DDoS Protection Service - documents.swisscom.com · Wirkungsvoller Schutz ihrer Infrastruktur vor Angriffen aus dem Internet – hoch verfügbarer Internetzugang White Paper DDoS

Wirkungsvoller Schutz ihrer

Infrastruktur vor Angriffen

aus dem Internet – hoch

verfügbarer Internetzugang

White Paper

DDoS Protection Service Distributed Denial of Service (DDoS)

Technische Produktinformation

Version 3.1

DDoS Protection Service

(Distributed Denial of Service)

Swisscom (Schweiz) AG

Enterprise Customers

Postfach

CH - 3050 Bern

Gratisnummer 0800 800 900

Gratisfax 0800 800 905

E-Mail [email protected]

Internet http://www.swisscom.ch/enterprise

Dokument White Paper DDoS

Version 3.1

File BIS_IPP_WP_DDoS_mm03104-de.doc

Datum 01.03.2016 Seite 2/18

Inhaltsverzeichnis

1 DDoS-Attacken – ein reales Risiko ......................................................................................................................... 3

2 Problembeschreibung ............................................................................................................................................... 3

2.1 Ausgangslage ........................................................................................................................................................... 3

2.1.1 Absicht der Angreifer und Angriffsarten ........................................................................................................ 3

2.1.2 Entwicklung der DoS-Attacken ......................................................................................................................... 3

2.1.3 DDoS-Attacke von einer regulären IP-Adresse .............................................................................................. 4

2.1.4 Motivation von DDoS-Attacken ........................................................................................................................ 4

2.2 Voraussetzung für eine DDoS-Attacke ............................................................................................................... 5

2.3 DDoS-Attacken ......................................................................................................................................................... 5

2.3.1 Prinzipieller Ablauf ............................................................................................................................................... 5

2.3.2 Vorbereitung und Ablauf einer DDoS-Attacke .............................................................................................. 6

2.4 Entwicklungen und Folgen von DDoS-Attacken .............................................................................................. 7

3 Schutzmassnahmen gegen DDoS Angriffe ........................................................................................................ 10

3.1 Blackhole-Abwehr ................................................................................................................................................. 10

3.2 Aktuelle Schutzmassnahmen mit dem DDoS Protection Service ............................................................. 11

3.2.1 Generelle Eigenschaften .................................................................................................................................. 11

3.2.2 Traffic Anomaly Detection ............................................................................................................................... 12

3.2.3 Threat Management System........................................................................................................................... 12

4 DDoS Protection Service von Swisscom .............................................................................................................. 13

4.1 Filterprozess einer DDoS-Attacke ...................................................................................................................... 13

4.2 Option DDoS Protection enhanced ................................................................................................................... 15

5 Zusammenfassung ................................................................................................................................................... 16

5.1 Lösungsvarianten .................................................................................................................................................. 16

5.2 Gefahren- und Schadenspotential .................................................................................................................... 17

5.3 Managed Service .................................................................................................................................................... 17

6 Glossar ......................................................................................................................................................................... 18

Das White Paper wurde auf Grund der aktuell bekannten Parameter erstellt. Die technische Lösung während der Implementierung

kann später abweichen. Für Fragen oder Anmerkungen zu diesem White Paper stehen wir Ihnen gerne zu Verfügung.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 3/18

1 DDoS-Attacken – ein reales Risiko

Das Risikomanagement einer Unternehmung liegt in der Verantwortung der Unternehmensführung. Ihr

obliegt eine regelmässige präventive Überprüfung von potentiellen Sicherheitsrisiken. Besonders im voll

vernetzten IT-Umfeld existieren Bedrohungssituationen, die sich ständig verändern und immer neue

Formen annehmen. Zu diesen IT-Risiken gehören DDoS-Attacken (Distributed Denial of Service). Dieses

White Paper geht im Detail auf derartige Sicherheitsrisikos ein und beschreibt wirkungsvolle

Abwehrmechanismen.

DDoS-Attacken müssen ebenso wie andere Bedrohungen (Lage und Zutritt zum Gebäude, Brandschutz,

Energieversorgung, Zugang zu internen Dokumenten etc.) in die Risikoanalyse eines Unternehmens

aufgenommen werden. Sie sind aufgrund des grossen Bedrohungs- und Schadenspotentials mit diesen

gleichzusetzen. Aktuelle Risikoanalysen und Empfehlungen finden sich u.a. auf der Webseite der Melde-

und Analysestelle Informationssicherung unter http://www.melani.admin.ch/dokumentation.

2 Problembeschreibung

2.1 Ausgangslage

Seit den Anfängen des Internets existieren die so genannten "Denial-of-Service"-(DoS-)Angriffe

(„Verweigerung des Dienstes“). Ziel der Attacken ist die massive Einschränkung der Verfügbarkeit

bestimmter Online-Systeme und/oder Dienste oder gar die komplette Verwehrung des Zugriffs. Meist wird

dabei versucht, durch das Ausnutzen von Schwachstellen in Betriebssystemen, Programmen und Diensten

bzw. von grundsätzlichen Entwurfsschwächen der verwendeten Netzwerkprotokolle die angegriffenen

Systeme über das Internet zum Absturz zu bringen.

2.1.1 Absicht der Angreifer und Angriffsarten

Durch Überlasten der Online-Systeme kann deren eigentliche Funktionalität nicht mehr gewährleistet

werden. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu entwenden oder Benutzer-

Authentisierungs-Mechanismen zu umgehen, sondern die Serviceplattformen von Online-Anbietern wie

eShops, Content Provider, Finanzdienstleister (z.B. E-Banking), Verwaltungen (z.B. E-Government) etc.

empfindlich zu stören oder ganz lahm zu legen. Dadurch können die angegriffenen Web-Seiten respektive

Services für wenige Minuten bis zu einigen Tagen nicht erreichbar sein.

Im Unterschied zu anderen Angriffen dringt der Angreifer normalerweise nicht in Computernetzwerke ein

und benötigt deshalb keine Passwörter oder ähnliches. Jedoch kann ein DoS-Angriff Bestandteil eines

Angriffs auf ein System sein. So wird z.B. ein anderes Online-System durch einen DoS-Angriff lahmgelegt,

um den eigentlichen Angriff auf ein weiteres System desselben Kunden zu vertuschen. Das mit der

Administration betraute IT-Personal wird durch den erhöhten Datenverkehr abgelenkt, in dem der

eigentliche Angriffsversuch unbemerkt untergeht.

2.1.2 Entwicklung der DoS-Attacken

Die DoS-Attacken werden immer weiter verfeinert und für Laien immer schwerer erkennbar. Z.B. kommen

seit mehr als 10 Jahren anstelle einzelner PCs eine Vielzahl unterschiedlicher PCs in einem grossflächig

koordinierten Angriff auf einzelne Online-Systeme oder Netzwerke zum Einsatz. In der Regel bemerkt der

einzelne PC-Benutzer, dessen PC Teil eines sogenannten Botnet ist, während einer laufenden Attacke beim

Arbeiten wie auch beim Surfen im Internet keine Leistungseinbussen. Die Anzahl der an einem Angriff

http://www.melani.admin.ch/dokumentation





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 4/18

beteiligten PCs kann dabei von einigen 100 bis hin zu mehreren 100’000 gleichzeitig angreifenden PCs

variieren. Die an einem Angriff beteiligten PCs können national, international wie auch interkontinental im

globalen Internet eingebunden sein. Bei dieser "Distributed Denial-of-Service"- (DDoS-) Attacke („verteilte

Verweigerung der Dienste“) macht sich der Angreifer die Leistung mehrerer PCs zunutze. Daher können

selbst sehr leistungsstarke Online-Systeme mit breitbandigen Netzverbindungen erfolgreich gestört

werden. Nicht zuletzt sorgen die Breitbandnetze selbst für die dazu nötige Bandbreite.

2.1.3 DDoS-Attacke von einer regulären IP-Adresse

Eine besondere Form stellt die „Distributed Reflected Denial of Service“- (DRDoS)-Attacke dar. Hierbei

adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer als Angriffsziel, sondern an regulär

arbeitende Internetdienste. Als Absenderadresse trägt er jedoch die IP-Adresse des Opfers ein. Durch diese

Vorgehensweise lässt sich der Ursprung des Angriffs vom Angegriffenen praktisch nicht mehr ermitteln.

Solche gefälschte Verbindungsanfragen nennt man auch „IP-Spoofing“. Deren Beantwortung und die

resultierende Systemüberlastung stellen für das Opfer den eigentlichen DoS-Angriff dar.

2.1.4 Motivation von DDoS-Attacken

Der Ursprung und die Motive solcher Angriffe sind sehr vielschichtig. Sie reichen vom „jugendlichen“

Leichtsinn von Freaks ohne monetäre Interessen über Rache- oder Protestaktionen gegen eine bestimmte

Firma oder Organisation bis hin zu professionell tätigen Hacker-Organisationen. Dort können DDoS-Angriffe

von jedermann via Online-Portal bestellt und per Kreditkarte bezahlt werden. Für wenig Geld werden

gemanagte Attacken z.B. für 24 Stunden als so genannte Stresstest angeboten. Nicht selten werden im

Zuge solcher Angriffe bösartige Drohungen platziert und Schutzgeldpressungen geltend gemacht. Dabei

werden professionell aktive Organisationen mit klarer Absicht aus Eigeninteresse oder im Auftrag Dritter

tätig.

Abbildung 1: Motive für DDoS-Attacken (© ARBOR Networks)





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 5/18

2.2 Voraussetzung für eine DDoS-Attacke

Erpressungsangriffe basierend auf einer DDoS-Attacke werden in der Regel über sogenannte Bot-Netzwerke

initiiert. Diese bestehen aus einigen Dutzend bis zu mehreren 100'000 mit Trojanern oder Würmern

infizierten Rechnern. Die Ausführung von DDoS-Angriffen wird durch die Tatsache begünstigt, dass die

allermeisten über Breitbandnetze angeschlossenen Computer mehrheitlich über eine feste IP-Adresse

verfügen und überwiegend online geschaltet sind. So erfolgen die Infektion und Einbindung in ein Bot-

Netzwerk meistens unauffällig, da die meisten der Rechner ungeschützt am Internet angeschlossen oder

aber die Schutzmechanismen unzureichend sind. Den Eigentümern dieser Computer ist es daher gar nicht

bewusst, Teil eines Bot-Netzwerkes zu sein. Die Leistung der in einen Angriff eingebundenen PCs sowie die

Anschlussbandbreite werden in der Regel für den Benutzer im nicht wahrnehmbaren Bereich für DDoS-

Attacken beansprucht. Diese Bot-Netzwerke bestehen aus einigen hundert bis n-tausend infizierten und

weltweit verteilten PCs. Diese PCs können praktisch beliebig zeitgesteuert durch den Bot-Netzwerk-

Administrator/-Controller für Angriffe missbraucht werden. Darüber hinaus sorgt der Umstand, dass TCP/IP-

Protokolle sehr verbreitet und Kenntnisse darüber fast schon zum Allgemeingut geworden sind, für einen

spürbaren Anstieg von vernetzen Computer-Missbräuchen.

Abbildung 2: Globale aktive Botnet-Quellen (http://atlas.arbor.net/worldmap/index)

2.3 DDoS-Attacken

2.3.1 Prinzipieller Ablauf

Bis heute wurden unter anderen folgende, Blogs oder Foren thematisierte Attacken-Modelle registriert:

Modell 1

Ein im Internet präsentes Unternehmen wird mit einem Erpresserschreiben aufgefordert, eine

bestimmte Summe innerhalb einer definierten Frist zu zahlen. Sollte diese Frist ohne Zahlung

ablaufen, wird die im Erpresserschreiben angedrohte Attacke unverzüglich ausgelöst. Die Web-

Server werden in der Folge mit einer massiven Anzahl von Anfragen angegriffen. In Abhängigkeit

von der Bandbreite wird der Webauftritt inklusive der angebotenen E-Services (E-Shop, E-Banking…)

innerhalb kürzester Zeit nicht mehr erreichbar sein.

http://atlas.arbor.net/worldmap/index





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 6/18

Modell 2

Der Onlineauftritt eines Unternehmens wird aus unbekannten Gründen ohne Vorwarnung mit

einer DDoS-Attacke blockiert. Während der Attacke erhält der Angegriffene z.B. per E-Mail (z.B. via

alternativem Internet Access) oder Fax ein Bekennerschreiben mit der Aufforderung, innerhalb einer

Frist eine Zahlung auf ein Konto zu tätigen oder eine andere Bedingung zu erfüllen. Verstreicht

diese Frist ohne Zahlung, werden die Attacken fortgesetzt.

Modell 3

Die Online-Plattform eines Unternehmens wird ohne jegliche Vorwarnung attackiert. Damit soll die

Firma nachhaltig geschädigt werden, wobei die Attacke von wenigen Minuten bis einigen Wochen

andauern kann.

2.3.2 Vorbereitung und Ablauf einer DDoS-Attacke

Wie angedeutet sind mehrere Rechnersysteme an einer DDoS-Attacke beteiligt. Dabei könnte man die

verzweigte Angriffskette bzw. den Netzwerkverbund der Angreifer wie folgt beschreiben:

Ein Angreifer (auch Client genannt) beauftragt…

…einen oder mehrere Master (auch Händler genannt). Diese steuern…

…mehrere Daemons (auch Agents genannt). Diese attackieren schliesslich…

…ein Opfer.

