Kryptocrew 05.Jan.2003
Distributed Denial of Service Angriffe
Seit den Anfängen des Internets existieren sie, die sog. "Denial-of-Service" (DoS)Angriffe, deren Ziel es ist, die Verfügbarkeit bestimmter Rechner und/oder Dienste drastisch einzuschränken. Meist wird bei dieser Form von Angriffen über das Internet versucht, durch das Ausnutzen von Schwachstellen in Betriebssystemen, Programmen und Diensten bzw. das Ausnutzen grundsätzlicher Entwurfsschwächen der verwendeten Netzwerkprotokolle, die angegriffenen Systeme zum Absturz zu bringen, oder derartig zu überlasten, daß diese Systeme ihre eigentliche Funktionalität nicht mehr erbringen können. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu stehlen oder Benutzer-Authentisierungs-Mechanismen zu umgehen, sondern Diensteanbieter lahm zu legen.
Anstelle von einzelnen Systemen, die als Ausgangspunkt eines Denial-of-Service Angriffs benutzt werden, kommt nun eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff auf einzelne Systeme oder Netzwerke zum Einsatz.
Dies nennt man DDoS Angriffe.
Die Tools sind unter Namen wie "trin00", "TFN" "Stacheldraht" "Shaft" oder "MStream" bekannt und stammen zum Teil aus Deutschland.
Funktionsweise
Da sich der Angreifer beim einem DDoS Angriff die Leistung vieler Systeme zunutze macht, können auch Sites mit sehr großen Resourcen und breitbandigen Netzverbindungen erfolgreich angegriffen werden. Ein DDoS-Netz besteht neben dem Angreifer und dem Opfer aus sog. Agenten und Handlern. Die Agenten sind die eigentlichen Angreifer. Sie werden nicht direkt vom Angreifer kontrolliert sondern über die Handler gesteuert. Der Angreifer selbst kommuniziert also nicht direkt mit dem Opfer oder den Agenten. Diese Konstruktion ist für den Angreifer aus mehrfacher Hinsicht vorteilhaft: Die Identität des Angreifers wird verschleiert und die Robustheit des DDoS-Netzes ist höher, weil die Handler in der Regel nicht alle Agenten kennen. Dadurch kann das DDoS-Netz auch Teilausfälle verkraften (z.B. durch Entdeckung einiger Agenten oder Handler). Um die Wirksamtkeit der Angriffe zu steigern, werden die Agenten häufig auf Systemen installiert, die eine Netzanbindung mit hoher Bandbreite besitzen.
Die Installation der Agents und Handler durch den Angreifer erfolgt zumeist auf Systemen, in die zuvor über Ausnutzung bekannter Schwachstellen eingebrochen wurde. Mittels sog. "Rootkits" wird zusätzlich die Existenz bzw. der Betrieb der Agents und Handler auf den kompromittierten Systemen zu verbergen versucht. Derzeit laufen die Agenten und Handler vorwiegend auf Linux und Solaris Systemen. Allerdings wurden auch schon Agenten auf WindowsNT Systemen beobachtet. Da die Tools im Sourcecode veroeffentlicht sind, ist die Anpassung an weitere UNIX oder Windows-Varianten kein Problem.
Angriffstechniken
- UDP Packet Storm: eine große Anzahl von (korrekten) UDP-Paketen wird an ein fremdes System geschickt, welches unter der Last ausfallen kann.
- TCP SYN Flooding: auf einem fremden System wird eine große Anzahl von (gefälschten) TCP-Verbindungen aufgebaut, die bereits während des Verbindungsaufbaus wieder unterbrochen werden. Diese "halb offenenen" Verbindungen blockieren dann das System.
- PING-Flooding: ein fremdes System wird mit (gefälschten) IP- Kontrollnachrichten (ICMP-Echo-Reply Paketen) belastet; diese Nachrichten samt der erzeugten Anwort-Pakete können ein komplettes Subnetz erheblich belasten.
