it-swarm.com.de

DDoS - Unmöglich aufzuhören?

Ist es theoretisch möglich aufzuhören?1 ein DDoS-Angriff jeder Größe? Viele Leute behaupten, es sei unmöglich, DDoS-Angriffe zu stoppen und mir zu sagen, ich sollte mich einfach nicht mit den falschen Leuten im Internet anlegen.

Aber was ist, wenn jeder in etwa 5 Jahren ein Botnetz mieten kann? Sollten wir dann nicht einfach die gesamte Internetarchitektur überdenken?

1: by stop Ich akzeptiere auch, die negativen Effekte zu entfernen, auch bekannt als den Dienst am Laufen zu halten.

47
user2173629

Stellen Sie sich ein Einkaufszentrum vor. Per Definition kann jeder das Einkaufszentrum betreten und dann in den Läden stöbern. Es ist öffentlich. Die Läden erwarten , dass Leute vorbeikommen, sich die Displays ansehen, vielleicht eintreten und dann Dinge kaufen.

In der Mall gibt es einen Ladenbesitzer, der beispielsweise Computer verkauft. Nennen wir ihn Jim. Er möchte, dass die Leute vorbeikommen und sich die Computer ansehen und dazu verleitet werden, sie zu kaufen. Jim ist der nette Kerl in unserer Geschichte.

Lass es Bob geben. Bob ist ein verärgerter Nihilist, der Jim hasst. Bob würde große Anstrengungen unternehmen, um Jim unglücklich zu machen, z. Jims Geschäft stören. Bob hat nicht viele Freunde, aber er ist schlau, auf seine eigene verdrehte Art. Eines Tages gibt Bob etwas Geld aus, um die lokale Zeitung dazu zu bringen, eine Anzeige zu veröffentlichen. In der Anzeige heißt es in großen Schriftarten und lebendigen Farben, dass Jim anlässlich des zehnten Geburtstages seines Shops eine großartige Aktion durchführt: Die ersten hundert Kunden, die den Shop betreten, erhalten ein kostenloses iPad . Um seine Spuren zu verwischen, führt Bob seine Geschäfte mit der Zeitung unter dem Pseudonym "bob" (wie er heißt, aber rückwärts geschrieben) durch.

Am nächsten Tag wird der arme Jim natürlich von Leuten überflutet, die ein kostenloses iPad wollen. Die Menge verstopft Jims Laden, aber auch einen wesentlichen Teil des Einkaufszentrums, das voller enttäuschter Personen ist, die zu verstehen beginnen, dass es kein kostenloses iPad gibt. Ihre Negativität macht es unwahrscheinlich, dass sie etwas anderes kaufen, und in keiner Weise können sie sich aufgrund der Presse der Menge bewegen, so dass das Geschäft in der Mall ganz aufhört. Jim wird sehr unbeliebt, bei den Ex-iPad-Cravern, aber auch bei seinen Ladenbesitzer-Kollegen. Bob kichert.

Zu diesem Zeitpunkt kontaktiert Jim die Mall-Managerin Sarah. Sarah beschließt, den Notfall zu bewältigen, indem sie die Feuerwehrmänner anruft. Die Feuerwehrmänner kommen mit ihren leuchtenden Helmen, blitzenden Lastwagen, schreienden Sirenen und scharfen Äxten und überzeugen die Menge bald, sich zu zerstreuen. Dann ruft Sarah ihre Freundin Gunther an. Gunther ist ein Sohn deutscher Einwanderer, ein reines Produkt des US Melting Pot, aber was noch wichtiger ist, er ist ein FBI-Agent, der für das Problem verantwortlich ist. Gunther ist schlau, auf seine eigene verdrehte Art. Er kontaktiert die Zeitung und ist zuerst verwirrt, hat dann aber eine intuitive Offenbarung: ah-HA! "bob" ist nur "Bob" rückwärts geschrieben! Gunther verhaftet Bob umgehend und schickt ihn vor dem Bezirksrichter zu seinem grimmigen, aber legalen Schicksal.