Analyse

Der Angreifer kommuniziert über eine Internet-Verbindung (oft von einer illegal verwendeten IP-Adresse

aus) mit den verteilten Mastern. Deren IP-Adresse bzw. die offenen TCP- oder UDP-Ports wiederum hat er

mit Hilfe von Scanning-Tools erfahren. Potenzielle Angriffsziele und deren Schwachstellen werden via

Internet Security Scanner ausfindig gemacht. Über denselben Weg gelangt der Angreifer zudem an die

Rootrechte auf den Serversystemen und prüft dabei auch gleich, welche Dienste und Ports auf den

Systemen aktiv (also „offen“) sind.

Skript-Erstellung

Nach Offenlegen der Sicherheitslücken generiert der Angreifer ein Script (= ein automatisch ablaufendes

Programm) und legt es auf den gestohlenen Accounts ab. Mit den Scripts greift er später genau diese

Sicherheitslücken an. Für die Erstellung der Scriptfiles wird übrigens recht oft auf bestehende Toolkits

zurückgegriffen, was deren Anwendung bedeutend vereinfacht. Nun legt der Angreifer seine späteren

Daemon- und Master-Systeme fest. Auf den Master-Systemen werden weitere Speicher benutzt, um dort

die „pre-compiled binaries“ („vorkompilierte Binärdateien“) der Daemons zu lagern. Danach erzeugt der

Angreifer wiederum ein Script, welches die Liste der „in Besitz genommenen“ Rechner benutzt und ein

weiteres Script erzeugt. Letzteres führt den Installationsprozess automatisiert als Hintergrundprozess durch.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 7/18

Script-Installation

Diese Automatisierung erlaubt den Aufbau eines weit verbreitenden Denial-of-Service-Netzes ohne Wissen

der eigentlichen Besitzer der Systeme. Schliesslich erfolgt mit besonderer Sorgfalt die Installation der

Master-Programme, welche eine Schlüsselrolle im Netzwerk des Angreifers einnehmen. Optional wird ein

„Rootkit“ (ein „Administratorenbausatz“) installiert, welcher für die Verdeckung der Anwesenheit der

Programme, Dateien und Netzwerkverbindungen sorgt. Die Master-Programme werden bevorzugt auf so

genannten „Primary-Name-Server-Hosts“ installiert. Da diese für einen extrem grossen Netzwerkverkehr

ausgelegt sind, laufen auf solchen Server-Systemen eine grosse Anzahl von Netzwerkverbindungen. Für den

Angreifer hat dies zwei wesentliche Vorteile. Zum einen verdeckt die Grundlast (Prozessoren und Netz) den

zusätzlichen Netzwerkverkehr der Master sehr gut. Zum anderen werden solche Server-Systeme selbst bei

einem DDoS-Verdacht nicht so vorschnell aus dem Netz genommen, da ihre Bedeutung für das eigene Netz

zu gross ist.

Start der Attacke

Der Angreifer sendet später das Angriffskommando inklusive der Daten des Opfers (IP-Adresse,

Portnummer, Angriffsart, Start- und Stoppzeitpunkt) an die Master. Während des Angriffs ist dies der

einzige von ihm ausgehende Verkehr. Nach dem Startschuss liegt die weitere Steuerung und Koordination

des Angriffs bei den Mastern (= als Server dienende Computer), welche jeweils eine bestimmte Anzahl

Daemons steuern (Daemons sind im Hintergrund ablaufende Prozesse). Damit beim Aufdecken eines

Masters durch einen Netzwerk-Sniffer nicht sofort alle Daemons unbrauchbar werden, teilen die Angreifer

die Master in zweckmässige Teilgebiete auf. Die Daemons laufen wiederum auf anderen Computern und

können sich weltweit verstreut im Netz befinden. Erst die Daemonsysteme führen auf Anweisung des

Masters den eigentlichen Angriff aus. Dies kann z.B. eine SYN-Flood-Attacke sein, bei der der Angreifer ein

Paket zum Aufbau einer TCP-Verbindung (SYS-Pakete) an das Opfersystem sendet. Dieses reserviert einen

Port und sendet ein so genanntes SYN-ACK-Paket zurück. Da der Angreifer jedoch seine IP-Adresse gespooft

hat (also nicht seine eigene IP-Adresse verwendet), bekommt der Absender keine Bestätigung zurück. Das

Opfersystem wiederholt und verwirft die reservierte Verbindung nach einem eingestellten Zeitraum

endgültig, der je nach Betriebssystem mehrere Minuten betragen kann. Wird nun dieser Verbindungsaufbau

nicht nur einmal, sondern parallel sehr häufig ausgeführt, führt dies dazu, dass der Rechner mit der

Beantwortung der Anfragen überlastet und dadurch praktisch blockiert ist.