Zusätzlich fälschen die Agenten die Absender-IP-Adressen (IP Spoofing genannt), so daß es nicht möglich ist, den Rechner Agenten während oder nach dem Angriff anhand der Absender-IP-Adresse zu bestimmen.
Smurf ist eine Variante des ICMP-Flutens mit ICMP Echo Reply Paketen, bei der der Angreifer zunächst ein ICMP Echo Request Paket an die Broadcast Adresse eines Teilnetzes schickt. Als Absendeadresse wird die des Opfers angegeben, so daß die Antworten der angesprochenen Systeme das Netz bzw. System des Opfers überfluten. So kann ein Angreifer trotz evtl. nur geringer ihm zur Verfügung stehender Bandbreite auch groß dimensionierte Netze blockieren. Netze, in denen der dafür benötigte directed Broadcast möglich ist, bezeichnet man auch als Smurf Amplifier. Da kaum eine Anwendung einen directed Broadcast benötigt, empfiehlt es sich, diesen in den Routern abzuschalten. So kann der Mißbrauch der eigenen Subnetze in dieser Art DoS Angriffen verhindert werden.
Schutzmaßnahmen
Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von offenen Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich. Denn offene Systeme sind ja gerade dafür gedacht, daß sie Kommunikation mit praktisch jedem System zulassen und dynamisch auf Lastschwankungen reagieren.
Nahezu alle bekannten Maßnahmen konzentrieren sich darauf, den Mißbrauch eigener Systeme und Netze für einen DDoS-Angriff zu verhindern. Es exisitieren nur wenige Maßnahmen, mit denen die Angriffsfolgen abgeschwächt werden können oder zumindest die Aufarbeitung von DDoS-Angriffen zu erleichtert wird. Um den Mißbrauch eigener Systeme bei DDoS-Angriffen zu verhindern, sollten diese vor allem gegen Einbrüche gesichert werden. Wo dies nicht vollständig möglich ist, bieten sich auch Tools an, die DDoS Agenten und Handler aufspüren können. Desweiteren sollte darauf geachtet werden, dass ein einspielen verschiedener Sicherheitspatches regelmäßig kontrolliert und durchgeführt wird.
Es sollten nur die unbedingt benötigten Softwarepakete auf dem System installiert sein. Alle nicht notwendigen Dienste sollten abgeschaltet werden. Denn was nicht vorhanden bzw. aktiviert ist, kann auch nicht angegriffen werden. Ebenso sollten nur die unbedingt notwendigen Nutzer Zugang zu den Systemen haben und alle Programme nur mit den unbedingt zur Durchführung ihrer Aufgabe notwendigen Zugriffsrechten ausgestattet werden (Least Privilege Principle).
Werden Dienste, die nur im lokalen Netz verwendet werden (z. B. Netzwerk Dateisysteme oder E-mail Protokolle wie POP-3 oder IMAP) in ihrer Erreichbarkeit auf den lokalen IP-Adreßbereich eingeschränkt, können diese Dienste aus dem Internet nicht angegriffen werden. Dies kann mit Paketfiltern in Routern und Firewalls ebenso geschehen wie auf den Systemen selbst. Nach wie vor finden Einbrüche durch Mitlesen von Usernamen und Passworten im Netz mit Hilfe sog. Sniffer statt. Entsprechende Tools, die eine verschlüsselte Kommunikation erlauben (z. B. ssh) sind seit langem verfügbar und sollten üblichen Klartext Protokollen wie Telnet, FTP oder rsh vorgezogen werden.
Übrigens sind für die Ausführung von DDoS-Tools Root-Rechte nicht zwingend notwendig. Die Tools können auch mit den Rechten nicht priviligierter Nutzer ablaufen. Allerdings sind sie dann in ihrer Nützlichkeit für den Angreifer eingeschränkt, weil ein Teil der Funktionalität nicht zur Verfügung steht, so z. B. das Fälschen der Absender IP-Adressen oder Angriffsmethoden, deren Ausführung die Konstruktion unzulässiger IP-Pakete beinhaltet.