Um weitere Probleme mit anderen Nihilisten zu vermeiden, die von der Vision von Bobs zerstückelter Leiche, die vor dem Einkaufszentrum ausgestellt wird, nicht ausreichend abgeschreckt würden, entwickelt Sarah eine Abhilfemaßnahme: Sie engagiert Henry und Herbert, zwei gemein aussehende Muskeln junge Männer und postet sie an den Einkaufszentren. Henry und Herbert sind dafür verantwortlich, den Zugang zu blockieren, falls eine große Anzahl von Personen versucht, über einen bestimmten Schwellenwert hinauszukommen. Wenn ein Proto-Bob erneut zuschlägt, kann das Problem auf der Außenseite auf dem Parkplatz behoben werden, auf dem nicht genügend Platz und Menschenmenge vorhanden sind Kontrolle viel einfacher.


Moral : Ein DDoS kann nicht verhindert werden, aber seine Konsequenzen können durch proaktive Maßnahmen gemildert werden, und die Täter können durch die übliche, historisch genehmigte Anzeige von Muskeln von Strafverfolgungsbehörden abgeschreckt werden. Wenn Botnets zu einfach zu mieten sind, sind vorhersehbare Konsequenzen eine verstärkte Beteiligung der Polizei, eine proaktive Authentifizierung der Benutzer auf Infrastrukturebene, das Abschalten der am meisten verrufenen Teile des Netzwerks (insbesondere der Internetzugang für die weniger kooperativen Länder) und eine hohe Dosis von Verstimmung und Trauer über den Verlust eines früheren, zivilisierteren Zeitalters.

91
Tom Leek

Trotz allem, was andere sagen, können Sie ja.

Viele große Unternehmen haben sehr effektive Lösungen, und selbst die jüngste Spamhaus-Schlacht, in der DNS-DDoS in einer bisher nicht gekannten Größenordnung eingesetzt wurde, wurde nach der Einführung von CloudFlare schnell abgedeckt.

Die von mir getesteten Lösungen sind sehr effektiv bei der Übertragung von DDoS-Verkehr, selbst wenn er ein Spiegel des realen, gültigen Verkehrs ist. Bei einigen dieser Tests betrug die Umstellung weniger als eine Millisekunde und hatte fast keine messbaren Auswirkungen auf den legitimen Verkehr.

Diese arbeiten mit dynamischen Umleitungsprotokollen und können im Prinzip überall funktionieren. Der Grund, warum sie nur von großen Unternehmen verwendet werden, ist, dass sie viel kosten.

Eine sinnvolle Lösung für alle ISPs besteht darin, ausgehenden Datenverkehr zu flotten und Filterlisten gemeinsam zu nutzen. Dies könnte DDoS-Angriffe vollständig verhindern. Es würde lediglich Benutzer und Unternehmen erfordern, dies von ihren ISPs zu verlangen und sich von allen zu entfernen, die diesen Service nicht bereitgestellt haben. Irgendwann würde jeder ISP, der dies nicht zur Verfügung stellte, nur auf die schwarze Liste gesetzt.

19
Rory Alsop

Nein, theoretisch oder praktisch ist das nicht möglich. Ein ausreichend gut verteilter DDoS-Angriff ist nicht von legitimem Datenverkehr zu unterscheiden.

Betrachten Sie die "Slashdot" - oder "Reddit" - oder "Digg" -Effekte, bei denen der tatsächliche legitime Datenverkehr die Netzwerkdienste auf der Zielwebsite beeinträchtigt. Das einfache Posten eines Links zur Zielwebsite auf slashdot ist in vielen Fällen eine effektive DDoS.

