Hybride Lösungen gegen DDoS Attacken auf DNS Infrastruktur
Automatisierte DDoS Attacken
Hochgradig automatisierte DDoS-Attacken wie die letzter Woche auf DynDNS können mit reinen Datenraten-basierten Lösungen nicht wirksam bekämpft werden, warnt das Emergency Response Team des DDoS-Spezialisten Radware. Hier sind laut Radware ebenfalls automatisierte Lösungen gefragt, die den Verkehr analysieren und Anomalien erkennen können. Oft sind hybride Lösungen, die intelligente On-Premise-Systeme mit einem leistungsfähigen Scrubbing Service in der Cloud kombinieren, die beste Lösung.
DDoS-Attacken auf DNS oder ähnliche Services bestehen in der Regel aus gültigen Anfragen, die in so großer Zahl generiert werden, dass sie die Ressourcen des angegriffenen DNS-Servers erschöpfen. Dieser ist dann für legitime Anfragen nicht mehr verfügbar. Da jede maliziöse Anfrage für sich legitim erscheint, erkennt eine rein Datenraten-basierte Lösung lediglich ein erhöhtes Verkehrsvolumen, nicht aber den Angriff, der dahinter steckt. Da sie nicht zwischen legitimen und maliziösen Anfragen unterscheiden kann, kann sie nicht gezielt die Anfragen des Angreifers blockieren. Eine genaue Analyse des eingehenden Verkehrs ist daher erforderlich.
Hohes Volumen
Hohe Volumen sind bei DNS-Servern an der Tagesordnung und die meisten DNS-Provider können laut Radware auch mehrere parallele Angriffe mit 20-60 Gbps problemlos verkraften. Angriffe mit 500 Gbps oder gar 1 Tbps dagegen stellten sie bereits vor große Probleme. Wie die Ereignisse der letzten Wochen zeigten, so Radware, können solche Angriffe relativ leicht über Botnets aus Consumer-Systemen im Internet of Things (IoT) wie etwa Überwachungskameras, digitale Videorekorder etc. geführt werden. Solche Botnets profitieren von ungesicherten Installationen und durch aggressives Scannen nach solchen Systemen können Angreifer ohne weiteres innerhalb eines Tages ein Botnet mit 100.000 Mitgliedern aufbauen.
Zur Abwehr von DDoS-Angriffen gegen DNS oder ähnliche Dienste eignet sich laut Radware eine hybride Lösung mit einem On-Premise-System und einer Cloud-Lösung. Ein On-Premise-System kann durch intelligente Analyse den Angriff trotz der für sich gültigen Anfragen erkennen und im Rahmen seiner eigenen Leistungsfähigkeit bekämpfen. Wird der Angriff dafür zu massiv, übergibt das On-Premise-System automatisiert und mit allen notwendigen Informationen über den Angriff an das Cloud-basierte Scrubbing Center.
„Attacken auf die DNS-Infrastruktur können, wie wir gesehen haben, erhebliche Konsequenzen für eine Vielzahl von Kunden des DNS Providers haben“, kommentiert Georgeta Toth, Regional Director DACH bei Radware. „Als Kunde kann man sich dagegen bis zu einem gewissen Grad durch die Zusammenarbeit mit zwei DNS Providern schützen, aber trotzdem bekommt der Schutz dieses so essentiellen Dienstes in den Zeiten des IoT eine immer höhere Bedeutung.“