
2. Allgemeine Funktionsweise der DDoS-Angriffe
Der Ablauf eines DDoS-Angriffs kann in zwei Phasen unterteilt werden. Während in Phase I mittelbar unter Einsatz automatisiert ablaufender Tools in kompletten Netzwerkbereichen versucht wird, DDoS-Agenten zu installieren, werden die erfolgreich hinterlassenen und aktiviert im Hintergrund laufenden DDoS-Agenten in Phase II von einem zentralen Master unmittelbar angewiesen, ein gemeinsames Zielsystem anzugreifen.
Phase I:
Beginnend mit einem Subnet-Scan eines Netzwerkbereiches in Verbindung mit Auswertung und Feststellung der eingesetzten Betriebssystemvarianten sowie einer Analyse der Versionen aktivierter Dienstprogramme versucht ein Angreifer - der bereits jetzt das eigentliche Ursprungssystem unter Einbeziehung u.U. mehrerer Relay-Systeme sehr effektiv verbergen kann - mittels sog. Exploits (Programme, die eine vorhandene Schwachstelle auf einem Zielsystem ausnutzen, um sich dort mißbräuchlich privilegierte Rechte zu verschaffen.) die o.a. DDoS-Agenten zu installieren (vgl. Abb. 1). Nicht beseitigte Schwachstellen und nicht vorhandene bzw. nicht adäquat konfigurierte Firewallsysteme - mithin eine problemlose, nicht authentisierte Kontaktierung interner Netzbereiche - stellen hier die Hauptursachen für den häufigen Erfolg in dieser Phase dar. Einen Abschluss findet die erste Phase mit der ebenfalls automatisch, d.h. ohne direkte Interaktion des Angreifers stattfindenden Registrierung der DDoS-Agenten bei einem oder bei mehreren Master-Systemen. Darüber hinaus kann der Angreifer sog. "root-kits" installieren, um die Spuren des Eindringens zu beseitigen und die auffällige Sichtbarkeit des DDoS-Agenten-Prozesses gegenüber den Administratoren dieses Systems zu verbergen. Eine Konsequenz aus dieser Vorgehensweise kann eine relativ lange Karenzzeit zwischen dem Ende der Phase I und dem Beginn des Angriffs in Phase II sein. In dieser Zeitspanne besteht jedoch die Möglichkeit, anhand spezifischer Signaturen diese missbräuchlich installierten DDoS-Agenten aufzuspüren und administrativ zu terminieren.
Eine alternative Vorgehensweise für die Installation von DDoS-Agenten besteht im vergleichsweise einfachen Programmieren und Versenden Trojanischer Pferde (z.B. per E-Mail). Organisatorische Vorkehrungen im Rahmen des Ist-Sicherheitskonzepts in Verbindung mit der Durchführung qualifizierter Mitarbeiterschulungen sind an dieser Stelle zwingend erforderlich, um die missbräuchliche Ausführung unbekannter Programme zu unterbinden. Eine weitere, nicht auszuschließende Alternative für die Installation eines DDoS-Agenten besteht in der Ausnutzung von Implementationsschwachstellen hinsichtlich Interpretation und Ausführung sog. Active-Contents (Java, JavaScript, ActiveX, VBScript, JScript etc.) auf einem Arbeitsplatz-PC. Zur Verhinderung dieser Angriffsvariante können an zentraler Stelle sog. Applikationsfilter installiert werden.
Abb.1) Phase I: Installation der DDoS-Agenten
Phase II:
Nach Registrierung der DDoS-Agenten in Phase I kann der Master auf ein gezieltes Kommando des Angreifers hin veranlasst werden, mittels Absendung entsprechender Befehlssequenzen zu allen DDoS-Agenten, welche dann stellvertretend die eigentlichen DoS-Pakete aussenden, einen verteilten Angriff auf ein gemeinsames Zielsystem zu initiieren (vgl. Abb. 2). Zum Einsatz kommen neben den bereits im Anhang genannten DoS-Angriffsmethoden auch Varianten, die über die Assemblierung zufälliger UDP-, TCP-, und ICMP-Datenpakete (sog. core data flooding) eine massive Überflutung des Zielsystems bzw. der vorgeschalteten Netzwerkinfrastruktur zur Folge haben können.
