Routech.ro explică: Cum funcționează protecția DDoS

RouTech erklärt: Wie DDoS-Schutz funktioniert

Im Laufe der Jahre war Distributed Denial of Service (DDoS) eine äußerst zuverlässige Methode, um sicherzustellen, dass ein gehosteter Dienst (wie eine Website oder Einige Dienste wie das PlayStation Network) sieht zumindest für eine Weile nicht das Licht der Welt.

Die Macht, die diese Angriffe ausüben, macht die Leute neugierig auf die Mechanismen, die dahinter stehen. Deshalb haben wir uns die Zeit genommen, um zu erklären, wie sie funktionieren, und sogar gründlich demonstriert, wie enorm einige dieser Angriffe sein können, bis zu dem Punkt, dass Einer von ihnen kann sogar ganze Bereiche des Internets für Millionen von Menschen ausschalten. Es gibt jedoch kaum öffentliche Diskussionen darüber, wie die Gegenmaßnahme (z. B. DDoS-Schutz) funktioniert.

Das Problem bei der Diskussion des DDoS-Schutzes

Das Internet ist eine riesige Anzahl von Netzwerken, die über eine riesige, unordentliche Leere miteinander verbunden sind. Überall auf der Welt reisen Billionen kleiner Päckchen mit nahezu Lichtgeschwindigkeit. Um das verwirrende und mysteriöse Innenleben zu verstehen, ist das Internet in Gruppen unterteilt. Diese Gruppen werden häufig in Untergruppen usw. aufgeteilt.

Dies macht die Diskussion über den DDoS-Schutz tatsächlich etwas kompliziert. Die Art und Weise, wie sich ein Heimcomputer vor DDoS schützt, ähnelt und unterscheidet sich geringfügig von der Art und Weise, wie das Rechenzentrum eines Unternehmens mit mehreren Millionen Dollar dies tut. Und wir haben noch nicht einmal Internet Service Provider (ISPs) erreicht. Es gibt ebenso viele Möglichkeiten, den DDoS-Schutz zu klassifizieren wie die verschiedenen Teile des Internets mit seinen Milliarden von Verbindungen, seinen Clustern, seinen kontinentalen Börsen und seinen Subnetzen.

Versuchen wir nach all dem einen chirurgischen Ansatz, der alle relevanten und wichtigen Details der Angelegenheit berührt.

Das Prinzip des DDoS-Schutzes

Wenn Sie dies lesen, ohne genau zu wissen, wie DDoS funktioniert, empfehlen wir Ihnen, die Erklärung zu lesen, auf die ich zuvor verwiesen habe, da es sonst etwas überwältigend werden kann. Mit einem eingehenden Paket können Sie zwei Dinge tun: Sie können es auch ignoriere es oder leite es um. Sie können nicht einfach verhindern, dass es ankommt, da Sie keine Kontrolle über die Quelle des Pakets haben. Es ist bereits da und Ihre Software möchte wissen, was Sie damit tun sollen.

Dies ist eine universelle Wahrheit, an die wir uns alle halten, und sie schließt die ISPs ein, die uns mit dem Internet verbinden. Aus diesem Grund sind so viele Angriffe erfolgreich: Da Sie das Verhalten der Quelle nicht kontrollieren können, kann die Quelle Ihnen genügend Pakete senden, um Ihre Verbindung zu überfordern.

Wie Software und Router (Heimsysteme) dies tun

ddosprotection-router

Wenn Sie eine Firewall auf Ihrem Computer ausführen oder Ihr Router über eine verfügt, stecken Sie normalerweise nach einem Grundprinzip fest: Wenn DDoS-Datenverkehr einfliegt, erstellt die Software eine Liste der IP-Adressen, die mit unzulässigem Datenverkehr eingehen.

Dies geschieht, indem Sie bemerken, wenn Ihnen etwas eine Menge Mülldaten oder Verbindungsanfragen mit einer unnatürlichen Häufigkeit sendet, beispielsweise mehr als fünfzig Mal pro Sekunde. Anschließend werden alle Transaktionen blockiert, die von dieser Quelle stammen. Wenn Sie sie blockieren, muss Ihr Computer keine zusätzlichen Ressourcen für die Interpretation der darin enthaltenen Daten aufwenden. Die Nachricht schafft es einfach nicht an ihr Ziel. Wenn Sie von der Firewall eines Computers blockiert werden und versuchen, eine Verbindung herzustellen, wird ein Verbindungszeitlimit angezeigt, da alles, was Sie senden, einfach ignoriert wird.

Dies ist eine wunderbare Möglichkeit, sich vor DoS-Angriffen (Single IP Denial of Service) zu schützen, da der Angreifer bei jedem Einchecken ein Verbindungszeitlimit feststellt, um festzustellen, ob seine Handarbeit Fortschritte macht. Bei einem verteilten Denial-of-Service funktioniert dies, da alle Daten, die von den angreifenden IPs stammen, ignoriert werden.

