Gegen digi­tale Atta­cken: NETHINKS setzt auf “BCP38”

“Reflec­tion”- oder auch “Amplification”-Attacken zählen zu den volu­men­träch­tigsten DDoS-Angriffen über­haupt. Zählten früher noch DNS-Ampli­fi­ca­tions zu den sehr impact-starken Angriffen (mit bis zu 500GBit/s), gibt es neuer­dings völlig neue Angriffs­stra­te­gien, mit denen Angriffe mit bis zu 1,5TBit/s und darüber hinaus möglich und bereits vorge­kommen sind. Ein Beispiel: Der soge­nannte “Memcached-Reflection”-Angriff hat es in diesem Jahr sogar in die Fach­presse gebracht. Den Ablauf eines solchen Angriffs haben wir bereits einmal beschrieben.
Da sich auch die großen Internet-Gremien dieses Gefähr­dungs­po­ten­zials bewusst sind, empfiehlt beispiels­weise die IETF (“Internet Engi­nee­ring Task Force”) allen Internet Service­pro­vi­dern, “BCP38” umzu­setzen. BCP steht hier für “Best Common Prac­tice”, was sich am ehesten mit “empfoh­lene Vorge­hens­weise” über­setzen lässt.
BCP38 zielt darauf ab, eine grund­le­gende Schwach­stelle zu elimi­nieren, die eine exis­ten­zi­elle Kompo­nente der Reflec­tion-Angriffe darstellt: Die Möglich­keit, über einen belie­bigen Rechner mit einer gefälschten Absen­de­adresse Daten ins Internet zu senden. Dies wird als “IP-Spoo­fing” bezeichnet.
Die Empfeh­lung sieht vor, am soge­nannten “Provider Edge”, also der Schnitt­stelle eines Provider-Netzes, an der die einzelnen Teil­neh­mer­an­schlüsse zusam­men­ge­führt werden, einen Filter zu imple­men­tieren, der nur die dem Teil­nehmer zuge­wie­senen IP-Adressen zulässt. Somit ist es einem infi­zierten Rechner nicht mehr möglich, die Absen­de­adressen der versen­deten Pakete auf die IP-Adresse einen Angriffs­ziels zu mani­pu­lieren. Der normale Inter­net­traffic wird durch diesen Filter nicht beeinflusst.
Viele Hersteller von Provider-Netz­werk­hard­ware haben hier Mecha­nismen in ihren Produkten imple­men­tiert, die diese Konfi­gu­ra­tion teil­au­to­ma­ti­siert erbringen. Somit ist der Aufwand für einen Internet-Service­pro­vider, BCP38 umzu­setzen, als recht über­schaubar einzustufen.
In der ISP-Platt­form von NETHINKS sind alle NT/Con­nect-Produkte sowie ein Groß­teil der NT/DSL-Anschlüsse bereits durch diese Mecha­nismen geschützt. Diese Vorkeh­rung stellt einen wich­tigen Beitrag für ein siche­reres Internet dar.
Weitere Infor­ma­tionen zum Thema finden Sie hier und hier. Ihre Fragen beant­worten wir Ihnen natür­lich auch gerne persön­lich - spre­chen Sie uns einfach an!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern