Distributed Denial of Service

Hallo Jungs & Mädels,
seit einiger Zeit durchstöbere ich schon das Breadfish Forum und habe nun eine Möglichkeit gefunden mich sinnvoll einzubringen.
Und zwar habe ich während meines Aufenthaltes hier bemerkt, dass diverse Kenntnisse in Sachen DoS/DDoS sich stark in Grenzen halten. Es fehlen viele Grundlagen und es scheinen diverse Falschwahrheiten im Umlauf zu sein (Klingt hart aber ist oft der Fall).
Nun möchte ich meine stark ausgeprägten Kenntnisse mit der Community teilen und euch eure Fragen beantworten. Es spielt dabei keine Rolle wie "dumm" eine Frage scheint, denn oftmals ist diese komplexer als man denkt.

Mit diesem Thread möchte ich euch die Möglichkeit bieten, mir Fragen zu DoS/DDoS zu stellen. Ich werde euch alle Fragen ausführlich beantworten und diese in den Thread (bearbeitet) einpflegen. Somit erhalten wir eine gute Q&A Liste zum Thema DDoS.

Ich beschäftige mich seit mehreren Jahren mit der Thematik DDoS und kann somit einen hohen Kenntnisstand aufweisen. Darunter zählt das Verständnis von DDoS Attacken, das Ausführen von DDoS Attacken, das Abwehren von DDoS Attacken (auch so ziemlich alle Anti-DDoS Systeme), die Auswirkungen von DDoS Attacken und noch vieles mehr.

Auch komplexe Fragen über Angriffstypen, Strategien, Skripte etc. sind möglich.

Bitte habt Verständnis, dass ich euch keine Tutorials, Skripte etc. zur Ausführung von DDoS Attacken zukommen lassen werde.

Nun genug gelabert! Vielleicht habe ich schon bei manchen das Interesse geweckt und ihr möchtet einen Einblick in diese Thematik erhalten also lasst euren Fragen freien Lauf

MfG Hydra

Zitat von m4a_X

Kann man sich vor DDoS schützen?

Dies ist eine sehr gute Frage und es lässt sich stark darüber streiten. Es gibt diverse Meinung darüber und ich werde dir meine Meinung dazu erklären:

Ja, zu 95% ist es möglich sich gegen DDoS zu schützen. Denn 95% aller DDoS Angriffe gehen von einem Booter/Stresser aus, welche keine hohen Bandbreiten zur Verfügung haben (Nicht alle, aber die meisten). Außerdem nutzen die meisten Booter / Stresser nur "Standard Attacken" (z.B.: DNS, NTP, SYN, ACK) und diese Angriffsarten lassen sich relativ leicht abwehren. Aber nur aus dem Grund, dass diese keine hohen Bandbreiten aufweisen (Im Durchschnitt 10-20 Gbit/s) und somit keine Probleme für diverse Filtersysteme (Cisco, Arbor, Juniper etc.) + die Infrastruktur des angegriffenen Providers darstellen.
Jedoch gibt es auch einige Booter / Stresser, welche sowohl öffentliche komplexere Skripte, als auch private Skripte benutzen und diese in ihr Angebot aufnehmen. Diese Skripte generieren Attacken, welche diverse "Standard" Filtersysteme umgehen und einer komplexeren Filterung unterzogen werden müssen. Jedoch sind die öffentlichen Skripte in diversen Anti-DDoS Systemen schon in den Filterregeln berücksichtigt und stellen auch keine erheblichen Probleme dar.
Private Skripte dagegen können Probleme für einige Anti-DDoS Provider bedeuten, da diese keine dynamische Rules benutzen, also Regeln, welche statisch sind und sich nicht an den Attack Traffic anpassen.

Deshalb setzen diverse bekannte Provider auf Hybrid Lösungen. Dies ist eine Kombination aus "Standard" Systemen und "Komplexen" Systemen. Dadurch lassen sich stumpfe Attacken vorfiltern und auf komplexere Attacken effizient reagieren.

Zitat von m4a_X

Warum sind Server (TeamSpeak) oder Webseiten schneller Offline als ein SA:MP Server?

Das ist eine falsche Annahme. SA:MP Server sind genauso "schnell offline" als Teamspeak Server. Und zwar aus folgenden Gründen:

- Beide Dienste basieren auf dem User Datagram Protocol (UDP) und lassen sich somit nur durch komplexe Systeme effizient und erfolgreich filtern
- Beide Dienste besitzen ein geschlossenes Kommunikationsprotokoll. Das heißt die Sprachpakete bzw. Gameserverpakete sind nicht öffentlich zugänglich, verschlüsselt und das Protokoll lässt sich nicht nachbauen (Deshalb gibt es keine Custom Clients für Teamspeak / SA:MP, welche nicht den eigentlichen Clienten im Hintergrund nutzen)

Das ist einamlpositiv, da Angreifer die Pakete nicht "nachahmen" können, aber auch negativ, da Provider keine Grundlage haben die Pakete auf Richtigkeit zu prüfen.

