DDoS Protection Service

Transcription

DDoS Protection Service
White Paper
DDoS Protection Service
Distributed Denial of Service (DDoS)
Technische Produktinformation
Version 3.1
Wirkungsvoller Schutz ihrer
Infrastruktur vor Angriffen
aus dem Internet – hoch
verfügbarer Internetzugang
DDoS Protection Service
(Distributed Denial of Service)
Inhaltsverzeichnis
1
DDoS-Attacken – ein reales Risiko .........................................................................................................................3
2 Problembeschreibung ...............................................................................................................................................3
2.1 Ausgangslage ...........................................................................................................................................................3
2.1.1 Absicht der Angreifer und Angriffsarten ........................................................................................................3
2.1.2 Entwicklung der DoS-Attacken .........................................................................................................................3
2.1.3 DDoS-Attacke von einer regulären IP-Adresse ..............................................................................................4
2.1.4 Motivation von DDoS-Attacken ........................................................................................................................4
2.2 Voraussetzung für eine DDoS-Attacke...............................................................................................................5
2.3 DDoS-Attacken .........................................................................................................................................................5
2.3.1 Prinzipieller Ablauf ...............................................................................................................................................5
2.3.2 Vorbereitung und Ablauf einer DDoS-Attacke..............................................................................................6
2.4 Entwicklungen und Folgen von DDoS-Attacken ..............................................................................................7
3 Schutzmassnahmen gegen DDoS Angriffe ........................................................................................................10
3.1 Blackhole-Abwehr .................................................................................................................................................10
3.2 Aktuelle Schutzmassnahmen mit dem DDoS Protection Service .............................................................11
3.2.1 Generelle Eigenschaften ..................................................................................................................................11
3.2.2 Traffic Anomaly Detection ...............................................................................................................................12
3.2.3 Threat Management System...........................................................................................................................12
4 DDoS Protection Service von Swisscom ..............................................................................................................13
4.1 Filterprozess einer DDoS-Attacke ......................................................................................................................13
4.2 Option DDoS Protection enhanced ...................................................................................................................15
5 Zusammenfassung ...................................................................................................................................................16
5.1 Lösungsvarianten ..................................................................................................................................................16
5.2 Gefahren- und Schadenspotential ....................................................................................................................17
5.3 Managed Service....................................................................................................................................................17
6
Glossar .........................................................................................................................................................................18
Das White Paper wurde auf Grund der aktuell bekannten Parameter erstellt. Die technische Lösung während der Implementierung
kann später abweichen. Für Fragen oder Anmerkungen zu diesem White Paper stehen wir Ihnen gerne zu Verfügung.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 2/18
DDoS Protection Service
(Distributed Denial of Service)
1
DDoS-Attacken – ein reales Risiko
Das Risikomanagement einer Unternehmung liegt in der Verantwortung der Unternehmensführung. Ihr
obliegt eine regelmässige präventive Überprüfung von potentiellen Sicherheitsrisiken. Besonders im voll
vernetzten IT-Umfeld existieren Bedrohungssituationen, die sich ständig verändern und immer neue
Formen annehmen. Zu diesen IT-Risiken gehören DDoS-Attacken (Distributed Denial of Service). Dieses
White Paper geht im Detail auf derartige Sicherheitsrisikos ein und beschreibt wirkungsvolle
Abwehrmechanismen.
DDoS-Attacken müssen ebenso wie andere Bedrohungen (Lage und Zutritt zum Gebäude, Brandschutz,
Energieversorgung, Zugang zu internen Dokumenten etc.) in die Risikoanalyse eines Unternehmens
aufgenommen werden. Sie sind aufgrund des grossen Bedrohungs- und Schadenspotentials mit diesen
gleichzusetzen. Aktuelle Risikoanalysen und Empfehlungen finden sich u.a. auf der Webseite der Meldeund Analysestelle Informationssicherung unter http://www.melani.admin.ch/dokumentation.
2
Problembeschreibung
2.1
Ausgangslage
Seit den Anfängen des Internets existieren die so genannten "Denial-of-Service"-(DoS-)Angriffe
(„Verweigerung des Dienstes“). Ziel der Attacken ist die massive Einschränkung der Verfügbarkeit
bestimmter Online-Systeme und/oder Dienste oder gar die komplette Verwehrung des Zugriffs. Meist wird
dabei versucht, durch das Ausnutzen von Schwachstellen in Betriebssystemen, Programmen und Diensten
bzw. von grundsätzlichen Entwurfsschwächen der verwendeten Netzwerkprotokolle die angegriffenen
Systeme über das Internet zum Absturz zu bringen.
