MTE erklärt: Wie DDoS-Schutz funktioniert
Im Laufe der Jahre war Distributed Denial of Service (DDoS) eine äußerst zuverlässige Methode, um sicherzustellen, dass ein gehosteter Dienst (wie eine Website oder ein Dienst wie das PlayStation Network) zumindest für eine Weile nicht das Licht der Welt erblickt.
Die Macht, die diese Angriffe ausüben, macht die Menschen neugierig auf die Mechanismen, die hinter ihnen stehen, weshalb wir uns die Zeit genommen haben, ihre Funktionsweise zu erklären und sogar so weit gegangen sind, zu demonstrieren, wie gewaltig einige dieser Angriffe werden können, bis zu dem Punkt Einer von ihnen kann sogar ganze Bereiche des Internets für Millionen von Menschen herausnehmen. Es gibt jedoch nur wenige öffentliche Diskussionen darüber, wie die Gegenmaßnahme (zB DDoS-Schutz) funktioniert.
Das Problem beim Diskutieren des DDoS-Schutzes
Das Internet ist eine riesige Ansammlung von Netzwerken, die über eine riesige, unordentliche Leere miteinander verbunden sind. Es gibt Billionen kleiner Päckchen, die mit fast Lichtgeschwindigkeit überall auf der Welt unterwegs sind. Um sein desorientierendes und mysteriöses Innenleben zu verstehen, ist das Internet in Gruppen aufgeteilt. Diese Gruppen sind oft in Untergruppen aufgeteilt und so weiter.
Dies macht die Diskussion über den DDoS-Schutz etwas kompliziert. Die Art und Weise, wie sich ein Heimcomputer vor DDoS schützt, ist ähnlich und unterscheidet sich ein wenig von der Art, wie es ein Rechenzentrum eines Multimillionen-Dollar-Unternehmens tut. Und wir haben noch nicht einmal Internet Service Provider (ISPs) erreicht. Es gibt ebenso viele Möglichkeiten, den DDoS-Schutz zu klassifizieren, als die verschiedenen Teile des Internets mit seinen Milliarden von Verbindungen, seinen Clustern, seinen kontinentalen Austauschen und seinen Subnetzen zu klassifizieren.
Lassen Sie uns nach all dem, was gesagt wird, einen chirurgischen Ansatz versuchen, der alle relevanten und wichtigen Details der Angelegenheit berührt.
Das Prinzip des DDoS-Schutzes
Wenn Sie dies ohne ein klares Wissen darüber lesen, wie DDoS funktioniert, empfehle ich Ihnen, die Erklärung zu lesen, mit der ich früher verlinkt habe, sonst könnte es etwas überwältigend werden. Es gibt zwei Dinge, die Sie mit einem eingehenden Paket tun können: Sie können es entweder ignorieren oder umleiten . Sie können nicht verhindern, dass es ankommt, weil Sie keine Kontrolle über die Quelle des Pakets haben. Es ist bereits hier und Ihre Software möchte wissen, was damit zu tun ist.
Dies ist eine universelle Wahrheit, an die wir uns alle halten und die ISPs einschließt, die uns mit dem Internet verbinden. Das ist der Grund, warum so viele Angriffe erfolgreich sind: Da Sie das Verhalten der Quelle nicht kontrollieren können, kann die Quelle Ihnen genug Pakete senden, um Ihre Verbindung zu überlasten.
Wie Software und Router (Home Systems) es tun
Wenn Sie eine Firewall auf Ihrem Computer laufen lassen oder Ihr Router eine hat, bleiben Sie normalerweise einem Grundprinzip treu: Wenn DDoS-Verkehr hereinfliegt, erstellt die Software eine Liste von IPs, die mit unzulässigem Datenverkehr kommen.
Dies geschieht, indem Sie bemerken, wenn Ihnen etwas eine Menge unnützer Daten oder Verbindungsanforderungen mit einer unnatürlichen Häufigkeit sendet, beispielsweise mehr als fünfzig Mal pro Sekunde. Es blockiert dann alle Transaktionen, die von dieser Quelle kommen. Indem Sie sie blockieren, muss Ihr Computer keine zusätzlichen Ressourcen für die Interpretation der darin enthaltenen Daten ausgeben. Die Nachricht kommt einfach nicht an ihr Ziel. Wenn Sie von der Firewall eines Computers blockiert werden und versuchen, eine Verbindung zu ihm herzustellen, erhalten Sie ein Zeitlimit für die Verbindung, da alles, was Sie senden, einfach ignoriert wird.
Dies ist ein wunderbarer Weg, um vor Single-IP-Denial-of-Service-Angriffen (DoS) zu schützen, da der Angreifer bei jedem Check-in einen Verbindungs-Timeout sehen wird, um zu sehen, ob seine Arbeit Fortschritte macht. Bei einem verteilten Denial-of-Service funktioniert dies, weil alle Daten, die von den angreifenden IPs kommen, ignoriert werden.