2.4 Entwicklungen und Folgen von DDoS-Attacken

Laufende Erhebungen von ARBOR Networks seit 2002 in Zusammenarbeit mit den bedeutendsten Internet

Service Providern (ISPs) zeigen eine signifikante Zunahme der Bandbreitenintensität von DDoS-Attacken. bei

weiterhin grosser Häufigkeit. Primäre Angriffsziele sind kommerzielle Internet-Services sowie Netzdienste

(z.B. Domain Name Server, DNS). Am häufigsten genutzt wurden vor allem UDP Flood (Senden einer grossen

Menge von UDP-Paketen an zufällig ausgewählte Ports, bis diese unerreichbar werden) und TCP SYNC

(Verzögerung der Handshake-Prozedur beim Aufbau einer TCP-Verbindung), wobei auch andere bekannte

Schwachstellen der Anwendungsprotokolle dem Angriff dienten. Die Menge und Intensität der DDoS-

Attacken nehmen seitdem kontinuierlich zu.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 8/18

Abbildung 3: Entwicklung von DDoS-Attacken (© ARBOR Networks)

Erfahrungen und Beobachtungen in der Praxis

Leider werden DDoS-Attacken trotz des hohen Bedrohungspotentials in

der Regel nicht oder nur untergeordnet in Risikoanalysen von

Unternehmen berücksichtigt.

Aufgrund der klar vorhandenen Bedrohungslage sind DDoS-Attacken in

der generellen Risikoanalyse eines Unternehmens jedoch mit den

allgemein bekannten Risiken gleichzusetzen.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 9/18

Abbildung 4: Anzahl von DDoS-Attacken pro Monat (© ARBOR Networks)

Nicht verfügbare E-Services können zu massiven Umsatzausfällen führen. Zudem werden das Firmenimage

sowie das Vertrauen der Kunden gegenüber dem attackierten Unternehmen negativ und nachhaltig

beeinflusst. Dies ist insbesondere dann der Fall, wenn es sich um eine Firma mit hohem Online-Anteil

handelt. Passende DDoS-Abwehrtools und entsprechende Services professioneller Internet-Provider dazu

sind daher unerlässlich, um DDoS-Attacken zu erkennen und abzuwehren. Sie stellen die schnellste und

sicherste Methode dar, um den Betrieb der eigenen Internet-Serviceplattform aufrecht zu erhalten. Dies

stärkt einerseits das Vertrauen der eigenen Kunden und sichert andererseits konstante Umsätze der

Plattform.

Abbildung 5: Durchschnittliche Dauer zur Abwehr von DDoS-Attacken (© ARBOR Networks)





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 10/18

3 Schutzmassnahmen gegen DDoS Angriffe

3.1 Blackhole-Abwehr

Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von ungesicherten wie auch gesicherten

Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich. Unge-

sicherte Systeme sind gerade dafür gedacht, dass sie die Kommunikation mit praktisch jedem System

zulassen und dynamisch auf Lastschwankungen reagieren. Nahezu alle bekannten Massnahmen konzen-

trieren sich darauf, den Missbrauch eigener Systeme und Netze für einen DDoS-Angriff zu verhindern. Es

existieren nur wenige wirkungsvolle Schutzmassnahmen, mit denen die Angriffsfolgen abgeschwächt

werden können. Die bisherigen Schutzmassnahmen führten bei angegriffenen Services z.B. zu einer

Abschaltung über die Blackhole-Technik. Die unerwünschten Datenströme werden hier auf den Routerports

der Backboneübergänge vollständig umgeroutet (->Route to Null0) und unschädlich gemacht.

Abbildung 6: Prinzip der Blackhole-Technik

Vorteile: Die Blackhole-Technik schützt die Web-Infrastruktur vor Angriffen, allerdings nur bedingt.