Die Kommunikation zwischen Master und DDoS-Agent findet mit zunehmender Tendenz über Protokolle statt, die selbst bei Vorhandensein eines Filtersystems oft freigeschalten werden. Als Beispiel sei hier die Verwendung von ICMP-Echo-Replies angeführt, die nicht selten von Paketfiltern als normale Antworten auf entsprechende Anfragen interpretiert und in ein internes Netzwerk weitergeleitet werden. Eine restriktive Konfiguration derartiger Filterkomponenten kann hier eine wirksame präventive Maßnahme zur Verhinderung der Kommunikation zwischen Master und DDoS-Agent sein.
Abb.2) Phase II: Initiierung und Ausführung des Angriffs auf ein
gemeinsames Zielsystem
Weitere Entwicklung der DDoS-Tools:
In zunehmenden Maße ist weiterhin zu beobachten, dass nicht nur für die
Kommunikation zwischen Master und DDoS-Agent, sondern auch für die Kommunikation
zwischen Angreifer und Master einfache, in der Regel symmetrische
Verschlüsselungsverfahren eingesetzt werden. Eine zusätzlich zu beobachtende
Tendenz besteht in der Nutzung alternativer Protokolle für die Kommunikation
zwischen Angreifer, Master und Agenten. Eine potentiell von einem Intrusion
Detection System durchgeführte Signatur-Analyse wird in diesen Fällen massiv
erschwert. Neuere DDoS-Tools können die Möglichkeit für ein zentral gesteuertes,
weitestgehend automatisch ablaufendes Update aufweisen.
3. Beschreibung und erste Auswertung ausgewählter Angriffe
Unter besonderer Berücksichtigung der u.a. Randbedingungen werden an dieser Stelle die Angriffe auf zwei Institutionen (anonymisiert) dargestellt. Eine detaillierte Analyse ist mit Hinweis auf bisher unbekannte Aspekte (s.u.) zum gegenwärtigen Zeitpunkt jedoch nicht abschließend durchführbar.
Institution A
In den Morgenstunden des X. April waren öffentliche Informations-Server der Institution A Ziel eines DDoS-Angriffs. Schnell wurde der Angriff als ICMP-Flooding identifiziert. Innerhalb von 2 Stunden war es den zuständigen Administratoren in Zusammenarbeit mit dem Internet-Provider möglich, durch Aktivierung von Paketfilter-Regeln die Auswirkungen des Angriffs drastisch zu reduzieren. Obwohl der Angriff danach noch über eine weitere Stunde andauerte, konnte ein normaler Zugriff auf die Informations-Server gewährleistet werden. Einen weiteren DDoS-Angriff am folgenden Tag konnte man basierend auf der gesammelten Erfahrung innerhalb weniger Minuten abwehren.
Bewertung: Der Angriff basierte auf dem Protokoll ICMP, das für den normalen Betrieb von Server-Komponenten nicht zwingend erforderlich ist. In einer allgemeinen Bewertung ist es daher unmittelbar sinnvoll, dieses Protokoll komplett durch vorgeschaltete Paketfilter-Regeln zu blockieren.
Institution B
Anfang des Jahres 2000 wurde ein DDoS-Angriff auf mehrere Web-Sites dieser Institution beobachtet. Nach einer Reaktionszeit von etwa einer Stunde und einer Klassifizierung des Angriffes als massives SYN-Flooding (einschließlich gefälschter Absende-Adressen) begann man in Zusammenarbeit mit dem Internet-Provider, auf vorgeschalteten IP-Routern Paketfilter-Regeln zu aktivieren. Das Ziel, alle SYN-Flooding-Pakete an dieser Stelle abzublocken, wurde jedoch wahrscheinlich aufgrund einer großen Varianz der Absende-Adressen nicht erreicht. Nur ein Teil dieser Datenpakete konnte administrativ geblockt werden. Der Großteil beeinträchtigte weiterhin den normalen Betrieb. Nach über 2 Stunden hörte der Angriff auf.
Bewertung: Wahrscheinlich wurde versäumt, auf den Web-Sites bereits seit geraumer Zeit verfügbare Anti-SYN-Flooding-Patches einzuspielen. Realistisch kann nicht erwartet werden, einen SYN-Flooding-Angriff durch vorgeschaltete Paketfilter zu blockieren. Die Varianz der Absende-Adressen würde bedingen, dass man Hunderte oder Tausende einzelne Filter-Regeln innerhalb sehr kurzer Zeit aktivieren müsste. Ein komplettes Blockieren des TCP-Protokolls scheidet ebenfalls als Gegenmaßnahme aus, da der normale WWW-Traffic auf Port 80/tcp basiert.
