1&1 DDoS-Schutz erklärt – So schützen wir eure Websites (Interview)

Mit DDoS-Angriffen (Distributed-Denial-of-Service-Angriffe) versuchen Angreifer, einen Dienst nicht mehr erreichbar zu machen. Diese Angriffe können auf IT-Infrastruktur oder schlicht auf eine einzelne Website abzielen.

Welche Maßnahmen ergreifen wir bei 1&1, um eure Websites zu schützen?

1&1 DDoS-Schutz auf einen Blick

DDoS-Whitepaper-Overview-deVor einigen Tagen hatte ich zu diesem Thema ein tolles, informatives Gespräch mit unserem System-Architekten für IT Operations, Anders Henke. Anders entwirft mit seinen Kollegen Sicherheitssysteme für dich, deine Websites und Anwendungen.


Wie arbeitet der DDoS-Schutz bei 1&1 im Detail?

Anders Henke: Jeder gute Schutz arbeitet mehrstufig, bzw. auf mehreren Ebenen.

DDoS-Whitepaper-Layers-de_mehrstufiger Schutz_mehrstufiger SchutzEbene 1: Internet-Anbindungen / Netzwerk

Die erste einfache Ebene sind unsere Internet-Anbindungen. Wir sind weltweit an vielen großen Traffic-Austauschpunkten vertreten, um Traffic von anderen Providern gezielt “lokal” anzunehmen und über unsere WAN-Verbindungen in die 1&1-Rechenzentren weiterzuleiten. Dieses lokale Peering sorgt dafür, dass wir genauere Spoofing-Filter haben und bietet uns zudem eine extrem hohe Bandbreite. So erkennen wir direkt, wenn beispielsweise gefälschter Traffic behauptet von Google-IPs zu kommen, aber nicht über das Google-Peering kommt.

Vor unseren Rechenzentren können wir also deutlich mehr Traffic entgegennehmen, als wir in Summe dann in die Rechenzentren weiterleiten können. Das klingt auf den ersten Blick überdimensioniert und unsinnig, macht aber Sinn: je früher wir einen DDoS-Angriff wegfiltern können, umso weniger Traffic müssen wir weiterleiten.

Viele DDoS-Angriffe sind nicht weltweit verteilt, sondern eher lokal.

Wenn etwa eine Malware-Mail in Südamerika oder China ein großes Botnetz geschaffen hat, das einen unserer Kunden angreift, erwarten wir relativ viel Traffic aus diesen Regionen. Gleichzeitig filtern wir mit einfachen Mitteln bereits viel eingehenden Traffic.

Wir wissen etwa, mit welchen DNS- und NTP-Servern unsere eigenen Webhosting-Server kommunizieren. Dadurch wissen wir, dass die Webhosting-Server keine DNS- oder NTP-Antworten von anderen DNS/NTP-Servern erwarten – und können über einfache Firewall-Regeln derartigen Traffic bereits im Netzwerk abfangen. Mehr erfahren

So schützen wir zum Beispiel unsere Webhosting-Server vor den in letzter Zeit gefürchteten DNS/NTP-Amplification-Attacken.

Ebene 2: Selbst entwickelte DDoS-Schutzsysteme

DDoS-VI-2_ScanViele Anwendungen profitieren von einem verteilten Betrieb auf mehreren Servern. Typische Anwendungen im Webhosting sind allerdings nicht auf diesen Clusterbetrieb vorbereitet und daher letztlich auf einen Server beschränkt.

Seit einiger Zeit betreiben wir daher selbst entwickelte DDoS-Schutzsysteme, die wir bislang bei Bedarf vor unsere Webhosting-Server geschaltet haben.

Diese Dienste haben wir in Rechenzentren mit besonders leistungsfähigen Servern in Betrieb. Auf diese Server wird der eingehende Traffic verteilt und dann analysiert.

Jede eingehende Anfrage wird gezielt auf 23 verschiedene Merkmale untersucht.

Wir analysieren eingehende Anfragen auf wichtige Merkmale. Diese Merkmale ergeben einen Score (Wert/Bewertung). Je nach Score wird eine Anfrage direkt durchgelassen, auf ein für normale Webbrowser erträgliches Limit eingeschränkt, gedrosselt oder direkt abgelehnt.
Das sind die wichtigsten Merkmale:

  • Herkunft: Traffic für diese Website kommt normalerweise aus folgenden Regionen.
  • Performanceabweichungen: In den letzten 2 Minuten verhielt sich der Webserver bei ähnlichen Anfragen deutlich schneller oder langsamer als normal.
  • Hochrechnung, ob die konkrete Anfrage für den Server eher “normal” oder “schlecht” ist.