Nachteile: Alle Datenströme werden mit der Folge gelöscht, dass das Unternehmen keine Daten mehr aus

bestimmten Netzabschnitten und Regionen empfangen kann. Die Bekämpfung von

unerwünschten Datenströmen im Backbone des ISP basierend auf der Blackholetechnik ist

komplex und setzt vertiefte Routingkenntnisse voraus.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 11/18

3.2 Aktuelle Schutzmassnahmen mit dem DDoS Protection Service

3.2.1 Generelle Eigenschaften

Der DDoS Protection Service ist eine Option zum IP-Plus Business Internet Service von Swisscom und bietet

folgende Eigenschaften:

Wirksamer Schutz der Internet-Infrastruktur vor DDoS-Attacken (aktuell bis 40 Gbit/s filterbar)

Pro-aktive Alarmierung bei DDoS-Attacken per E-Mail, SMS, SNMP Traps und Syslog

Erlaubter Zugriff für „Friendly User“ während DDoS-Attacken

Voller Zugriff auf die Managementplattform inklusive Monitoring und Reporting während DDoS-

Attacken

Direkte Abwehr von DDoS-Attacken via Managementplattform durch den Security- bzw. Netzwerk-

Administrator

Dynamische Identifizierung und Blockierung von DDoS-Attacken

7x24-h-Helpdesk/Support durch das DDoS-Expertenteam

Keine HW-Installationen beim Kunden erforderlich

Abbildung 7: Funktion des DDoS Protection Services (Option zum IP-Plus Business Internet Service)

Vorteile: Basierend auf dem DDoS Protection Service werden die Verkehrsflüsse im Backbone permanent

überwacht. Tritt eine Abweichung von der Baseline (= Bandbreitenverlauf, der während 24

Stunden laufend registriert wird) ein, wird in Abhängigkeit der Abweichung pro-aktiv ein Alarm

als tief, mittel oder hoch per E-Mail, SMS, SNMP Traps oder Syslog direkt an die

Systemverantwortlichen abgesetzt. Basierend auf den Alarminformationen kann der Kunde

direkt oder mit Unterstützung des 2nd- oder 3rd-Level Support vom Helpdesk der Swisscom die

DDoS-Attacke gezielt bekämpfen.

Nachteil: Zur Beurteilung von Verkehrsanomalien sind vertiefte Kenntnisse erforderlich. Sollten diese

Kenntnisse nicht vorhanden sein, stehen Spezialisten rund um die Uhr zur Verfügung.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 12/18

3.2.2 Traffic Anomaly Detection

Die so genannte Traffic Anomaly Detection basiert auf mehreren Arbor Peakflow-Systemen. Mit Hilfe dieser

Systeme wird im Internet-Backbone von IP-Plus der Datenstrom aufgezeichnet und auf Anomalien

analysiert. Die Baseline-Daten werden mit den Peakflow-Systemen laufend und dynamisch erfasst. Dabei

werden der Wochentag, die Uhrzeit und die zu diesem Zeitpunkt gemessene Bandbreite sowie die

Protokollkonformität registriert. Diese Baseline-Daten dienen schliesslich als Vergleichsdaten für eine

allfällige Alarmierung von DDoS-Attacken. Im Alarmfall wird das entsprechende Alarmniveau (tief, mittel,

hoch) auf Grund der Abweichung zwischen Baseline- und effektiv gemessenem Datenstromdurchsatz

ausgelöst. Mit Hilfe dieser Angaben kann der Verkehr bezogen auf die eigene Infrastruktur permanent

überwacht und analysiert werden.

Abbildung 8: Statusansicht auf dem Kundenportal des DDoS Protection Services

3.2.3 Threat Management System

Zur Abwehr von DDoS-Attacken verwendet Swisscom ein sogenanntes Threat Management System (TMS).

Im Falle eines Angriffs kann der Verkehr bzw. der Datenstrom in Richtung des attackierten Systems via TMS

umgeleitet werden. Das TMS analysiert diesen Verkehr und kann gutartigen von bösartigem Verkehr

effizient unterscheiden und filtern. Der gefilterte und somit berechtigte Verkehr wird dann wieder zur

ursprünglichen Destination weitergeleitet.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 13/18

4 DDoS Protection Service von Swisscom

4.1 Filterprozess einer DDoS-Attacke

Die ersten vier Schritte im Filterprozess einer DDoS-Attacke sind:

1. Zusätzlicher DDoS-Verkehr (Attack Traffic)

2. Erkennen der unerwünschten DDoS-Attacke (Malicious Traffic Recognition)

3. Automatische Alarmierung via DDoS Protection Service (Alerting/Notification)

4. Manuelle Aktivierung via DDoS Protection Management Platform (DDoS Filter Activation)

Abbildung 9: Abwehr einer DDoS-Attacke (1/2)