Der einzige Grund wieso SA:MP vll. besser zu schützen ist als Teamspeak ist der überschaubarere Paketaufbau. Somit sind vll. SA:MP Pakete nur in einer bestimmten Paketgröße, TimeToLive vorhanden. Aber das ganze ist komplex und ich werde darauf nur bei besonderem Interesse eingehen.

HTTP / HTTPS basiert auf TCP und lässt sich somit durch das verbindungsorientierte Protokoll validieren (Three-Way-Handshake). Jedoch ist es hier schwierig legitime Anfragen von nicht legitimen Anfragen zu unterscheiden. Deshalb sind Websiten anfällig für komplexe Layer 7 Angriffe (Application Layer). Auch ein komplexes Thema, wenn Interesse besteht gehe ich näher darauf ein.

Zitat von m4a_X

Was ist der unterschied zwischen einer HTTP, UDP oder TCP Attacke?

Ich denke das habe ich schon ausreichend erklärt nochmal kurz:

HTTP Floods sind Attacken auf dem Application Layer und verursachen Serverlasten und bringen den Webserver in die Knie.

UDP Floods sind Attacken, welche oftmals zur Überlastung der Netzwerkverbindung genutzt werden, da es ein schnelles Protokoll ist. Seit ein paar Jahren werden auch hier komplexere Application Attacken auf Gameserver oder Voiceserver ausgeführt (TS3INIT1 als Beispiel)

TCP Floods sind Attacken, welche die Ressourcen des Servers überlasten. Durch tausende geöffnete und unbeantwortete Anfragen zwingt es einen Server in die Knie. (Gegenmaßnahme wäre zum Beispiel SynCookies / SynProxy)

Zitat von m4a_X

Wie genau wirkt sich der DDoS auf den Server aus?

Je nach Angriffsart kann entweder die Netzwerkverbindung überlastet werden, die Ressourcen eines Server überlastet werden (z.B.: CPU, RAM) aber es gibt auch DoS Attack auf die Festplatten (z.B.: Überfüllen des Speichers).

Zitat von m4a_X

Können nach einem Angriff bleibende Schäden entstehen?

Hardwareseitig eher unwahrscheinlich, da die Serversysteme für hohe Lasten getestet werden und Schutzmaßnahmen implementiert haben. Jedoch kann für Firmen ein Image oder Finanzschaden entstehen.

Zitat von m4a_X

Wie funktioniert eine DDoS-Protection?

Auf diese Frage werden ich später antworten, da ich dafür mehr Zeit benötige. Ein bisschen Geduld

Achja bevor ich es vergesse bitte sei vorsichtig mit den Einheiten. 200 GB/s ist etwas anderes als 200 Gbit/s. Einen öffentlichen Booter / Stresser mit 200 GB/s gibt es nicht. Das wäre eine Bandbreite von 1.6 Tbit/s. Ich erwähne das Ganze nur nebenbei, da du deinen Post entfernt hast.

Zitat von idkme

- Wie kann man als Laie Vorkehrungen treffen? (Laie ist damit der einfache SA:MP Server Beitreiber genannt, der den Server mal updatet und den Samp Server neustartet)

Wie schon erwähnt kannst du selbst als Serverbetreiber nur etwas gegen kleine Angriffe tun, die zum einen die Netzwerkverbindung deines Servers nicht überlasten, als auch dessen Ressourcen. Du kannst dort mit Softwarefirewalls arbeiten und viele kleine Attacken blocken (z.B.: iptables, pfw etc.). Iptables beinhaltet die Möglichkeit bestimme Source IP-Adressen, Paketgrößen, TTL oder Paketinhalte zu blockieren. Außerdem bist du in der Lage bestimmte Anfragen zu limitieren. Oftmals nutzt man diese als Zusatz zu professioneller Schutzlösungen des Providers (Zum Beispiel um Attacken, welche der Provider nicht filtert zu minimieren). Aber in diesem Fall ist zu bedenken, dass jede Filterregel den Server Ressourcen kostet.

Zitat von idkme

Was ist deiner Meinung nach aktuell der beste Anbieter zumn Schutz vor DDos?