2.1.1
Absicht der Angreifer und Angriffsarten
Durch Überlasten der Online-Systeme kann deren eigentliche Funktionalität nicht mehr gewährleistet
werden. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu entwenden oder BenutzerAuthentisierungs-Mechanismen zu umgehen, sondern die Serviceplattformen von Online-Anbietern wie
eShops, Content Provider, Finanzdienstleister (z.B. E-Banking), Verwaltungen (z.B. E-Government) etc.
empfindlich zu stören oder ganz lahm zu legen. Dadurch können die angegriffenen Web-Seiten respektive
Services für wenige Minuten bis zu einigen Tagen nicht erreichbar sein.
Im Unterschied zu anderen Angriffen dringt der Angreifer normalerweise nicht in Computernetzwerke ein
und benötigt deshalb keine Passwörter oder ähnliches. Jedoch kann ein DoS-Angriff Bestandteil eines
Angriffs auf ein System sein. So wird z.B. ein anderes Online-System durch einen DoS-Angriff lahmgelegt,
um den eigentlichen Angriff auf ein weiteres System desselben Kunden zu vertuschen. Das mit der
Administration betraute IT-Personal wird durch den erhöhten Datenverkehr abgelenkt, in dem der
eigentliche Angriffsversuch unbemerkt untergeht.
2.1.2
Entwicklung der DoS-Attacken
Die DoS-Attacken werden immer weiter verfeinert und für Laien immer schwerer erkennbar. Z.B. kommen
seit mehr als 10 Jahren anstelle einzelner PCs eine Vielzahl unterschiedlicher PCs in einem grossflächig
koordinierten Angriff auf einzelne Online-Systeme oder Netzwerke zum Einsatz. In der Regel bemerkt der
einzelne PC-Benutzer, dessen PC Teil eines sogenannten Botnet ist, während einer laufenden Attacke beim
Arbeiten wie auch beim Surfen im Internet keine Leistungseinbussen. Die Anzahl der an einem Angriff
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 3/18
DDoS Protection Service
(Distributed Denial of Service)
beteiligten PCs kann dabei von einigen 100 bis hin zu mehreren 100’000 gleichzeitig angreifenden PCs
variieren. Die an einem Angriff beteiligten PCs können national, international wie auch interkontinental im
globalen Internet eingebunden sein. Bei dieser "Distributed Denial-of-Service"- (DDoS-) Attacke („verteilte
Verweigerung der Dienste“) macht sich der Angreifer die Leistung mehrerer PCs zunutze. Daher können
selbst sehr leistungsstarke Online-Systeme mit breitbandigen Netzverbindungen erfolgreich gestört
werden. Nicht zuletzt sorgen die Breitbandnetze selbst für die dazu nötige Bandbreite.
2.1.3
DDoS-Attacke von einer regulären IP-Adresse
Eine besondere Form stellt die „Distributed Reflected Denial of Service“- (DRDoS)-Attacke dar. Hierbei
adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer als Angriffsziel, sondern an regulär
arbeitende Internetdienste. Als Absenderadresse trägt er jedoch die IP-Adresse des Opfers ein. Durch diese
Vorgehensweise lässt sich der Ursprung des Angriffs vom Angegriffenen praktisch nicht mehr ermitteln.
Solche gefälschte Verbindungsanfragen nennt man auch „IP-Spoofing“. Deren Beantwortung und die
resultierende Systemüberlastung stellen für das Opfer den eigentlichen DoS-Angriff dar.
2.1.4
Motivation von DDoS-Attacken
Der Ursprung und die Motive solcher Angriffe sind sehr vielschichtig. Sie reichen vom „jugendlichen“
Leichtsinn von Freaks ohne monetäre Interessen über Rache- oder Protestaktionen gegen eine bestimmte
Firma oder Organisation bis hin zu professionell tätigen Hacker-Organisationen. Dort können DDoS-Angriffe
von jedermann via Online-Portal bestellt und per Kreditkarte bezahlt werden. Für wenig Geld werden
gemanagte Attacken z.B. für 24 Stunden als so genannte Stresstest angeboten. Nicht selten werden im
Zuge solcher Angriffe bösartige Drohungen platziert und Schutzgeldpressungen geltend gemacht. Dabei
werden professionell aktive Organisationen mit klarer Absicht aus Eigeninteresse oder im Auftrag Dritter
tätig.