18
Sparr

Nun, Sie können die Infrastruktur skalieren, um es einem Botnetz zu erschweren, genügend Datenverkehr aufrechtzuerhalten, um den Dienst zu deaktivieren. Letztendlich ist der einzige Zähler, wenn ein DDoS ansonsten legitimen Datenverkehr verwendet, um Probleme zu verursachen, alles, was Sie tun können, die Bandbreite zu erhöhen höher sein als ihre. Wenn Sie eine Quelle als Schurke identifizieren können, können Sie versuchen, die Verarbeitung des Datenverkehrs durch Ihren Server zu blockieren (wodurch die CPU- und Speicherlast verringert wird). Sie müssen sich jedoch weiterhin mit dem Datenverkehr befassen, der vom Internet bereitgestellt wird .

7
AJ Henderson

Grundsätzlich gibt es Möglichkeiten, ein DDOS zu stoppen:

  • Der einfachste Weg ist, einfach mehr Ressourcen darauf zu werfen. Viel Glück beim Versuch, Amazon.com oder google.com auszuschalten. Wenn Sie einen Round-Robin-DNS-Eintrag mit Tonnen von Cloud-Servern kombinieren, wird es für DDOS wirklich schwierig, Sie zu erreichen.

  • Nicht jeder kann sich solch immense Ressourcen leisten, aber dafür sind Dienste wie CloudFlare gedacht. Wenn Sie ihr Kunde werden, stellen sie die Ressourcen (Proxys, Bandbreite) zur Verfügung und weisen sie Ihnen zu, sobald Sie sie benötigen. Es ist wie bei einer Versicherung, viele Menschen teilen sich die Investition und Sie profitieren bei Bedarf davon.

  • DDOS-Verkehr oft ist von legitimem Verkehr zu unterscheiden:

    • Wenn es beispielsweise als HTTP-Anforderungen eingeht, können Sie Port 80 vorübergehend blockieren, aber Ihre HTTPS- und E-Mail-Server sind weiterhin erreichbar. Dies bedeutet natürlich ein teilweises Herunterfahren, aber besser als ein vollständiger Verlust von Diensten.
    • Dies ist nur Hörensagen, aber mir wurde gesagt, dass es spezielle Switches gibt, die mithilfe von FPGAs eine Deep Packet Inspection mit unglaublicher Bandbreite durchführen können. Sie können verwendet werden, um HTTP-Anforderungen zu filtern, die keinen richtigen User-Agent haben, oder TCP Pakete, die verdächtig aussehen.
  • Last but not least könnte in Zusammenarbeit mit Ihrem ISP oder den Backbone-Anbietern noch viel mehr getan werden. Wenn der Angriff geografisch konzentriert ist, beenden Sie vorübergehend das Weiterleiten von Daten aus dieser Region an Ihre Server. Ich gehe davon aus, dass diese Art von Strategien in Zukunft weiter verbreitet werden muss.

    (In Tom Leeks Analogie: Stellen Sie sich vor, Bob hat sein kostenloses iPad-Angebot nur für Schwarze/Chinesen/Kaukasier/... gemacht. Stellen Sie jetzt einen rassistischen Sicherheitsbeamten ein. Sie werden den Sturm gefälschter Kunden stoppen, aber zu einem Preis, nämlich dem Sie werden einige legitime Kunden verärgern. (Unnötig zu sagen, bitte tun Sie das nicht in der Realität.))

  • Nur der Vollständigkeit halber können Sie sich revanchieren, wenn Sie wissen, wer Sie angreift. Entweder legal, indem Sie die Behörden anrufen oder indem Sie sie in ihrer eigenen Münze zurückzahlen und ihre Server angreifen (aber bitte nicht!).

5
jdm

Es gibt Dinge, die Sie tun können, aber Sie werden niemals 100% geschützt sein.

Mir wurde zuvor in diesem Forum die Fail2Ban-Firewall für meine Website empfohlen, und das hat geholfen. Grundsätzlich erkennt ein fail2ban eine ähnliche Aktivität x Mal in seinen Protokolldateien, die diese IP verbietet.

Das Blockieren aller nicht verwendeten Ports hilft ebenfalls.

3
Jeff

Ich denke, mit einer Nur-P2P-Architektur könnte dies möglich sein ... Aber es würde viele Änderungen im Verhalten von Computern erfordern und für viele kleine Websites eine Trägheit bedeuten. Das ist eine gute Frage.