Zusammenfassende Bewertung:
Wirksame reaktive Maßnahmen vor Ort zum Zeitpunkt eines DDoS-Angriffs stehen unter folgenden Bedingungen (Auswahl) zur Verfügung:
a) Der Angriff wird richtig als DDoS-Angriff erkannt.
b) Der DDoS-Angriff basiert auf Protokollen, die nicht unmittelbar für den Wirkbetrieb benötigt werden - mithin effektiv durch vorgeschaltete Filter-Komponenten blockiert werden können.
c) Das Blockieren von DDoS-Angriffen, die auf für den Wirkbetrieb zwingend erforderlichen Protokollen basieren, ist nur möglich, wenn die Varianz der Absende-Adressen nicht zu groß ist. Diese Bedingung ist insbesondere bei TCP-ACK-Flooding mit gefälschten und zufällig gesetzten Absender-IP-Adresse nicht gegeben.
d) In Kooperation mit dem jeweiligen Internet-Provider werden hinsichtlich des eintreffenden Datenverkehrs die DDoS-Pakete möglichst früh auf vorgeschalteten Filter-Komponenten (oft eine Funktionalität von IP-Routern) blockiert. Sehr oft stehen die entsprechenden Rechenkapazitäten und Leitungsbandbreiten nur bei den Internet-Providern zur Verfügung.
e) Die Administratoren sind für die IT-Sicherheitsproblematik sensibilisiert und im Falle eines Angriffes in der Lage, in Zusammenarbeit mit den Internet-Providern bereits vorher definierte und abgestimmte Gegenmaßnahmen einzuleiten.
f) Bereits im Vorfeld wurden präventiv Betriebssystem-Patches installiert (z.B. gegen SYN-Flooding)
Weitere technische und organisatorische Empfehlungen für einzelne Zielgruppen sind im DDoS-Maßnahmenkatalog HIER abrufbar.
Weitere Aspekte:
Nur unter Kenntnis konkreter Auswirkungen und getroffener Gegenmaßnahmen vor Ort ist eine detaillierte Auswertung der Angriffe möglich. Die Beantwortung folgender Fragen ist dafür notwendig:
a) Welche Netzwerkkomponenten bzw. Rechnersysteme sind vor Ort am stärksten betroffen gewesen ? Welche Komponenten sind ausgefallen ?
b) Wie lange hat es gedauert, bis der Angriff erkannt wurde ?
c) Welche Hilfsmittel standen zur Angriffserkennung zur Verfügung (z.B. IDS/IRS) ?
d) Wie lange hat es gedauert, bis der Angriff richtig klassifiziert wurde ?
e) Welche Gegenmaßnahmen wurden bereits präventiv im Vorfeld ergriffen (z.B. Einrichtung von Paketfiltern in Zusammenarbeit mit dem Internet-Provider) ?
f) Welche zusätzlichen Gegenmaßnahmen wurden auf welchen Komponenten nach Erkennung des Angriffs eingeleitet ?
g) Wie lange nach Aktivierung der Gegenmaßnahmen lief der Angriff noch weiter ?
h) Wurde der Angriff erfolgreich abgewehrt ?
i) Welche Organisationen wurden in die Angriffsbehandlung einbezogen ?
k) Welche Spuren des Angriffs wurden für eine spätere technische und juristische Auswertung gesichert ?
l) Über welchen Zeitraum lief die Vorbereitung der Angriffe ?
m) Wie viel DoS-Agenten waren am konkreten Angriff beteiligt ?
n) Wie waren die DoS-Agenten verteilt ? Welche Organisationen und Netzwerkbereiche waren betroffen ? Wo lagen die Schwerpunkte (z.B. Firmen, Behörden, Universitäten, Privatanwender etc.) ?
Anhang - chronologische Entwicklung einfacher DoS-Angriffe
1996 UDP-denial-of-service
1996 SYN-Flooding
1996 Large ICMP
1997 Teardrop
1998 Teardrop-LAND
1998 smurf
Darüber hinaus existiert eine Vielzahl von Angriffsvarianten, die auf der fehlerhaften Zusammensetzung (Defragmentierung) von IP-Paketen basieren.
am 01.02.2002 Aktualisiert by Reini