Ähnlich zu den Scannen nach laufenden DDoS Tools verhät sich die Suche nach Datenmustern im Netzverkehr, wie sie von DDoS Tools bei der Kommunikation oder während eines Angriffs erzeugt werden. Auch hier werden in der Regel nur DDoS Tools in der Default Konfiguration bemerkt. Die meisten Intrusion Detection Systeme verfügen mittlerweile über ein Modul zu Erkennung von DDoS Verkehr. Ein einfaches, frei verfügbares IDS ist snort, das ebenfalls DDoS Verkehrsmuster erkennen kann. Damit bilden Scanner und ID-Systeme eine sinnvolle Ergänzung zur Sicherung der Rechner selbst.
Maßnahmen zur Aufklärung und Schwächung eines Angriffes
Zwei Hauptprobleme stellen sich während eines DDoS-Angriffes: Erstens ist die Ermittlung der angreifenden Agenten durch das Fälschen der Absender IP-Adressen sehr schwierig und zweitens muß die Abwehr möglichst nahe an der Quelle (den Agenten) des DDoS Angriffsdatenstroms erfolgen. Die Abwehr am Netzübergang zum Opfer greift nicht mehr, da die Überflutung hier bereits eingetreten ist. Idealerweise sollten die Angriffspakete schon in dem Netz abgefangen werden, in dem sich der Agent befindet oder beim Internet Service Provider dieses Netzes.
Kommt es trotz Absicherung des eigenen Netzes zum Mißbrauch der Systeme in DDoS Angriffen, so kann wenigstens das Fälschen der Absender IP-Adressen eingeschränkt werden. Eine einfache Möglichkeit bildet das sog. Egress Filtering, welches besonders einfach am Ausgang eines LANs oder Corporate Networks implementiert werden kann. Mittels eines Paketfilters werden nur diejenigen IP-Pakete ins Internet gelassen, deren Absender-IP-Adresse aus dem eigenen Netzbereich stammt. IP-Spoofing ist damit zwar nicht gänzlich unterbunden (der Angreifer kann immer noch die Absender-IP-Adresse auf eine andere IP-Adresse im jeweiligen Netzbereich ändern) aber doch so stark eingeschränkt, das ein IP-Paket wieder eindeutig einer administrativen Domain zugeordnet werden kann. Ebenso können Netzbetreiber (speziell ISPs) am Netzeingang IP-Pakete mit Absenderadressen ausfiltern, die nicht aus dem den Kunden zugeteilten Netzbereich stammen. Diese Methode wird als Eingangsfilterung oder Ingress Filtering bezeichnet und ist in RFC 2827 beschrieben. Damit wird zweierlei erreicht: Zum einen läßt sich die Quelle von DDoS Datenverkeher, ob von Agenten oder Handlern, schneller aufspüren, was die Aufarbeitung des Angriffs erleichtert. Zum anderen ist das eigene Netz dadurch weniger attraktiv für Angreifer. Die Funktionalität der eigenen Netze wird dadurch in keiner Weise eingeschränkt.
Es ist illusorisch anzunehmen, daß das gesamte Internet zu sichern wäre. Selbst wenn alle vorgestellten Maßnahmen umgesetzt würden, liessen sich damit DDoS-Attacken nicht vollständig verhindern. Aber die Auswirkungen lassen sich teilweise einschränken und die Aufarbeitung erleichtern.
Liste für weiterführende Informationen
Analysen und eine Liste der betroffenen .com Sites, RFC2827 : Network
Ingress Filtering, Kommentar
von Bruce Schneier zu DDoS Angriffen, Packetstorm, AusCERT, Dave Dittrich analysiert Stacheldraht(Weitere Analysen sind auch unter "misc" zu lesen).
Copyright (mm)
Quellen:
Cert
Brainpro
Packetstorm
ISS
Cisco
Herzlichen Dank auch an:
Marko R.,
Klaus Möller und Stefan Kelm