Abbildung 1: Motive für DDoS-Attacken (© ARBOR Networks)
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 4/18
DDoS Protection Service
(Distributed Denial of Service)
2.2
Voraussetzung für eine DDoS-Attacke
Erpressungsangriffe basierend auf einer DDoS-Attacke werden in der Regel über sogenannte Bot-Netzwerke
initiiert. Diese bestehen aus einigen Dutzend bis zu mehreren 100'000 mit Trojanern oder Würmern
infizierten Rechnern. Die Ausführung von DDoS-Angriffen wird durch die Tatsache begünstigt, dass die
allermeisten über Breitbandnetze angeschlossenen Computer mehrheitlich über eine feste IP-Adresse
verfügen und überwiegend online geschaltet sind. So erfolgen die Infektion und Einbindung in ein BotNetzwerk meistens unauffällig, da die meisten der Rechner ungeschützt am Internet angeschlossen oder
aber die Schutzmechanismen unzureichend sind. Den Eigentümern dieser Computer ist es daher gar nicht
bewusst, Teil eines Bot-Netzwerkes zu sein. Die Leistung der in einen Angriff eingebundenen PCs sowie die
Anschlussbandbreite werden in der Regel für den Benutzer im nicht wahrnehmbaren Bereich für DDoSAttacken beansprucht. Diese Bot-Netzwerke bestehen aus einigen hundert bis n-tausend infizierten und
weltweit verteilten PCs. Diese PCs können praktisch beliebig zeitgesteuert durch den Bot-NetzwerkAdministrator/-Controller für Angriffe missbraucht werden. Darüber hinaus sorgt der Umstand, dass TCP/IPProtokolle sehr verbreitet und Kenntnisse darüber fast schon zum Allgemeingut geworden sind, für einen
spürbaren Anstieg von vernetzen Computer-Missbräuchen.
Abbildung 2: Globale aktive Botnet-Quellen (http://atlas.arbor.net/worldmap/index)
2.3
DDoS-Attacken
2.3.1
Prinzipieller Ablauf
Bis heute wurden unter anderen folgende, Blogs oder Foren thematisierte Attacken-Modelle registriert:

Modell 1
Ein im Internet präsentes Unternehmen wird mit einem Erpresserschreiben aufgefordert, eine
bestimmte Summe innerhalb einer definierten Frist zu zahlen. Sollte diese Frist ohne Zahlung
ablaufen, wird die im Erpresserschreiben angedrohte Attacke unverzüglich ausgelöst. Die WebServer werden in der Folge mit einer massiven Anzahl von Anfragen angegriffen. In Abhängigkeit
von der Bandbreite wird der Webauftritt inklusive der angebotenen E-Services (E-Shop, E-Banking…)
innerhalb kürzester Zeit nicht mehr erreichbar sein.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 5/18
DDoS Protection Service
(Distributed Denial of Service)

Modell 2
Der Onlineauftritt eines Unternehmens wird aus unbekannten Gründen ohne Vorwarnung mit
einer DDoS-Attacke blockiert. Während der Attacke erhält der Angegriffene z.B. per E-Mail (z.B. via
alternativem Internet Access) oder Fax ein Bekennerschreiben mit der Aufforderung, innerhalb einer
Frist eine Zahlung auf ein Konto zu tätigen oder eine andere Bedingung zu erfüllen. Verstreicht
diese Frist ohne Zahlung, werden die Attacken fortgesetzt.

Modell 3
Die Online-Plattform eines Unternehmens wird ohne jegliche Vorwarnung attackiert. Damit soll die
Firma nachhaltig geschädigt werden, wobei die Attacke von wenigen Minuten bis einigen Wochen
andauern kann.
2.3.2
Vorbereitung und Ablauf einer DDoS-Attacke
Wie angedeutet sind mehrere Rechnersysteme an einer DDoS-Attacke beteiligt. Dabei könnte man die
verzweigte Angriffskette bzw. den Netzwerkverbund der Angreifer wie folgt beschreiben:

Ein Angreifer (auch Client genannt) beauftragt…

…einen oder mehrere Master (auch Händler genannt). Diese steuern…

…mehrere Daemons (auch Agents genannt). Diese attackieren schliesslich…

…ein Opfer.
Analyse
Der Angreifer kommuniziert über eine Internet-Verbindung (oft von einer illegal verwendeten IP-Adresse
aus) mit den verteilten Mastern. Deren IP-Adresse bzw. die offenen TCP- oder UDP-Ports wiederum hat er
mit Hilfe von Scanning-Tools erfahren. Potenzielle Angriffsziele und deren Schwachstellen werden via
Internet Security Scanner ausfindig gemacht. Über denselben Weg gelangt der Angreifer zudem an die
Rootrechte auf den Serversystemen und prüft dabei auch gleich, welche Dienste und Ports auf den
Systemen aktiv (also „offen“) sind.