Wenn Sie über eine Netzwerkarchitektur verfügen, die eine Zentralisierung ermöglicht, ist DDOS immer zulässig. Um dies zu verhindern, müsste die gesamte Internetinfrastruktur DDOS-fähig werden. Dies bedeutet, dass alle Anforderungen an eine bestimmte IP-Adresse herausgefiltert werden, wenn ein Engpass festgestellt wird. Die Implementierung einer solchen Funktion wäre sehr teuer, da Router schnell ausgelegt sind und einen "DDOS-Containment-Modus" erfordern würden, der Paketzieladressen überprüft, was langsam wäre. Die Website würde immer noch nicht reagieren oder nicht erreichbar sein, aber nicht abstürzen.

Eine andere Möglichkeit wäre, der Website eine Art Spiegel-/Rundfunksystem zur Wiederholung von Inhalten zu ermöglichen. Broadcast bedeutet, dass der Inhalt von Routern automatisch wiederholt wird. Aber es müsste nicht oft geändert werden, was eine strenge Anforderung wäre, und nicht viele Websites könnten es sich leisten, da es teuer ist.

Ehrlich gesagt betrachte ich DDOS nicht wirklich als Angriff oder Sicherheitsproblem. Botnets sind.

2
jokoon

Der billigste, effektivste und einfachste Weg, einen DDoS-Angriff zu blockieren:

Sobald der Server mehr Anfragen erhält, als er verarbeiten kann, wird ein "Secure-Mode" eingeschaltet. In diesem Modus erhält jede anfordernde IP-Adresse eine minimale HTML-Site, je kleiner desto besser, bestehend aus einer Warnung vor einem Live-DDoS-Angriff und einer Captcha-Eingabeaufforderung:

Google Captcha Example

Die IP-Adressen, die das richtige Captcha eingeben, werden in eine weiße Liste aufgenommen, mit der Sie die Site wie gewohnt durchsuchen können. Nachdem die Anforderungen wieder gesunken sind, wird der "Secure-Mode" ausgeschaltet

1
vyrovcz

Ich liebe die Antwort des Einkaufszentrums. Hier sind einige Details. Was passiert, wenn das Einkaufszentrum geschützt ist, sich aber der Parkplatz füllt?

Erstens, nein, es ist mit der aktuellen Internetarchitektur nicht möglich, einen Angriff von beliebiger Größe zu stoppen. Als gut finanzierter großer ISP können Sie jedoch ziemlich große stoppen.

Aber (ungefähr) solange der Angriff kleiner ist als die Größe der eingehenden Verbindungen Ihrer ISPs, können sie die Dinge am Laufen halten. Aber sie brauchen eine ausgefallene Technologie.

Das beste Zeug, mit dem ich jemals viel zu tun hatte, hat zwei Stufen.

In der ersten Stufe werden mögliche Verkehrsspitzen identifiziert, die durch DDoS-Aktivitäten verursacht werden. Ein Unternehmen namens Arbor Networks ist darauf spezialisiert ( http://www.arbornetworks.com/ )

Anschließend wird dem Netzwerk befohlen, den gesamten Datenverkehr für das Ziel zu nehmen und ihn an DDoS-Scrubber weiterzuleiten. Jeder Scrubber kann mit einem bestimmten Verkehrsaufkommen umgehen und kann den gültigen Verkehr gut aus dem Lärm heraussuchen.

Der Scrubber leitet dann den gültigen Datenverkehr an die ursprüngliche Site weiter.

1
JCx

Es gibt Forschungen zu diesem Thema und theoretisch scheint es Möglichkeiten zu geben, DDOS-Angriffe zu stoppen.

Hier ist ein Vortrag von Adrian Perrig über SCION , einen funktionierenden Prototyp für eine neue Netzwerkarchitektur. This sollte der Artikel über den Teil des Systems sein, der die DDOS-Minderung durchführt. Natürlich machen sie Annahmen über den Angriff auf Botnets und dergleichen.