Es folgen drei weitere Schritte im Filterprozess einer DDoS-Attacke:

5. Rerouting des DDoS-Attacke (Malicious Traffic Rerouting)

6. Aktive Filterung des DDoS-Verkehrs (Active DDoS Filtering)

7. Normale Weiterleitung des zulässigen Datenverkehrs (Legitimated Traffic)





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 14/18

Abbildung 10: Abwehr einer DDoS-Attacke (2/2)

Die Aktivierung der Filterfunktion des TMS wird in jedem Fall durch den Kunden initialisiert. Denn die

Kenntnisse seines Netzbetriebes vermeiden Fehlalarme, die z.B. durch einen geplanten Software-Upgrade

ausgelöst werden, der von DDoS unter gewissen Umständen als Traffic Anomalie erkannt werden könnte.

Folgende Aktivierungsmöglichkeiten stehen zur Wahl:

Direkte Aktivierung des TMS mittels User-Name/Passwort auf eine geschützte Webseite (->https)

inklusive sicherer Authentisierung durch ein Client-Zertifikat.

Aktivierung oder Support via Helpdesk während 7 x 24h mit folgenden Reaktionszeiten:

Mo - Fr, 07:00 - 18:00 Uhr Mo - So, 18:00 - 07:00 Uhr

Via Fernwartung < 1 Std. < 2 Std.

Sollte der Zugang auf das Internet des Kunden durch die Attacke möglicherweise belegt sein, kann der

Zugriff auf das TMS alternativ über eine Mobile-Unlimited-Verbindung, einen dedizierten xDSL-Anschluss

oder weitere Internet-Zugangstechnologien via Webbrowser erfolgen.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 15/18

4.2 Option DDoS Protection enhanced

Für einen noch effektiveren Schutz kann die Option DDoS Protection enhanced als zusätzliche Erweiterung

implementiert werden. Sie basiert auf einer Hardware, die im WAN-LAN-Übergang am Kundenstandort

implementiert wird. Diese analysiert permanent den Trafficflow „inline“ bis und mit OSI Application Layer

(Layer 7). Eine SSL-Inspection-Funktion ermöglicht das Erkennen und Neutralisieren der zunehmenden

Attacken über verschlüsselte IP-Sessions. Ausgehend vom Rule Setting wird der Anomalie-Level laufend

ermittelt und eindeutiger Attack Traffic automatisch gefiltert. Ist ein definierter Anomalie-Level

überschritten, wird via Cloud Signaling Hilfe aus der Cloud angefordert.

Wenn sich der Operator für eine Entschärfung der Situation (Mitigation) entscheidet, wird über den DDoS

Protection Service eine neue BGP-Host-Route für die angegriffene IP-Adresse mit einer “Anycast address” als

neue Next-Hop gesetzt. Der Trafficflow wird nun über das Threat Management System (TMS) umgeleitet,

gefiltert und via GRE-Tunnel ohne Attack-Traffic direkt auf den Kundenrouter geroutet.

Abbildung 11: Erweiterte Abwehr einer DDoS-Attacke mit DDoS Protection enhanced

Die Option DDoS Protection enhanced erweitert das Sicherheitsniveau auf alle sieben OSI-Schichten. Die

wichtigsten Vorteile sind:

Sofortiger Schutz vor DDoS-Angriffen auf Applikationsebene, die eine Gefährdung der Verfügbarkeit

von Diensten und Applikationen darstellen.

Automatische Erkennung und Blockierung von DDoS-Angriffen, bevor die Performance von

Diensten beeinträchtigt wird. Hierfür ist kein bzw. nur ein minimaler Benutzereingriff erforderlich,

wodurch sich die Belastung der IT-Sicherheitsverantwortlichen reduziert.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 16/18

5 Zusammenfassung

5.1 Lösungsvarianten

Aktuell kann der Kunde zwischen drei Lösungsvarianten wählen:

1. Die Kunden-Infrastruktur verfügt über keine DDoS-Abwehrmechanismen. Folglich wird eine Attacke

rasch wirksam und der Webauftritt ist offline.

2. Vor der Firewall am Kundenstandort ist ein DDoS-Device integriert. Übersteigt die DDoS-Attack-

Bandbreite jedoch die Bandbreite des Access-Links, fällt der Webauftritt ebenfalls in den

Offlinemodus.

3. In der dritten und wirksamsten Lösungsvariante wird die DDoS-Attacke bereits vor dem Eintritt in

das ISP-Backbone erkannt und entsprechend gefiltert. Mit diesem Setup wird der Attack-Traffic

herausgefiltert und der legitime Verkehr an den Webservice weiter geroutet. Dadurch kann der

Onlinemodus praktisch vollumfänglich sichergestellt werden.

