DDoS Mitigation – Amazon und Black Friday

Ich möchte mit einer Geschichte zum Black Friday anfangen. Gewisse Mitmenschen können es ja kaum erwarten bis der Black Friday anfängt und werden zu regelrechten „Schnäppchen“-Jägern, andere möchten diesen US-importierten Event gerade wieder abschaffen. Auf jeden Fall ist der Black Friday ein spezieller Tag, an welchem die Geschäfte einen beträchtlichen Umsatz erzielen wollen. So auch Amazon. Wieso Amazon?

Tja vor ein paar Jahren machte der Online Gigant sich Gedanken, wie sie so viele Anfragen an einem Tag auf ihrer Verkaufsplattform verarbeiten könnten und so vergrösserten sie daraufhin ihre Datacenter. Alles lief gut, es gab keine Engpässe, aber das Management wollte während des restlichen Jahres die vielen brachliegenden Ressourcen des eigenen Datacenters monetarisieren. So entwickelte man Services und Möglichkeiten die Rechenkapazität während des Jahres zu vermieten.

AWS war geboren.

Heute nennt man dies «Cloud». Und um das kurzzeitige vergrössern der einen Verfügbarkeit zu ermöglichen, werden gleichzeitig mehrere virtuelle Maschinen (z.B. Webserver) gestartet (Autoscaling). So ist auch während Zeiten grosser Nachfrage (z.B. Black Friday) eine hohe Verfügbarkeit gewährleistet.

Autoscaling ist eine Möglichkeit um den eigenen Service stets verfügbar zu halten. Leider birgt auch diese Lösung Schwächen, z.B. kann sie zu extremen Kosten führen, wenn ein DDoS Angriff stattfindet und die Leistung irgendwie doch nur endlich skalierbar ist.

Gemäss Wikipedia ist eine DoS („Denial of Service“) Attacke als mutwillige und durch eine Vielzahl von gezielten Anfragen an ein Rechensystem definiert, mit dem Ziel den Service zu blockieren. DDoS („Distributed DoS“) ist dann ein verteilter, d.h. von verschiedenen Quellen aus durchgeführter, Angriff.

Ursprünglich erfolgten Angriffe auf der Netzwerkebene, später dann auf der Anwendungsebene. In der Regel werden „gekaperte“ Rechner, sogenannte Bot-Netze, verwendet oder man bringt schlecht konfigurierte Drittsysteme, z.B. Open DNS Resolver, dazu, Antworten an eine „gespoofte“ Adresse zu schicken. Aktuell sind Angriffsdatenvolumina von mehreren Gbps oder sogar mehreren Tbps möglich. Eine AWS hat im Februar 2020 eine 2.3 Tbps UDP DDoS Attacke beobachtet:

Da gibt es beliebig viele Gründe wie zum Beispiel Erpressung von Bitcoins, Ruhm und Ehre, politische und religiöse Motivationen, Reputationsverlust herbeiführen (z.B. einen Mitbewerber schädigen), staatliche Angriffe (Cyber War) usw. oder der Angriff ist nur ein Ablenkungsmanöver während einer Spoofing Attacke.

Ja!

Kein Unternehmen ist zu klein oder unbedeutend um ein DDoS Opfer zu werden. Schliesslich wählt der Angreifer sein Ziel aus. Auch in der Schweiz gab und wird es auch zukünftig DDoS Angriffe geben. Hier ein paar bekannte Beispiele:

• • 2016 Digitec, LeShop, Coop, Interdiscount,
    Microspot, SBB und das Schweizerische Parlament
  • 2019 NZZ, 20Minuten und Watson
  • 2020 Swisscom und SwissSign Group

Hier eine Übersicht über aktuell laufende DDoS Angriffe: www.digitalattackmap.com

Im Blog Artikel «DDoS Lösungen für dich und mich» (www.tec-bite.ch/ddos-loesungen-fuer-dich-und-mich) wurden schon diverse Lösungen vorgestellt.

Aus meiner Sicht ist bei volumenbasierten Attacken das teure Scrubbing-Center die erfolgversprechendste Lösung. Bei „low and slow“ Angriffen (wie z.B.: Slowloris (de.wikipedia.org/wiki/Slowloris) oder R.U.D.Y. (de.wikipedia.org/wiki/R-U-Dead-Yet), wo mit möglichst wenig Ressourcen die Verbindungen zum Webserver möglichst lange offen halten, ist der Einsatz einer on-prem DDoS Lösung oder eines WAF’s notwendig.

Grundsätzlich ist aber meist eine ganzheitliche Analyse der Umgebung notwendig, um dann die geeigneten (vorbeugenden) Massnahmen zu treffen. Dazu gehört auch die Festlegung der Abläufe bei einem Angriff.

Eventuell sollte man sich auch mal neue Lösungen (Zscaler’s VPN Alternative ZPA: www.avantec.ch/loesungen/zscaler/zscaler-private-access) anschauen, welche keine Angriffsfläche für DDoS Angriffe bieten, da nur ausgehende Verbindungen aufgebaut werden.

Übrigens gemäss Schweizerischem Recht ist eine DoS Attacke als das Unbrauchbarmachen von Daten und Datenbeschädigung nach Art. 144bis StGB strafbar und kann mit einer Geldstrafe oder einer Freiheitsstrafe bis zu drei Jahren, im Qualifikationsfall (grosser Schaden) mit einer Freiheitsstrafe von einem Jahr bis zu fünf Jahren geahndet werden. In den USA gibt’s im schlimmsten Fall bis zu zehn Jahren Haft und bis zu einer halben Million Dollar Busse.

Abschliessend hier noch meine Link-Empfehlungen zum Thema DDoS:

• • www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/massnahmen-gegen-ddos-attacken.html
  • www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/DDoS/DDoS_node.html
  • www.avantec.ch/themen/ddos-schutz