Wir priorisieren Anfragen situationsabhängig.

Gute Anfragen werden bevorzugt, Anfragen mit einem mittleren Score, also möglicherweise nicht gute Anfragen reduziert oder deutlich ausgebremst. Auch ohne einen großen DDoS wird so ein Grundrauschen von Brute-Force-Knackern, Passwortscannern oder sonstiger Malware weggefiltert.

  • Wir filtern Situationsabhängig: solange es dem Server gut geht, besteht wenig Bedarf nach einem Filter und wir lassen auch Anfragen mit einem durchschnittlichen Score eher durch.
  • Unser System lernt selbst mit und passt sich laufend an.
  • Wir entlasten unsere Server, indem wir ihnen ermöglichen, wichtige Anfragen zu bevorzugen und schneller zu beantworten. So erreichen wir eine konstante, hohe Performance für deine Websites.

DDoS-VI-2_Prio ArrowsBei wechselnden Formen von DDoS ist dies wichtig und in der Auswertung sehen wir, wie Angreifer eine Welle an Angriffen starten und wir diese erfolgreich erden (abfangen). Durch diese Auswertung und kontinuierliches Lernen können wir gut auf folgende, angepasste Angriffe reagieren.

Ebene 3: Anwendungsebene und Webserver

Für ein außenstehendes System kann es sehr schwer sein, Angriffe auf Anwendungsebene genauer zu erkennen. Diese Angriffe kommen mit geringer Bandbreite, können aber sehr drastische Effekte haben.

Deshalb schützen wir beispielsweise unsere Webhosting-Server mit weiteren Maßnahmen wie etwa den mod_security-Regeln, die bestimmte Formen von schlechtem, gefährlichem Traffic filtern.

Fazit

Wir überwachen unsere Systeme kontinuierlich und aktivieren unsere DDoS-Schutzsysteme einzeln, bei Bedarf. Andere Maßnahmen wie Network Ingress- und Egress-Filtering und Bogon-Filtering sind permanent aktiv.

Insgesamt ergibt sich so ein mehrstufiger Schutz, vom Netzwerk über unsere dedizierten Schutzsysteme bis hin zum eigentlichen Webserver.
Gerade im (shared) Webhosting ist ein derartig feiner DDoS-Schutz wichtig: es teilen sich eben viele Kunden einen gemeinsamen Webserver. Wird einer dieser Kunden angegriffen, schützen unsere Maßnahmen nicht nur diesen Kunden, sondern alle anderen Kunden des Webservers.


Hintergrund: Was sind DDoS-Angriffe?

Anders Henke: Um DDoS-Angriffe zu verstehen, hilft es zuerst einen Blick auf einfache DoS-Angriffe zu werfen. Mit DoS-Angriffen versucht ein Angreifer von einem einzelnen Rechner aus, einen Dienst nicht mehr erreichbar zu machen.

Die Motivation dahinter kann vielfältig sein, das Spektrum reicht von “die Meinung deines Blogbeitrags gefällt mir nicht, daher sorge ich dafür, dass dein Blog nicht mehr erreichbar ist” bis hin zur Erpressung – “Zahle mir x, ansonsten nehme ich deine Webseite aus dem Netz”.

Als einfaches Beispiel mal ein etwa 20 Jahre alter Angriff: je nach Serversoftware wird für jede Netzwerkverbindung ein weiteres Programm gestartet, das etwas RAM (Arbeitsspeicher) braucht. Öffnet nun ein einzelner Rechner ein Vielfaches der üblichen Netzwerkverbindungen, kann dies serverseitig mehrere Gigabyte RAM belegen – RAM, der dann anderen Anwendungen nicht mehr zur Verfügung steht. Dadurch können dann andere Anwendungen beeinträchtigt werden.

Als einfachen Schutz verwendet Serversoftware meist eine maximale Anzahl an Verbindungen. Da die Verbindungen von einem Rechner und nur einer IP-Adresse aus aufgebaut werden, bekommt man so das Problem “erst mal” in den Griff.

DDoS-VI_DDoS2Distributed Denial of Service-Angriffe (DDoS-Angiffe) sind im “Wettrüsten” dann die nächste Stufe: statt einem einzigen Angreifer-Rechner wird der Dienst von vielen Rechnern gleichzeitig angegriffen. Oft handelt es sich dabei um gehackte oder mit Viren/Trojanern/Würmern infizierte Rechner.

Diese Rechner können sich zu weltweiten Botnetzen verbinden. Der Angreifer gibt dann allen (oder vielen) Rechnern dieses Botnetzes zentral den Befehl, einen bestimmten Dienst auf eine bestimmte Weise anzugreifen. Es kommen also Angriffe von vielen verschiedenen Rechnern aus.

