„Reflection“- oder auch „Amplification“-Attacken zählen zu den volumenträchtigsten DDoS-Angriffen überhaupt. Zählten früher noch DNS-Amplifications zu den sehr impact-starken Angriffen (mit bis zu 500GBit/s), gibt es neuerdings völlig neue Angriffsstrategien, mit denen Angriffe mit bis zu 1,5TBit/s und darüber hinaus möglich und bereits vorgekommen sind. Ein Beispiel: Der sogenannte „Memcached-Reflection“-Angriff hat es in diesem Jahr sogar in die Fachpresse gebracht. Den Ablauf eines solchen Angriffs haben wir bereits einmal beschrieben.
Da sich auch die großen Internet-Gremien dieses Gefährdungspotenzials bewusst sind, empfiehlt beispielsweise die IETF („Internet Engineering Task Force“) allen Internet Serviceprovidern, „BCP38“ umzusetzen. BCP steht hier für „Best Common Practice“, was sich am ehesten mit „empfohlene Vorgehensweise“ übersetzen lässt.
BCP38 zielt darauf ab, eine grundlegende Schwachstelle zu eliminieren, die eine existenzielle Komponente der Reflection-Angriffe darstellt: Die Möglichkeit, über einen beliebigen Rechner mit einer gefälschten Absendeadresse Daten ins Internet zu senden. Dies wird als „IP-Spoofing“ bezeichnet.
Die Empfehlung sieht vor, am sogenannten „Provider Edge“, also der Schnittstelle eines Provider-Netzes, an der die einzelnen Teilnehmeranschlüsse zusammengeführt werden, einen Filter zu implementieren, der nur die dem Teilnehmer zugewiesenen IP-Adressen zulässt. Somit ist es einem infizierten Rechner nicht mehr möglich, die Absendeadressen der versendeten Pakete auf die IP-Adresse einen Angriffsziels zu manipulieren. Der normale Internettraffic wird durch diesen Filter nicht beeinflusst.
Viele Hersteller von Provider-Netzwerkhardware haben hier Mechanismen in ihren Produkten implementiert, die diese Konfiguration teilautomatisiert erbringen. Somit ist der Aufwand für einen Internet-Serviceprovider, BCP38 umzusetzen, als recht überschaubar einzustufen.
In der ISP-Plattform von NETHINKS sind alle NT/Connect-Produkte sowie ein Großteil der NT/DSL-Anschlüsse bereits durch diese Mechanismen geschützt. Diese Vorkehrung stellt einen wichtigen Beitrag für ein sichereres Internet dar.
Weitere Informationen zum Thema finden Sie hier und hier. Ihre Fragen beantworten wir Ihnen natürlich auch gerne persönlich – sprechen Sie uns einfach an!