Was sind DoS Angriffe?

Aus g-portal.com Wiki
Wechseln zu: Navigation, Suche
g-portal.com - Dort wo sich spielen lohnt

Denial of Service Angriffe gehören heutzutage zu den Arten von Zwischenfällen die beinahe zum Alltag eines Gamehosters gehören.

Wie funktioniert ein DoS Angriff?

Dabei nutzen die Angreifer meistens Sicherheitslücken oder schlecht konfigurierte Services wie DNS (offene Resolver), NTP, oder ähnliches aus um gezielt auf eine IP Adresse einen Angriff zu starten.

Was genau passiert bei einem DoS Angriff?

Ein Angreifer gaukelt vielen DNS Servern (Domain Name Service) vor das jemand (jemand, ist in diesem Fall die IP deines Gameservers) wissen will welche IP die Domain XYZ.de hat. Dies geschieht mittels IP-Spoofing. Diese Anfrage schickt der Angreifer in deinem Namen sozusagen an hunderttausende von DNS Servern die überall auf der Welt gehostet werden. Diese DNS-Server antworten dir dann weil Sie denken du bist der "Anfragesteller" und wenn hunderttausende von DNS-Servern dir gleichzeitig Antworten, so verstopft es deine Leitung und der eigentliche Dienst (dein Gameserver) dahinter ist nicht mehr erreichbar. DNS Server eignen sich besonders gut für diese Art von Amplifikation Angriffe, da man mit einer kurzen Anfrage eine lange Antwort provozieren kann. Bis zu 50 mal größer kann die Antwort ausfallen als die Angriffe groß war. Was wiederum bedeutet das jemand mit einer 100Mb/s Leitung zu Hause theoretisch einen 50000Mb/s Angriff hervorrufen kann. Dies ist jedoch sehr theoretisch und viele DSL Provider verhindern dies. Jedoch passiert dies leider nicht überall auf der Welt. Leider wird dieser Faktor durch EDNS Erweiterungen sogar bestärkt, da früher maximal 512 Bytes große Antwortpakete zulässig waren kann man dies nun auf 30000 Bytes vergrößern.

DNS-amplifikation.jpg

Durch das IP-Spoofing und dadurch anonymisieren der Angriffsquelle lassen sich dies Angriffe sehr einfach verschleiern und man bekommt die Täter nur schwer zu fassen.

Marktübliche Gegebenheiten

Jeder Provider hat seine eigene Vorgehensweise mit solchen Angriffen umzugehen. Viele haben keine eigenen DoS Protection, da diese meistens sehr teure Produkte sind und viele Anbieter sich sowas nicht leisten können. Auch sind diese Produkte in Ihrer Bandbreite limitiert und nur durch den Einsatz von noch mehr Geld aufzurüsten. Wir selber besitzen eine Corero Firewall welche wir inLine für Euch zum Einsatz bringen um die Angriffe bereits beim ersten Bit zu erkennen und zu blockieren.

Methoden der Prävention

Es gibt wie bereits erwähnt verschiedene Techniken um solch einen DoS Schutz einzusetzen.

Monitoring Mode

Einmal gibt es den Sensor oder Monitoring mode. Dabei wird der gesamte eingehende Traffic eines Providers gespiegelt auf die Switchports an dem diese Firewall angeschlossen ist. Diese analysiert in Echtzeit den Traffic und reagiert meistens binnen weniger Sekunden auf einen Angriff aufgrund bestimmter Algorithmen die Angriffe ausmachen und somit unverkennbar machen. Wird so ein Angriff erkannt so routet die Firewall der Angegriffenen IP über sich hinweg. Sprich der gesamte Traffic der auf die Ziel-IP fließt, egal ob sauberer Traffic oder eben der DoS-Traffic wird dabei durch die Firewall geleitet und mittels verschiedener Techniken herausgefiltert so das am Ende nur noch der saubere Traffic sein Ziel erreichen kann. Vorteile sind das man nicht viel Bandbreite benötigt, welche die DoS Lösung bereithalten muss, denn es wird nur der Traffic der auf die Ziel IP gerichtet wird während eines Angriffes über die Firewall geroutet, der restliche Traffic bleibt unberührt. Der Nachteil liegt auf der Hand. Von der Erkennung eines Angriffes bis zum Umrouten des Traffic's eines Angriffes über die Firewall können bis zu 30 Sekunden vergehen und das langt um einen Server komplett down zu bekommen.

InLine Methode

Die inLine Methode, welche wir für die Beste halten und wir Euch auch zur Verfügung stellen lässt den Traffic egal ob gut oder böse immer über sich laufen. Dabei kann die Firewall vom ersten DoS Paket an den Angriff unterbinden bzw. filtern. Somit bekommt man erst gar nicht mit das ein Angriff überhaupt stattfindet weil sofort alles geblockt wird. Nachteil hierbei sind die Kosten für den Provider, da er permanent den gesamten Traffic über sich laufen lässt muss er entsprechend bei den DoS Produkten auch die nötige Bandbreite permanent zur Verfügung stellen und dies ist sehr kostenintensiv.


Allgemein, verwenden Provider Systeme die einen DoS Angriff erkennen. Die Bekämpfung ist nur je nach Größe, Know How und vor allem Budget dann unterschiedlich. Die gängigste Methode ist das sogenannte Nullrouten von angegriffenen IP Adressen. Dabei sperrt der Provider den Zugriff für alle, egal ob guten oder bösen Traffic auf eine IP für eine bestimmte Dauer und man kann nicht mehr drauf zugreifen. Diese Methode bewährt sich leider heute immer noch, was jedoch schade für den Kunden ist, da dieser sein bezahltes Produkt für eine gewisse dauer nicht mehr nutzen kann. Wir wenden diese Methode kaum bis gar nicht mehr an.