Wie andere angemerkt haben, befinden Sie sich im Wesentlichen in der gleichen Situation, als ob Sie nicht genügend Ressourcen für alle Benutzer hätten, wenn Ihr Angreifer stark genug ist, um den DDOS-Angriff als legitimen Datenverkehr erscheinen zu lassen. Daher kann dieser Fall nicht verhindert werden.

0
Elias

Abhängig. Wenn im Übrigen ein DDoS mit einer Größe von nur 1 Byte über die Hälfte des Internets gestartet wird, ist das gesamte Internet ausgefallen. Das ist aber fast unmöglich. Ein normaler DDoS-Angriff kann absorbiert, aber nicht gestoppt werden. Im obigen Beispiel von Tom Leek kann der Sicherheitsmann nur mit so vielen Menschen umgehen. Wenn die ganze Welt hereinströmt, können sie nichts tun. Gleiches gilt für DDoS. Sie können CloudFlare, Incapsula, ... bezahlen, um die Wache zu sein, aber mit genügend Leistung wird ein DDoS sie ausschalten.

0
Giang Nguyen

Die Hauptsache, die DDoS-Angreifer nutzen, ist eine zentralisierte Ressource, die sie mit Datenverkehr überwältigen können. Wenn Sie die Anwendung so gestalten, dass sie stark verteilt ist, sind DDoS-Angriffe nicht effektiv.

Genau dies wurde mit DNS-Infrastruktur und Anycast durchgeführt. Google DNS befindet sich beispielsweise unter 8.8.8.8. Sie verwenden jedoch Anycast, sodass die tatsächlichen Maschinen, die Anforderungen an 8.8.8.8 bearbeiten, in Rechenzentren auf der ganzen Welt verteilt sind. Daher werden DDoS-Angriffe gegen 8.8.8.8 ebenfalls aufgeteilt und verteilt, was nicht das Ziel von DDoS-Angriffen ist. Um nicht zu sagen, dass dies unmöglich, aber weitaus weniger effektiv ist.

Leider sind nicht alle Anwendungen so konzipiert, dass sie hinter einer Anycast-IP ausgeführt werden. Aber der Gesamtansatz ist die beste Verteidigung. Machen Sie die App stark verteilt und die DDoS-Effektivität nimmt ab.

0
cipherwar

Eine gängige Lösung auf Megakonzernebene: Kaufen Sie genügend Bandbreite/Server, um sowohl legitime Benutzer als auch DDoS gleichzeitig unterzubringen.

Außerhalb der Wurfausrüstung auf das Problem. Die einzige andere Lösung ist die ständige öffentliche Wachsamkeit. Zu viele Leute sind schlampig mit ihren Computern und erlauben ihnen, durch Hintertüren oder böswillig ferngesteuert zu werden. Einige Gerätehersteller sind auch mit internetfähiger Heimelektronik schlampig, konfigurieren sie schlecht und machen sie anfällig für Hacks.

Allgemeine Faustregel: Sperren Sie eingehende Verbindungen, wenn Sie sie nicht verwenden. Wenn Sie Ihren Computer so einrichten, dass alle eingehenden Verbindungen blockiert werden, kann ihn niemand fernsteuern (mit Ausnahme extrem entarteter Instanzen von Backdoors/"zombieware", die aktiv Verbindungen zu Servern herstellen, von denen Befehle gelesen werden können).

In den meisten Fällen sollte der durchschnittliche Computerbenutzer keine eingehenden Verbindungen zulassen müssen. Wenn Sie müssen, entsperren Sie nur die spezifischen Ports/Programme, die eingehende Verbindungen benötigen, und blockieren Sie die eingehenden Verbindungen erneut, sobald Sie mit diesen Ports/Programmen fertig sind.

IOT-Geräte sind etwas schwieriger. Sie können nicht einfach alle eingehenden Verbindungen blockieren, da sie ferngesteuert sind.

0
user1258361