Skript-Erstellung
Nach Offenlegen der Sicherheitslücken generiert der Angreifer ein Script (= ein automatisch ablaufendes
Programm) und legt es auf den gestohlenen Accounts ab. Mit den Scripts greift er später genau diese
Sicherheitslücken an. Für die Erstellung der Scriptfiles wird übrigens recht oft auf bestehende Toolkits
zurückgegriffen, was deren Anwendung bedeutend vereinfacht. Nun legt der Angreifer seine späteren
Daemon- und Master-Systeme fest. Auf den Master-Systemen werden weitere Speicher benutzt, um dort
die „pre-compiled binaries“ („vorkompilierte Binärdateien“) der Daemons zu lagern. Danach erzeugt der
Angreifer wiederum ein Script, welches die Liste der „in Besitz genommenen“ Rechner benutzt und ein
weiteres Script erzeugt. Letzteres führt den Installationsprozess automatisiert als Hintergrundprozess durch.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 6/18
DDoS Protection Service
(Distributed Denial of Service)
Script-Installation
Diese Automatisierung erlaubt den Aufbau eines weit verbreitenden Denial-of-Service-Netzes ohne Wissen
der eigentlichen Besitzer der Systeme. Schliesslich erfolgt mit besonderer Sorgfalt die Installation der
Master-Programme, welche eine Schlüsselrolle im Netzwerk des Angreifers einnehmen. Optional wird ein
„Rootkit“ (ein „Administratorenbausatz“) installiert, welcher für die Verdeckung der Anwesenheit der
Programme, Dateien und Netzwerkverbindungen sorgt. Die Master-Programme werden bevorzugt auf so
genannten „Primary-Name-Server-Hosts“ installiert. Da diese für einen extrem grossen Netzwerkverkehr
ausgelegt sind, laufen auf solchen Server-Systemen eine grosse Anzahl von Netzwerkverbindungen. Für den
Angreifer hat dies zwei wesentliche Vorteile. Zum einen verdeckt die Grundlast (Prozessoren und Netz) den
zusätzlichen Netzwerkverkehr der Master sehr gut. Zum anderen werden solche Server-Systeme selbst bei
einem DDoS-Verdacht nicht so vorschnell aus dem Netz genommen, da ihre Bedeutung für das eigene Netz
zu gross ist.
Start der Attacke
Der Angreifer sendet später das Angriffskommando inklusive der Daten des Opfers (IP-Adresse,
Portnummer, Angriffsart, Start- und Stoppzeitpunkt) an die Master. Während des Angriffs ist dies der
einzige von ihm ausgehende Verkehr. Nach dem Startschuss liegt die weitere Steuerung und Koordination
des Angriffs bei den Mastern (= als Server dienende Computer), welche jeweils eine bestimmte Anzahl
Daemons steuern (Daemons sind im Hintergrund ablaufende Prozesse). Damit beim Aufdecken eines
Masters durch einen Netzwerk-Sniffer nicht sofort alle Daemons unbrauchbar werden, teilen die Angreifer
die Master in zweckmässige Teilgebiete auf. Die Daemons laufen wiederum auf anderen Computern und
können sich weltweit verstreut im Netz befinden. Erst die Daemonsysteme führen auf Anweisung des
Masters den eigentlichen Angriff aus. Dies kann z.B. eine SYN-Flood-Attacke sein, bei der der Angreifer ein
Paket zum Aufbau einer TCP-Verbindung (SYS-Pakete) an das Opfersystem sendet. Dieses reserviert einen
Port und sendet ein so genanntes SYN-ACK-Paket zurück. Da der Angreifer jedoch seine IP-Adresse gespooft
hat (also nicht seine eigene IP-Adresse verwendet), bekommt der Absender keine Bestätigung zurück. Das
Opfersystem wiederholt und verwirft die reservierte Verbindung nach einem eingestellten Zeitraum
endgültig, der je nach Betriebssystem mehrere Minuten betragen kann. Wird nun dieser Verbindungsaufbau
nicht nur einmal, sondern parallel sehr häufig ausgeführt, führt dies dazu, dass der Rechner mit der
Beantwortung der Anfragen überlastet und dadurch praktisch blockiert ist.