Es gibt ein Problem mit diesem Schema.
In der Welt des Internets gibt es kein "passives Blockieren". Sie benötigen Ressourcen, selbst wenn Sie ein Paket ignorieren, das auf Sie zukommt. Wenn Sie Software verwenden, stoppt die Angriffsstelle an Ihrem Computer, läuft aber dennoch wie eine Kugel durch Papier durch Ihren Router. Das bedeutet, dass Ihr Router unermüdlich daran arbeitet, alle unrechtmäßigen Pakete in Ihre Richtung zu leiten.
Wenn Sie die Firewall des Routers verwenden, hört alles dort auf. Aber das bedeutet immer noch, dass Ihr Router die Quelle jedes Pakets scannt und dann die Liste blockierter IPs iteriert, um zu sehen, ob sie ignoriert oder durchgelassen werden soll.
Stellen Sie sich nun vor, Ihr Router müsste das, was ich gerade erwähnt habe, millionenfach pro Sekunde ausführen. Ihr Router verfügt über eine begrenzte Verarbeitungsleistung. Sobald es dieses Limit erreicht, wird es Schwierigkeiten haben, legitimen Datenverkehr zu priorisieren, egal welche fortschrittlichen Methoden es verwendet.
Lassen Sie uns das alles beiseite legen, um ein anderes Thema zu besprechen. Angenommen, Sie haben einen magischen Router mit einer unendlichen Menge an Verarbeitungsleistung, Ihr ISP gibt Ihnen immer noch eine begrenzte Menge an Bandbreite. Sobald diese Bandbreitenbegrenzung erreicht ist, werden Sie selbst die einfachsten Aufgaben im Web nicht mehr bewältigen können.
Die ultimative Lösung für DDoS ist also eine unendliche Verarbeitungsleistung und eine unendliche Bandbreite an Bandbreite. Wenn jemand herausfindet, wie man das erreicht, sind wir golden!
Wie große Unternehmen mit ihren Lasten umgehen
Die Schönheit, mit der Unternehmen mit DDoS umgehen, liegt in ihrer Eleganz: Sie nutzen ihre vorhandenen Infrastrukturen, um Bedrohungen entgegenzuwirken. In der Regel erfolgt dies entweder über einen Load Balancer, ein Content Distribution Network (CDN) oder eine Kombination aus beidem. Kleinere Websites und Dienste könnten dies an Dritte weitergeben, wenn sie nicht über das nötige Kapital verfügen, um eine so umfangreiche Serverauswahl zu gewährleisten.
Mit einem CDN wird der Inhalt einer Website in ein großes Netzwerk von Servern kopiert, die über viele geografische Gebiete verteilt sind. Dadurch wird die Website schnell geladen, unabhängig davon, wo Sie sich auf der Welt befinden, wenn Sie eine Verbindung zu ihr herstellen.
Load Balancer ergänzen dies, indem sie Daten neu verteilen und in verschiedenen Servern katalogisieren. Dabei wird der Datenverkehr nach dem für den jeweiligen Auftrag am besten geeigneten Servertyp priorisiert. Server mit geringerer Bandbreite und großen Festplatten können große Mengen kleiner Dateien verarbeiten. Server mit enormen Bandbreitenanschlüssen können das Streaming größerer Dateien bewältigen. (Denken Sie an "YouTube".)
Und so funktioniert es
Siehst du, wohin ich damit gehe? Wenn eine Attacke auf einem Server landet, kann der Load-Balancer den DDoS verfolgen und ihn weiter auf diesen Server schlagen lassen, während er den gesamten legitimen Datenverkehr an anderer Stelle im Netzwerk weiterleitet. Die Idee hier ist, ein dezentrales Netzwerk zu Ihrem Vorteil zu nutzen, Ressourcen dort zuzuweisen, wo sie benötigt werden, damit die Website oder der Dienst weiterlaufen kann, während der Angriff auf einen "Lockvogel" gerichtet ist. Ziemlich clever, nicht wahr?
Da das Netzwerk dezentralisiert ist, erhält es einen deutlichen Vorteil gegenüber einfachen Firewalls und dem Schutz, den die meisten Router bieten können. Das Problem hier ist, dass Sie eine Menge Geld benötigen, um Ihre eigene Operation zu starten. Während sie wachsen, können sich Unternehmen auf größere spezialisierte Anbieter verlassen, um ihnen den Schutz zu geben, den sie benötigen.
Wie die Behemoths es tun
Wir haben kleine Heimnetzwerke besucht und uns sogar ins Reich der Megakonzerne begeben. Es ist jetzt an der Zeit, in die letzte Phase dieser Aufgabe zu gehen: Wir werden uns ansehen, wie die Unternehmen, die Ihnen eine Internetverbindung bieten, sich davor schützen, in einen dunklen Abgrund zu geraten. Das wird ein wenig kompliziert, aber ich werde versuchen, so knapp wie möglich zu sein, ohne eine sabbernde These über verschiedene DDoS-Schutzmethoden.
ISPs haben ihre eigenen einzigartigen Möglichkeiten, Verkehrsschwankungen zu bewältigen. Die meisten DDoS-Angriffe registrieren sich kaum in ihren Radargeräten, da sie Zugriff auf eine nahezu unbegrenzte Bandbreite haben. Ihr täglicher Datenverkehr von 19 bis 23 Uhr (auch "Internet Rush Hour" genannt) erreicht Werte, die weit über die Bandbreite liegen, die Sie von einem durchschnittlichen DDoS-Stream erhalten würden.
Natürlich, da es sich um das Internet handelt, gibt es (und gab es oft) Gelegenheiten, bei denen der Verkehr mehr ist als nur ein Blip auf dem Radar.
Diese Angriffe kommen mit Sturmwind und versuchen, die Infrastruktur kleiner ISPs zu überfordern. Wenn Ihr Provider die Augenbrauen hochzieht, greift er schnell auf ein Arsenal von Werkzeugen zurück, um diese Bedrohung zu bekämpfen. Denken Sie daran, diese Leute haben enorme Infrastrukturen zur Verfügung, so dass es viele Möglichkeiten gibt, wie dies gehen kann. Hier sind die häufigsten:
- Remote Triggered Black Hole - Es klingt wie etwas aus einem Science-Fiction-Film, aber RTBH ist eine echte Sache, die von Cisco dokumentiert wurde. Es gibt viele Möglichkeiten, dies zu tun, aber ich gebe Ihnen die "schnelle und schmutzige" Version: ein ISP wird mit dem Netzwerk, aus dem der Angriff kommt, kommunizieren und ihm mitteilen, dass er den ausgehenden Datenverkehr blockiert, der in seine Richtung geschleudert wird. Es ist einfacher, den ausgehenden Datenverkehr zu blockieren, als eingehende Pakete zu blockieren. Sicher, alles vom Ziel-ISP wird nun so aussehen, als sei es für die Leute offline, die sich von der Quelle des Angriffs einklinken, aber es erledigt den Job und erfordert nicht viel Ärger. Der Rest des weltweiten Verkehrs bleibt unberührt.
- Scrubber - Einige sehr massive ISPs verfügen über Rechenzentren, die voll mit Verarbeitungsgeräten ausgestattet sind, die Verkehrsmuster analysieren können, um legitimen Datenverkehr aus DDoS-Datenverkehr herauszufiltern. Da es viel Rechenleistung und eine etablierte Infrastruktur benötigt, greifen kleinere ISPs häufig auf eine Auslagerung dieser Aufgabe an ein anderes Unternehmen zurück. Der Datenverkehr auf dem betroffenen Sektor durchläuft einen Filter und die meisten DDoS-Pakete werden blockiert, während zulässiger Datenverkehr zugelassen wird. Dies gewährleistet den normalen Betrieb des ISP auf Kosten von großen Mengen an Rechenleistung.
- Etwas Traffic-Voodoo - Mit einer Methode, die als "Traffic-Shaping" bekannt ist, rammt der ISP einfach alles, was der DDoS-Angriff mit sich bringt, in seine Ziel-IP, während alle anderen Knoten in Ruhe gelassen werden. Dies wird im Grunde das Opfer unter den Bus werfen, um den Rest des Netzwerks zu speichern. Es ist eine sehr hässliche Lösung und oft die letzte, die ein ISP verwenden wird, wenn sich das Netzwerk in einer ernsten Krise befindet, und es braucht schnelle, entschlossene Maßnahmen, um das Überleben des Ganzen zu sichern. Betrachten Sie es als "die Bedürfnisse der vielen überwiegen die Bedürfnisse der wenigen" -Szenario.
Das Problem mit DDoS ist, dass seine Effektivität mit den Verbesserungen der Computerleistung und der Bandbreitenverfügbarkeit einhergeht. Um diese Bedrohung wirklich zu bekämpfen, müssen wir fortschrittliche Netzwerkmodifikationsmethoden verwenden, die weit über die Fähigkeiten des durchschnittlichen Heimbenutzers hinausgehen. Es ist wahrscheinlich gut, dass Haushalte nicht oft direkte Ziele von DDoS sind!
Übrigens, wenn Sie sehen möchten, wo diese Angriffe in Echtzeit stattfinden, sehen Sie sich die Digital Attack Map an.
Sind Sie jemals Opfer solcher Angriffe in Ihrem Haus oder an Ihrem Arbeitsplatz geworden? Erzähl uns deine Geschichte in einem Kommentar!