Es gibt ein Problem mit diesem Schema.

In der Welt des Internets gibt es kein „passives Blockieren“. Sie benötigen Ressourcen, auch wenn Sie ein auf Sie zukommendes Paket ignorieren. Wenn Sie Software verwenden, stoppt der Angriffspunkt an Ihrem Computer, geht aber dennoch wie eine Kugel durch Papier durch Ihren Router. Das bedeutet, dass Ihr Router unermüdlich daran arbeitet, alle illegitimen Pakete in Ihre Richtung zu leiten.

Wenn Sie die Firewall des Routers verwenden, stoppt dort alles. Dies bedeutet jedoch weiterhin, dass Ihr Router die Quelle jedes Pakets durchsucht und anschließend die Liste der blockierten IP-Adressen durchläuft, um festzustellen, ob sie ignoriert oder durchgelassen werden sollen.

Stellen Sie sich nun vor, Ihr Router muss millionenfach pro Sekunde das tun, was ich gerade erwähnt habe. Ihr Router verfügt über eine begrenzte Verarbeitungsleistung. Sobald es diese Grenze erreicht hat, wird es Probleme haben, legitimen Datenverkehr zu priorisieren, unabhängig davon, welche erweiterten Methoden es verwendet.

Lassen Sie uns all dies beiseite legen, um ein anderes Problem zu diskutieren. Angenommen, Sie haben einen magischen Router mit unendlich viel Rechenleistung, dann gibt Ihnen Ihr ISP immer noch eine begrenzte Bandbreite. Sobald diese Bandbreitenbeschränkung erreicht ist, werden Sie Schwierigkeiten haben, selbst die einfachsten Aufgaben im Web zu erledigen.

Die ultimative Lösung für DDoS besteht also darin, unendlich viel Rechenleistung und unendlich viel Bandbreite zu haben. Wenn jemand herausfindet, wie das geht, sind wir golden!

Wie große Unternehmen mit ihren Lasten umgehen

ddosprotection-Rechenzentrum

Das Schöne am Umgang von Unternehmen mit DDoS liegt in seiner Eleganz: Sie nutzen ihre vorhandenen Infrastrukturen, um den Bedrohungen entgegenzuwirken, die auf sie zukommen. Normalerweise erfolgt dies entweder über einen Load Balancer, ein Content Distribution Network (CDN) oder eine Kombination aus beiden. Kleinere Websites und Dienste können dies an Dritte auslagern, wenn sie nicht über das Kapital verfügen, um eine derart umfangreiche Reihe von Servern zu warten.

Mit einem CDN wird der Inhalt einer Website in ein großes Netzwerk von Servern kopiert, die über viele geografische Gebiete verteilt sind. Dadurch wird die Website schnell geladen, unabhängig davon, wo Sie sich auf der Welt befinden, wenn Sie eine Verbindung herstellen.

Load Balancer ergänzen dies, indem sie Daten neu verteilen und auf verschiedenen Servern katalogisieren und den Datenverkehr nach dem für den Job am besten geeigneten Servertyp priorisieren. Server mit geringerer Bandbreite und großen Festplatten können große Mengen kleiner Dateien verarbeiten. Server mit enormen Bandbreitenverbindungen können das Streaming größerer Dateien verarbeiten. (Denken Sie an “YouTube”.)

Und so funktioniert es

Sehen Sie, wohin ich damit gehe? Wenn ein Angriff auf einem Server landet, kann der Load Balancer den DDoS verfolgen und ihn weiterhin auf diesen Server treffen lassen, während der gesamte legitime Datenverkehr an eine andere Stelle im Netzwerk umgeleitet wird. Hier geht es darum, ein dezentrales Netzwerk zu Ihrem Vorteil zu nutzen und Ressourcen dort zuzuweisen, wo sie benötigt werden, damit die Website oder der Dienst weiter ausgeführt werden kann, während der Angriff auf einen „Lockvogel“ gerichtet ist. Ziemlich schlau, oder?

Da das Netzwerk dezentralisiert ist, hat es einen erheblichen Vorteil gegenüber einfachen Firewalls und dem Schutz, den die meisten Router bieten können. Das Problem hierbei ist, dass Sie viel Geld benötigen, um Ihren eigenen Betrieb zu starten. Während sie wachsen, können sich Unternehmen auf größere spezialisierte Anbieter verlassen, um ihnen den Schutz zu bieten, den sie benötigen.

Wie die Giganten es tun

ddosprotection-Faser

Wir haben kleine Heimnetzwerke bereist und uns sogar in das Reich der Megakonzerne gewagt. Es ist jetzt an der Zeit, in die letzte Phase dieser Suche einzutreten: Wir werden untersuchen, wie genau die Unternehmen, die Ihnen eine Internetverbindung bieten, sich davor schützen, in einen dunklen Abgrund zu geraten. Dies wird ein wenig kompliziert, aber ich werde versuchen, so präzise wie möglich zu sein, ohne eine sabbernde These zu verschiedenen DDoS-Schutzmethoden.

ISPs haben ihre eigenen einzigartigen Möglichkeiten, mit Verkehrsschwankungen umzugehen. Die meisten DDoS-Angriffe werden kaum auf ihren Radargeräten registriert, da sie Zugriff auf eine nahezu unbegrenzte Bandbreite haben. Ihr täglicher Datenverkehr zwischen 19 und 23 Uhr (auch bekannt als “Internet Rush Hour”) erreicht Werte, die weit über der Bandbreite liegen, die Sie von einem durchschnittlichen DDoS-Stream erhalten würden.

Da es sich um das Internet handelt, über das wir sprechen, gibt es natürlich (und gab es oft) Gelegenheiten, in denen der Verkehr viel mehr als nur ein Ausrutscher auf dem Radar ist.

Diese Angriffe kommen mit Sturmwind und versuchen, die Infrastruktur kleinerer ISPs zu überwältigen. Wenn Ihr Provider die Augenbrauen hochzieht, greift er schnell auf ein Arsenal an Tools zu, die ihm zur Bekämpfung dieser Bedrohung zur Verfügung stehen. Denken Sie daran, diese Leute verfügen über enorme Infrastrukturen, daher gibt es viele Möglichkeiten, wie dies funktionieren kann. Hier sind die häufigsten:

  • Ferngesteuertes Schwarzes Loch – Es klingt sehr nach etwas aus einem Science-Fiction-Film, aber RTBH ist eine echte Sache dokumentiert von Cisco. Es gibt viele Möglichkeiten, dies zu tun, aber ich gebe Ihnen die “schnelle und schmutzige” Version: Ein ISP kommuniziert mit dem Netzwerk, von dem der Angriff kommt, und weist ihn an, den gesamten ausgehenden Verkehr zu blockieren, der in seine Richtung geschleudert wird. Es ist einfacher, ausgehenden Datenverkehr zu blockieren, als eingehende Pakete zu blockieren. Sicher, alles vom Ziel-ISP wird jetzt so angezeigt, als ob es für die Personen, die sich von der Quelle des Angriffs aus verbinden, offline ist, aber es erledigt die Arbeit und erfordert nicht viel Aufwand. Der Rest des Weltverkehrs bleibt davon unberührt.
  • Wäscher – Einige sehr massive ISPs verfügen über Rechenzentren mit Verarbeitungsgeräten, die Verkehrsmuster analysieren können, um legitimen Verkehr vom DDoS-Verkehr zu trennen. Da dies viel Rechenleistung und eine etablierte Infrastruktur erfordert, werden kleinere ISPs diesen Job häufig an ein anderes Unternehmen auslagern. Der Datenverkehr auf dem betroffenen Sektor wird durch einen Filter geleitet, und die meisten DDoS-Pakete werden blockiert, während legitimer Datenverkehr zugelassen wird. Dies stellt den normalen Betrieb des ISP auf Kosten einer enormen Menge an Rechenleistung sicher.
  • Etwas Verkehrsvoodoo – Mit einer Methode, die als “Traffic Shaping” bezeichnet wird, rammt der ISP einfach alles, was der DDoS-Angriff mit sich bringt, in seine Ziel-IP, während alle anderen Knoten in Ruhe gelassen werden. Dadurch wird das Opfer im Grunde genommen unter den Bus geworfen, um den Rest des Netzwerks zu retten. Es ist eine sehr hässliche Lösung und oft die letzte, die ein ISP verwendet, wenn sich das Netzwerk in einer schweren Krise befindet, und es erfordert schnelle, entschlossene Maßnahmen, um das Überleben des Ganzen sicherzustellen. Betrachten Sie es als ein Szenario, in dem die Bedürfnisse der Vielen die Bedürfnisse der Wenigen überwiegen.

Das Problem bei DDoS besteht darin, dass seine Effektivität mit Fortschritten bei der Computerleistung und der Bandbreitenverfügbarkeit einhergeht. Um diese Bedrohung wirklich zu bekämpfen, müssen wir fortschrittliche Methoden zur Netzwerkänderung verwenden, die die Fähigkeiten eines durchschnittlichen Heimanwenders bei weitem übertreffen. Es ist wahrscheinlich eine gute Sache, dass Haushalte nicht oft direkte Ziele von DDoS sind!

Übrigens, wenn Sie in Echtzeit sehen möchten, wo diese Angriffe stattfinden, lesen Sie die Digitale Angriffskarte.

Sind Sie jemals Opfer solcher Angriffe bei Ihnen zu Hause oder an Ihrem Arbeitsplatz geworden? Erzähl uns deine Geschichte in einem Kommentar!