2.4
Entwicklungen und Folgen von DDoS-Attacken
Laufende Erhebungen von ARBOR Networks seit 2002 in Zusammenarbeit mit den bedeutendsten Internet
Service Providern (ISPs) zeigen eine signifikante Zunahme der Bandbreitenintensität von DDoS-Attacken. bei
weiterhin grosser Häufigkeit. Primäre Angriffsziele sind kommerzielle Internet-Services sowie Netzdienste
(z.B. Domain Name Server, DNS). Am häufigsten genutzt wurden vor allem UDP Flood (Senden einer grossen
Menge von UDP-Paketen an zufällig ausgewählte Ports, bis diese unerreichbar werden) und TCP SYNC
(Verzögerung der Handshake-Prozedur beim Aufbau einer TCP-Verbindung), wobei auch andere bekannte
Schwachstellen der Anwendungsprotokolle dem Angriff dienten. Die Menge und Intensität der DDoSAttacken nehmen seitdem kontinuierlich zu.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 7/18
DDoS Protection Service
(Distributed Denial of Service)
Abbildung 3: Entwicklung von DDoS-Attacken (© ARBOR Networks)
Erfahrungen und Beobachtungen in der Praxis
Leider werden DDoS-Attacken trotz des hohen Bedrohungspotentials in
der Regel nicht oder nur untergeordnet in Risikoanalysen von
Unternehmen berücksichtigt.
Aufgrund der klar vorhandenen Bedrohungslage sind DDoS-Attacken in
der generellen Risikoanalyse eines Unternehmens jedoch mit den
allgemein bekannten Risiken gleichzusetzen.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 8/18
DDoS Protection Service
(Distributed Denial of Service)
Abbildung 4: Anzahl von DDoS-Attacken pro Monat (© ARBOR Networks)
Nicht verfügbare E-Services können zu massiven Umsatzausfällen führen. Zudem werden das Firmenimage
sowie das Vertrauen der Kunden gegenüber dem attackierten Unternehmen negativ und nachhaltig
beeinflusst. Dies ist insbesondere dann der Fall, wenn es sich um eine Firma mit hohem Online-Anteil
handelt. Passende DDoS-Abwehrtools und entsprechende Services professioneller Internet-Provider dazu
sind daher unerlässlich, um DDoS-Attacken zu erkennen und abzuwehren. Sie stellen die schnellste und
sicherste Methode dar, um den Betrieb der eigenen Internet-Serviceplattform aufrecht zu erhalten. Dies
stärkt einerseits das Vertrauen der eigenen Kunden und sichert andererseits konstante Umsätze der
Plattform.
Abbildung 5: Durchschnittliche Dauer zur Abwehr von DDoS-Attacken (© ARBOR Networks)
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 9/18
DDoS Protection Service
(Distributed Denial of Service)
3
Schutzmassnahmen gegen DDoS Angriffe
3.1
Blackhole-Abwehr
Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von ungesicherten wie auch gesicherten
Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich. Ungesicherte Systeme sind gerade dafür gedacht, dass sie die Kommunikation mit praktisch jedem System
zulassen und dynamisch auf Lastschwankungen reagieren. Nahezu alle bekannten Massnahmen konzentrieren sich darauf, den Missbrauch eigener Systeme und Netze für einen DDoS-Angriff zu verhindern. Es
existieren nur wenige wirkungsvolle Schutzmassnahmen, mit denen die Angriffsfolgen abgeschwächt
werden können. Die bisherigen Schutzmassnahmen führten bei angegriffenen Services z.B. zu einer
Abschaltung über die Blackhole-Technik. Die unerwünschten Datenströme werden hier auf den Routerports
der Backboneübergänge vollständig umgeroutet (->Route to Null0) und unschädlich gemacht.
Abbildung 6: Prinzip der Blackhole-Technik
Vorteile:
Die Blackhole-Technik schützt die Web-Infrastruktur vor Angriffen, allerdings nur bedingt.