Folge: Eine Limitierung “Anzahl Verbindungen pro IP-Adresse” greift nicht mehr!

Große Botnetze können durchaus bis zu einer halben Million an infizierten Rechnern umfassen: es wird schwieriger, sich dagegen zu verteidigen.

Angriffe über gefälschte IP-Adressen: Es müssen nicht immer gehackte oder infizierte Rechner zum Einsatz kommen. Einige Internetprotokolle sind so aufgebaut, dass man eine kleine Anfrage stellt und darauf eine größere Antwort erhält. Fälscht man die IP-Adresse dieser Anfrage, geht die Antwort an die gefälschte IP-Adresse.

Der Angreifer stellt dann z.B. bei einer Reihe von DNS- oder NTP-Servern kleine Anfragen unter der IP-Adresse des Opferservers, und viele DNS- und NTP-Server schicken daraufhin deutlich größere “Antworten” an den anzugreifenden Opferserver. Die Menge dieser Antworten oder die genutzte Bandbreite kann dann schnell die Internetanbindung des einzelnen Servers überlasten.


Schutz auf Netzwerkebene im Detail

Anders Henke: Wir schützen in zwei Richtungen. Zum einen schützen wir uns, zum anderen sind wir als Teil des Internets aber auch dazu verpflichtet, das restliche Internet vor uns zu schützen.

Eine erste, einfache Methode, die wir umsetzen, sind Spoofing-Filter und Bogon-Filtering. Unsere Router haben viele Netzwerkanschlüsse und leiten z.B. auf einem Netzwerkanschluss empfangene IP-Pakete über einen anderen Anschluss weiter in Richtung des jeweiligen Servernetzes oder in Richtung des Ziel-Providers.

Für jeden Anschluss weiß der Router, welche Netze er über diesen Anschluss erreicht – ob an einem Netzwerkanschluss nun das eigene Rechenzentrum, ein bestimmtes Servernetz oder das Internet angeschlossen ist.

Schutz durch Spoofing-Filter / Network Ingress- und Egress-Filtering

DDoS-VI-2_FilterEin einfacher, automatischer Filter im Router sorgt bei uns dafür, dass vom Netzwerkanschluss zum Internet keine IP-Pakete empfangen werden, die behaupten aus dem eigenen Rechenzentrum zu kommen. Genauso sorgt ein einfacher Filter dafür, dass IP-Pakete aus dem eigenen Servernetz oder Rechenzentrum nur Absenderadressen verwenden dürfen, die aus dem eigenen Netz kommen, nicht aber aus dem restlichen Internet.

Wenn also etwa z.B. ein Anwender mit einem Root-Server versuchen sollte, Pakete mit gefälschter Absenderadresse zu verschicken, muss es sich bei der gefälschten Absenderadresse mindestens um eine 1&1-IP-Adresse handeln, damit diese Pakete bis ins Internet (oder in andere 1&1-Servernetze) kommen. Oft handelt es sich in solchen Fällen nicht um Angriffe, sondern auch um eine fehlerhafte Konfiguration und wenige verfälschte Pakete.

Ist die Traffic-Menge bedrohlich genug, können wir innerhalb unseres Netzes relativ schnell herausfinden, von welchem Server aus die Datenpakete versendet werden und reagieren.

Seit mehr als 15 Jahren sollten derartige Filter eigentlich Standard sein, es ist aber eine Funktion, die immer noch aktiv eingeschaltet werden muss.

Einigen Technikern bei Providern sind derartige Funktionen unbekannt, daher sind sie im Internet nicht überall umgesetzt und verbreitet. So kann man bei eingehenden DDoS-Angriffen oft nur grob sagen, über welche Leitungen die Traffic-Menge kommt, dies aber nicht immer auf die Absenderadressen oder einen Provider eingrenzen.

Zusätzlicher Schutz durch Bogon-Filtering

Es gibt bestimmte IP-Bereiche, die nicht im Internet geroutet werden oder denen, bei IPv6, keinem IP-Bereich zur Vergabe zugeteilt sind. Solange diese Adressen nicht im Internet zu erwarten sind, kann man IP-Pakete wegfiltern, die behaupten von diesen Adressen zu kommen.

Es kann sich dabei nur um gefälschte Pakete handeln: sogenannte bogon packets. Diese Filterliste muss manuell gepflegt werden, Änderungen ergeben sich bestenfalls nur alle paar Jahre, gelegentlich auch wenige Male im Jahr.

Wir setzen derartige Filter seit langer Zeit ein und tragen so zu einem sicheren Internet bei!

Das könnte dich auch interessieren

 

Diesen Beitrag bewerten:

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *