Außerdem gibt es am Markt verschiedene Softwarelösungen und DDoS-Mitigation-Appliances, die implementiert werden können. Nutzen Sie auch die Sicherheitsmodule Ihres Servers, die zum Beispiel die IP-Verbindungsanzahl pro IP-Adresse beschränken.
SYN-Angriffe abwehren
Kapazität des SYN-Backlogs erhöhen
Allgemein gesagt, werden in einem Backlog Dinge, wie zum Beispiel Aufgaben, gesammelt, die noch nicht erledigt sind und abgearbeitet werden müssen. Teil eines jeden Betriebssystems ist das SYN-Backlog. Dort werden die halboffenen Verbindungen des Drei-Wege-Handschlags zwischengespeichert. Wenn die Verbindung erfolgreich hergestellt wurde, wird die SYN-Anfrage aus dem Backlog und damit aus dem Speicher gelöscht, sodass der Weg für eine neue Verbindungsanfrage frei wird.
Aufgrund des begrenzten Arbeitsspeichers ist auch die Anzahl der Einträge im SYN-Backlog begrenzt, sodass sich bei vielen Anfragen eine Warteschlange aufbaut, die bei einer SYN-Flood zum Absturz des Dienstes führen kann. Sie haben die Möglichkeit, den Wert für die maximale Anzahl an Einträgen anzupassen. So können zumindest kleinere SYN-Floods überbrückt werden.
Recycling von TCP-Verbindungen
SYN-Anfragen, also alle halboffenen TCP-Verbindungen, werden im Backlog chronologisch gespeichert. Sie können festlegen, dass die älteste halboffene Verbindung gelöscht wird, sobald das Backlog voll ist. Dadurch wird Platz für eine neue Anfrage. Auch das kann die Erreichbarkeit Ihres Systems aufrechterhalten, wenn das Angriffsvolumen vergleichsweise klein ist.
SYN-Cookies
SYN-Cookies kommen zum Einsatz, wenn der Angreifer gefälschte IP-Adressen in den SYN-Datenpaketen (IP-Spoofing) nutzt. Der Server gleicht die SYN-Anfrage ab, antwortet mit SYN-ACK und wartet dann auf die ACK-Antwort des Clients. Diese Antwort kommt bei einer SYN-Attacke mittels IP-Spoofing nicht, weil die Anfrage aus einer nicht legitimen Quelle stammt.
Die 1996 von Daniel J. Bernstein entwickelten SYN-Cookies, setzen bei der SYN-ACK-Antwort an. Sie kodieren die relevanten Verbindungsparameter nicht über den Transmission Control Block, sondern in einer Sequenznummer des SYN-ACK-Paketes und löschen dann die SYN-Anfrage aus dem Backlog. Dadurch kann eine neue Verbindungsanfrage eingehen. Handelt es sich um einen legitimen Client, der mit einem ACK-Paket antwortet, verifiziert der Server den Verbindungsaufbau über die Sequenznummer des Paketes und rekonstruiert den gelöschten Eintrag im SYN-Backlog.
SYN-Cache
Alle Aktivitäten während des Drei-Wege-Handshakes werden in einem Transmission Control Block (TCB) verwaltet, sodass es pro aktiver Verbindung einen TCB gibt. Der SYN-Cache speichert im SYN-Backlog nicht den kompletten, sondern einen minimalen TCB für halboffene Verbindungen. Antwortet ein legitimer Client mit ACK, wird der minimale in einen vollen TCB verschoben.
SYN-Cache und SYN-Cookies können in Kombination eingesetzt werden, um den Schutz gegen eine SYN-Flood zu verbessern.
Ping-Angriffe abwehren
Bei einer Ping-Flut missbraucht der Angreifer das Internet Control Message Protocol (ICMP) und sendet massenhaft Echo Requests an den Server. Als vorbeugende Maßnahmen können Filter für Firewalls und Router konfiguriert werden, die dieses Angriffsmuster erkennen. Stellen Sie fest, dass Ihr Server mit Netzwerk-Pings attackiert wird, können Sie diese Funktion deaktivieren – wobei dies auch generell möglich ist.