Nachteile: Alle Datenströme werden mit der Folge gelöscht, dass das Unternehmen keine Daten mehr aus
bestimmten Netzabschnitten und Regionen empfangen kann. Die Bekämpfung von
unerwünschten Datenströmen im Backbone des ISP basierend auf der Blackholetechnik ist
komplex und setzt vertiefte Routingkenntnisse voraus.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 10/18
DDoS Protection Service
(Distributed Denial of Service)
3.2
Aktuelle Schutzmassnahmen mit dem DDoS Protection Service
3.2.1
Generelle Eigenschaften
Der DDoS Protection Service ist eine Option zum IP-Plus Business Internet Service von Swisscom und bietet
folgende Eigenschaften:








Wirksamer Schutz der Internet-Infrastruktur vor DDoS-Attacken (aktuell bis 40 Gbit/s filterbar)
Pro-aktive Alarmierung bei DDoS-Attacken per E-Mail, SMS, SNMP Traps und Syslog
Erlaubter Zugriff für „Friendly User“ während DDoS-Attacken
Voller Zugriff auf die Managementplattform inklusive Monitoring und Reporting während DDoSAttacken
Direkte Abwehr von DDoS-Attacken via Managementplattform durch den Security- bzw. NetzwerkAdministrator
Dynamische Identifizierung und Blockierung von DDoS-Attacken
7x24-h-Helpdesk/Support durch das DDoS-Expertenteam
Keine HW-Installationen beim Kunden erforderlich
Abbildung 7: Funktion des DDoS Protection Services (Option zum IP-Plus Business Internet Service)
Vorteile:
Basierend auf dem DDoS Protection Service werden die Verkehrsflüsse im Backbone permanent
überwacht. Tritt eine Abweichung von der Baseline (= Bandbreitenverlauf, der während 24
Stunden laufend registriert wird) ein, wird in Abhängigkeit der Abweichung pro-aktiv ein Alarm
als tief, mittel oder hoch per E-Mail, SMS, SNMP Traps oder Syslog direkt an die
Systemverantwortlichen abgesetzt. Basierend auf den Alarminformationen kann der Kunde
direkt oder mit Unterstützung des 2nd- oder 3rd-Level Support vom Helpdesk der Swisscom die
DDoS-Attacke gezielt bekämpfen.
Nachteil:
Zur Beurteilung von Verkehrsanomalien sind vertiefte Kenntnisse erforderlich. Sollten diese
Kenntnisse nicht vorhanden sein, stehen Spezialisten rund um die Uhr zur Verfügung.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 11/18
DDoS Protection Service
(Distributed Denial of Service)
3.2.2
Traffic Anomaly Detection
Die so genannte Traffic Anomaly Detection basiert auf mehreren Arbor Peakflow-Systemen. Mit Hilfe dieser
Systeme wird im Internet-Backbone von IP-Plus der Datenstrom aufgezeichnet und auf Anomalien
analysiert. Die Baseline-Daten werden mit den Peakflow-Systemen laufend und dynamisch erfasst. Dabei
werden der Wochentag, die Uhrzeit und die zu diesem Zeitpunkt gemessene Bandbreite sowie die
Protokollkonformität registriert. Diese Baseline-Daten dienen schliesslich als Vergleichsdaten für eine
allfällige Alarmierung von DDoS-Attacken. Im Alarmfall wird das entsprechende Alarmniveau (tief, mittel,
hoch) auf Grund der Abweichung zwischen Baseline- und effektiv gemessenem Datenstromdurchsatz
ausgelöst. Mit Hilfe dieser Angaben kann der Verkehr bezogen auf die eigene Infrastruktur permanent
überwacht und analysiert werden.
Abbildung 8: Statusansicht auf dem Kundenportal des DDoS Protection Services
3.2.3
Threat Management System
Zur Abwehr von DDoS-Attacken verwendet Swisscom ein sogenanntes Threat Management System (TMS).
Im Falle eines Angriffs kann der Verkehr bzw. der Datenstrom in Richtung des attackierten Systems via TMS
umgeleitet werden. Das TMS analysiert diesen Verkehr und kann gutartigen von bösartigem Verkehr
effizient unterscheiden und filtern. Der gefilterte und somit berechtigte Verkehr wird dann wieder zur
ursprünglichen Destination weitergeleitet.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 12/18
DDoS Protection Service
(Distributed Denial of Service)
4
DDoS Protection Service von Swisscom
4.1
Filterprozess einer DDoS-Attacke
Die ersten vier Schritte im Filterprozess einer DDoS-Attacke sind:
1.
Zusätzlicher DDoS-Verkehr (Attack Traffic)
2.
Erkennen der unerwünschten DDoS-Attacke (Malicious Traffic Recognition)
3.
Automatische Alarmierung via DDoS Protection Service (Alerting/Notification)
4.
Manuelle Aktivierung via DDoS Protection Management Platform (DDoS Filter Activation)
Abbildung 9: Abwehr einer DDoS-Attacke (1/2)
Es folgen drei weitere Schritte im Filterprozess einer DDoS-Attacke:
5.
Rerouting des DDoS-Attacke (Malicious Traffic Rerouting)
6.
Aktive Filterung des DDoS-Verkehrs (Active DDoS Filtering)
7.