Abbildung 12: Mögliche Lösungsvarianten zur Abwehr einer DDoS-Attacke

Zusätzlichen Schutz bietet die Option DDoS Protection enhanced mit einer permanenten lokalen Inline-

Verkehrsanalyse bis und mit OSI-Schicht 7.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 17/18

5.2 Gefahren- und Schadenspotential

In den vergangenen Jahren konnte in der Schweiz eine überdurchschnittliche Zunahme von DDoS-Attacken

auf Unternehmen verschiedener Branchen und auf politische Organisationen registriert werden. Im Rahmen

einer Fallstudie wurde ein realer DDoS-Angriff auf ein Unternehmen mit Online-Plattform sowie dessen

Verlauf und Abwehr dokumentiert. Der analysierte Attack-Verkehr stammte primär aus Peru, Chile, China,

Taiwan, USA, Ägypten und Kenia. Der Bandbreitenverlauf reflektierte klar, dass diese Attacke gegen den

Kunden aktiv geführt wurde.

Dieser Sachverhalt zeigte sich u.a. in einem weiteren Peak etwa zwei Tage nach Beginn der ersten Attacke,

bei dem der Angreifer prüfte, ob eine erneute Intensivierung des Attack-Verkehrs den Online-Service stören

könnte. Jedoch blieb auch dieser Versuch dank des DDoS Protection Services von Swisscom ohne Erfolg.

Ohne dessen Aktivierung wäre der Online-Service des betroffenen Kunden für mindestens zwei Tage nicht

erreichbar gewesen und hätte grossen Schaden angerichtet – einerseits einen finanziellen Schaden

(Umsatzausfall), andererseits aber auch einen nur schwer bezifferbaren, aber umso nachhaltigeren

Imageschaden.

5.3 Managed Service

Der DDoS Protection Service wird im IP-Plus Business Internet Backbone als Managed Service von Swisscom

basierend auf dem vom Kunden gewünschten IP-Addressbereich aufgesetzt. Durch dieses Setup wird der

Internet Access permanent auf Anomalien überwacht und der Kunde in Abhängigkeit der definierten

Bandbreitenlimiten entsprechend alarmiert. Dem Kunden wird durch den direkten Zugriff auf das TMS ein

effizientes Instrument zur Verfügung gestellt, mit dem er den Datenverkehr in Richtung seiner Infrastruktur

detailliert analysieren und im Attackenfall sofort schützen kann. Selbstverständlich wird der Kunde dabei

von Swisscom optimal unterstützt.





Postfach

CH - 3050 Bern






Version 3.1


Datum 01.03.2016 Seite 18/18

6 Glossar

Begriff Erklärung

AS Autonomous System

ASN Autonomous System Number

BGP Border Gateway Protocol

Blackhole „Blackholes“ werden benutzt, um alle zu einem angegriffenen System gesendeten IP-

Pakete auf das Null0-Interface zu routen.

Botnet Unter einem Botnet wird ein fernsteuerbares Netzwerk von PCs verstanden, das durch

Würmer, Trojanische Pferde o.ä. infiziert wurde und für gezielte Angriffe missbraucht

werden kann.

CPE Customer Premises Equipment

DDoS Distributed Denial of Service (verteilte Verweigerung des Dienstes)

DNS Domain Name System

GRE Generic Routing Encapsulation (dient der Einkapselung anderer Protokolle und deren

Transport in Form eines Tunnels über IP)

HTTPS Secure Hyper Text Transport Protocol

IP Internet Protocol

ISP Internet Service Provider

Mpps Mega packets per second

OSI Open System Interconnection (Referenzmodell für Datennetzwerke; es besteht aus

sieben Kommunikationsschichten mit unterschiedlichen Aufgaben)

PC Personal Computer

SAP Service Access Point

SMS Short Message Service

SNMP Simple Network Management Protocol (dient dem Management von

Netzwerkelementen wie Routern, Switches, Druckern etc.)

SSL Secure Sockets Layer (Verschlüsselungsprotokoll zur sicheren Datenübertragung)

TCP Transmission Control Protocol

TMS Threat Management System

UDP User Datagram Protocol

Documents

DDoS Protection Service - documents.swisscom.com · Wirkungsvoller Schutz ihrer Infrastruktur vor Angriffen aus dem Internet – hoch verfügbarer Internetzugang White Paper DDoS