Falls Sie über ein großes IT-Netzwerk verfügen, können Sie durch ergänzende Hardware, wie Load Balancer, Firewall und Rate Limiter, sicherstellen, dass durch eine Verteilung und Begrenzung der Last genügend Bandbreite zur Verfügung steht.
UDP-Angriffe abwehren
Das User Datagram Protocol (UDP) ist ein verbindungsloses Netzwerkprotokoll bei dem der Server als Antwort an den Client das Internet Control Message Protocol (ICMP) nutzt. Beim Fluten des Servers mit UDP-Anfragen kann der Server die Antworten nicht mehr bearbeiten.
Über eine Firewall auf Server- und Netzwerkebene können Sie verdächtige UDP-Pakete herausfiltern, damit sie verworfen werden. Diese Option sollte allerdings nicht für DNS-Anfragen gelten, die meist über UDP generiert werden. Das eine Serverantwort nötig ist, weil keine Applikation für die UDP-Anfrage gefunden wird, wird über das Betriebssystem festgestellt. Dort können Sie ein Limit für ICMP-Antworten innerhalb einer bestimmten Zeitspanne festlegen.
DNS-Attacken abwehren
Bei einer DNS-Flut ist Ihre Website "nur" indirekt betroffen, weil sich der Angriff gegen den DNS-Server richtet. Daher können Sie dagegen kaum etwas tun. Auch die Abwehr eines DNS-Amplification-Angriffs ist schwierig. In den Anfragepaketen an die DNS-Server ist die IP-Adresse des Opfers enthalten, sodass die Antworten an diese zurückgesendet werden. Das Opfer der Attacke sieht im Gegenzug aber "nur" die IP-Adresse der DNS-Server und nicht die IP des Angreifers.
Wie auch bei anderen Attacken, können Sie aber über ein kontinuierliches Monitoring und das Filtern nach Angriffsmustern ein Verwerfen der Anfragen über die Firewall erzielen.
HTTP-Angriffe abwehren
Wie bereits unter Punkt 2 festgestellt, ist es sehr schwierig eine HTTP-/HTTPS-Flut zu erkennen, weil der kompromittierte Traffic im ersten Moment legitim aussieht. Anhand Ihres Monitorings können Sie erkennen, ob die festgelegten Grenzwerte überschritten wurden. Falls die Lastspitzen nicht durch etwaige Marketing-Kampagnen oder Aktionstage hervorgerufen werden, sollten Sie prüfen, über welche IP-Adressen die Anfragen eintreffen. Die Analyse können Sie zum Beispiel über Ihre Firewall durchführen lassen, die verdächtige IPs dann blockiert und dauerhaft auf eine Blacklist setzt.
Zum Bestimmen und Blockieren von IP-Adressen auf unseren Servern nutzen wir beispielsweise fail2ban, das standardmäßig installiert ist. Black- und Whitelisteinträge können Sie über Ihr Kundencenter bzw. Server Control Panel verwalten. In unserem Blog IP-Adressen dauerhaft sperren haben wir fail2ban kurz erklärt.
Mail-Bombing abwehren
Mittlerweile hat fast jedes E-Mail-Programm eingebaute Spam-Filter, die einen Mail-Bombing-Angriff verhindern, indem Sie Massenmails als Spam klassifizieren und automatisch im Junk-Ordner ablegen. Außerdem sind am Markt zahlreiche zusätzliche Programme verfügbar, die mit verschiedenen Filtern arbeiten und Ihr System schützen können.
Grundsätzlich kann jedes Unternehmen Opfer eines DoS- oder DDoS-Angriffs werden, wobei die Angriffe fast ausschließlich auf Server abzielen, um die Dienste zum Absturz zu bringen. Nutzen Sie Managed Hosting, sorgt Ihr Hosting-Anbieter dafür, dass die Server ausreichend geschützt sind.
Unabhängig davon, ob Sie Ihre eigene IT-Infrastruktur betreiben oder nicht, sollten Sie grundlegende IT-Security-Maßnahmen implementieren, um sich gegen Angriffe zu schützen. Stellen Sie sicher, dass auf Ihren Rechnern eine Antivirus-Software aktiviert ist, die Passwörter regelmäßig aktualisiert werden, Firewalls korrekt eingestellt sind und immer die aktuelle Systemversion genutzt wird, gerade wenn webbasierte Anwendungen zum Einsatz kommen.