Normale Weiterleitung des zulässigen Datenverkehrs (Legitimated Traffic)
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 13/18
DDoS Protection Service
(Distributed Denial of Service)
Abbildung 10: Abwehr einer DDoS-Attacke (2/2)
Die Aktivierung der Filterfunktion des TMS wird in jedem Fall durch den Kunden initialisiert. Denn die
Kenntnisse seines Netzbetriebes vermeiden Fehlalarme, die z.B. durch einen geplanten Software-Upgrade
ausgelöst werden, der von DDoS unter gewissen Umständen als Traffic Anomalie erkannt werden könnte.
Folgende Aktivierungsmöglichkeiten stehen zur Wahl:

Direkte Aktivierung des TMS mittels User-Name/Passwort auf eine geschützte Webseite (->https)
inklusive sicherer Authentisierung durch ein Client-Zertifikat.

Aktivierung oder Support via Helpdesk während 7 x 24h mit folgenden Reaktionszeiten:
Via Fernwartung
Mo - Fr, 07:00 - 18:00 Uhr
Mo - So, 18:00 - 07:00 Uhr
< 1 Std.
< 2 Std.
Sollte der Zugang auf das Internet des Kunden durch die Attacke möglicherweise belegt sein, kann der
Zugriff auf das TMS alternativ über eine Mobile-Unlimited-Verbindung, einen dedizierten xDSL-Anschluss
oder weitere Internet-Zugangstechnologien via Webbrowser erfolgen.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 14/18
DDoS Protection Service
(Distributed Denial of Service)
4.2
Option DDoS Protection enhanced
Für einen noch effektiveren Schutz kann die Option DDoS Protection enhanced als zusätzliche Erweiterung
implementiert werden. Sie basiert auf einer Hardware, die im WAN-LAN-Übergang am Kundenstandort
implementiert wird. Diese analysiert permanent den Trafficflow „inline“ bis und mit OSI Application Layer
(Layer 7). Eine SSL-Inspection-Funktion ermöglicht das Erkennen und Neutralisieren der zunehmenden
Attacken über verschlüsselte IP-Sessions. Ausgehend vom Rule Setting wird der Anomalie-Level laufend
ermittelt und eindeutiger Attack Traffic automatisch gefiltert. Ist ein definierter Anomalie-Level
überschritten, wird via Cloud Signaling Hilfe aus der Cloud angefordert.
Wenn sich der Operator für eine Entschärfung der Situation (Mitigation) entscheidet, wird über den DDoS
Protection Service eine neue BGP-Host-Route für die angegriffene IP-Adresse mit einer “Anycast address” als
neue Next-Hop gesetzt. Der Trafficflow wird nun über das Threat Management System (TMS) umgeleitet,
gefiltert und via GRE-Tunnel ohne Attack-Traffic direkt auf den Kundenrouter geroutet.
Abbildung 11: Erweiterte Abwehr einer DDoS-Attacke mit DDoS Protection enhanced
Die Option DDoS Protection enhanced erweitert das Sicherheitsniveau auf alle sieben OSI-Schichten. Die
wichtigsten Vorteile sind:

Sofortiger Schutz vor DDoS-Angriffen auf Applikationsebene, die eine Gefährdung der Verfügbarkeit
von Diensten und Applikationen darstellen.

Automatische Erkennung und Blockierung von DDoS-Angriffen, bevor die Performance von
Diensten beeinträchtigt wird. Hierfür ist kein bzw. nur ein minimaler Benutzereingriff erforderlich,
wodurch sich die Belastung der IT-Sicherheitsverantwortlichen reduziert.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 15/18
DDoS Protection Service
(Distributed Denial of Service)
5
Zusammenfassung
5.1
Lösungsvarianten
Aktuell kann der Kunde zwischen drei Lösungsvarianten wählen:
1.
Die Kunden-Infrastruktur verfügt über keine DDoS-Abwehrmechanismen. Folglich wird eine Attacke
rasch wirksam und der Webauftritt ist offline.
2.
Vor der Firewall am Kundenstandort ist ein DDoS-Device integriert. Übersteigt die DDoS-AttackBandbreite jedoch die Bandbreite des Access-Links, fällt der Webauftritt ebenfalls in den
Offlinemodus.
3.
In der dritten und wirksamsten Lösungsvariante wird die DDoS-Attacke bereits vor dem Eintritt in
das ISP-Backbone erkannt und entsprechend gefiltert. Mit diesem Setup wird der Attack-Traffic
herausgefiltert und der legitime Verkehr an den Webservice weiter geroutet. Dadurch kann der
Onlinemodus praktisch vollumfänglich sichergestellt werden.
Abbildung 12: Mögliche Lösungsvarianten zur Abwehr einer DDoS-Attacke
Zusätzlichen Schutz bietet die Option DDoS Protection enhanced mit einer permanenten lokalen InlineVerkehrsanalyse bis und mit OSI-Schicht 7.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 16/18
DDoS Protection Service
(Distributed Denial of Service)
5.2
Gefahren- und Schadenspotential
In den vergangenen Jahren konnte in der Schweiz eine überdurchschnittliche Zunahme von DDoS-Attacken
auf Unternehmen verschiedener Branchen und auf politische Organisationen registriert werden. Im Rahmen
einer Fallstudie wurde ein realer DDoS-Angriff auf ein Unternehmen mit Online-Plattform sowie dessen
Verlauf und Abwehr dokumentiert. Der analysierte Attack-Verkehr stammte primär aus Peru, Chile, China,
Taiwan, USA, Ägypten und Kenia. Der Bandbreitenverlauf reflektierte klar, dass diese Attacke gegen den
Kunden aktiv geführt wurde.
Dieser Sachverhalt zeigte sich u.a. in einem weiteren Peak etwa zwei Tage nach Beginn der ersten Attacke,
bei dem der Angreifer prüfte, ob eine erneute Intensivierung des Attack-Verkehrs den Online-Service stören
könnte. Jedoch blieb auch dieser Versuch dank des DDoS Protection Services von Swisscom ohne Erfolg.
Ohne dessen Aktivierung wäre der Online-Service des betroffenen Kunden für mindestens zwei Tage nicht
erreichbar gewesen und hätte grossen Schaden angerichtet – einerseits einen finanziellen Schaden
(Umsatzausfall), andererseits aber auch einen nur schwer bezifferbaren, aber umso nachhaltigeren
Imageschaden.
5.3
Managed Service
Der DDoS Protection Service wird im IP-Plus Business Internet Backbone als Managed Service von Swisscom
basierend auf dem vom Kunden gewünschten IP-Addressbereich aufgesetzt. Durch dieses Setup wird der
Internet Access permanent auf Anomalien überwacht und der Kunde in Abhängigkeit der definierten
Bandbreitenlimiten entsprechend alarmiert. Dem Kunden wird durch den direkten Zugriff auf das TMS ein
effizientes Instrument zur Verfügung gestellt, mit dem er den Datenverkehr in Richtung seiner Infrastruktur
detailliert analysieren und im Attackenfall sofort schützen kann. Selbstverständlich wird der Kunde dabei
von Swisscom optimal unterstützt.
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 17/18
DDoS Protection Service
(Distributed Denial of Service)
6
Glossar
Begriff
Erklärung
AS
Autonomous System
ASN
Autonomous System Number
BGP
Border Gateway Protocol
Blackhole
„Blackholes“ werden benutzt, um alle zu einem angegriffenen System gesendeten IPPakete auf das Null0-Interface zu routen.
Botnet
Unter einem Botnet wird ein fernsteuerbares Netzwerk von PCs verstanden, das durch
Würmer, Trojanische Pferde o.ä. infiziert wurde und für gezielte Angriffe missbraucht
werden kann.
CPE
Customer Premises Equipment
DDoS
Distributed Denial of Service (verteilte Verweigerung des Dienstes)
DNS
Domain Name System
GRE
Generic Routing Encapsulation (dient der Einkapselung anderer Protokolle und deren
Transport in Form eines Tunnels über IP)
HTTPS
Secure Hyper Text Transport Protocol
IP
Internet Protocol
ISP
Internet Service Provider
Mpps
Mega packets per second
OSI
Open System Interconnection (Referenzmodell für Datennetzwerke; es besteht aus
sieben Kommunikationsschichten mit unterschiedlichen Aufgaben)
PC
Personal Computer
SAP
Service Access Point
SMS
Short Message Service
SNMP
Simple Network Management Protocol (dient dem Management von
Netzwerkelementen wie Routern, Switches, Druckern etc.)
SSL
Secure Sockets Layer (Verschlüsselungsprotokoll zur sicheren Datenübertragung)
TCP
Transmission Control Protocol
TMS
Threat Management System
UDP
User Datagram Protocol
Swisscom (Schweiz) AG
Enterprise Customers
Postfach
CH - 3050 Bern
Gratisnummer
Gratisfax
E-Mail
Internet
0800 800 900
0800 800 905
Dokument
Version
White Paper DDoS
3.1
info.grossunternehmen@swisscom.com
File
BIS_IPP_WP_DDoS_mm03104-de.doc
http://www.swisscom.ch/enterprise
Datum
01.03.2016
Seite 18/18