Das kann ich pauschal nicht sagen. Es kommt immer darauf an, welchen Schutz man benötigt. Also welche Dienste laufen auf dem Server usw. Aber ich kann dir einen kleinen Überblick geben:

Gameserver:
Um einen Gameserver effektiv zu schützen ist derzeit die Game Protection von OVH zu empfehlen. Aber auch nur wenn das Spiel auch unterstützt wird. OVH hat mit dieser Schutzlösung ein sehr robustes System geschaffen. Dabei nutzen sie die Kapazitäten ihres Netzwerkes (bald 7.1 Tbit ) und können große und grobe Attacken ohne Probleme filtern. Zusätzlich zu dem permanenten Schutzes hat OVH ihre Tilera Firewall mit einer Paketvalidierung aufgerüstet. Bei einer Kommunikation arbeitet diese sozusagen als Mittelsmann. Nimmt die Anfragen an prüft diese und leitet diese weiter. Zusätzlich prüft diese die ausgehenden Pakete auf Richtigkeit. Somit hat die Tilera Firewall die volle Kontrolle über die Kommunikation und kann somit sehr gut die legitimen Anfragen von den falschen Anfragen unterscheiden.
Sollte sie eine Anfrage, welche falsch ist durchlassen erreicht diese den Server jedoch antwortet der Server mit einer Fehlermeldung, welche die Tilera erhält und weiß, dass die Anfrage nicht legitim ist. Sie aktualisiert ihre Filterregeln und alle weiteren Anfragen werden erfolgreich gefiltert. (Verdammt schwer zu erklären lol.)
Voiceserver:
Auch hier kann ich nur die OVH Game Protection empfehlen. Diese arbeitet mit Teamspeak ebenso effizient wie mit den unterstützen Spielen.
Website:
Akamai oder Prolexic. Da Akamai eine große globale Infrastruktur besitzt sind sie auch großen Attacken gewachsen. Außerdem besitzen sie eigene Filter für HTTP Attacken. Jedoch sind deren Angebote auch sehr teuer aber uneingeschränkt weiter zu empfehlen.
Und auch selbst dann, wenn diese vor kurzem erst Krebsonsecurity fallen gelassen haben. Wir reden hier von Attacken jenseits von gut und böse. Über 1 Tbit/s SYN ist sehr sehr sehr realitätsfremd und kommt nur äußerst selten vor.

Es gibt viele andere Anbieter und jeder hat seine Stärken und Schwächen. Die beste Protection gibt es nicht, da jede für eine andere Art von Dienst besser ist. Es sollte unbedingt auf Provider mit speziellen für eine Anwendung entwickelte Lösungen gesetzt werden.

Zitat von idkme

Wieso kann ein Angreifer nicht zur Rechenschaft gezogen werden?

Angreifer können zur Rechenschaft gezogen werden, wenn diese erwischt werden. Dafür muss jemand jedoch erst einmal eine Anzeige gegen Unbekannt starten.
Das Problem ist, dass DDoS Attacken niemals durch Homeconnection ausgeführt werden sondern von kompromittierten Systemen oder die Attacken werden gespooft (IP-Adresse verändert). Nur durch sehr hohen Aufwand ist der Ursprung einer DDoS Attacke zu ermitteln, da sich die Angreifer hinter vielen (sehr vielen) Systemen verstecken.

Zitat von idkme

Wie kamst du darauf dich so in die Materie zu vertiefen?

Zeit und Spaß an Technik. Man wird tagtäglich mit Systemen konfrontiert und ich möchte verstehen womit ich arbeite oder meine Abende verbringe. Deshalb habe ich mich auch für einen IT-Beruf entschieden.

Zitat von idkme

Nur als Zusatz kurz. Es wäre vielleicht gut, wenn du deine Antworten einfacher formulierst (z.B. Application Layer). Ein normaler User weiß gar nicht, dass es Osi-Iso Schichten gibt.

Ich tue mein Bestes! Aber manchmal merke ich nicht, dass es ein Fremdwort für andere ist

Zitat von m4a_X

Layer 7 Angriffe würde mich persönlich noch Interessieren (wenn es keinen Aufwand macht es zu erklären & es nicht beiträgt zu Angriffen^^)

Kommen mit der Erklärung der DDoS Protection

Zitat von Cheppert

Aloha 'oe,
erzähl mir ein bisschen was über die Unterschiede zwischen VAC (OVH), Voxility, Arbor Anlagen und eigene Lösungen.
So ein paar Pro's unc Con's wären super, für wen sich was besser lohnt.

~Cheppert

OVH VAC
VAC von OVH ist eine sehr gut entwickelte Anti-DDoS Solution. Sie filtern so ziemlich alle Attacken (ausgenommen anwendungsspezifische UDP Attacken für zum Beispiel Teamspeak 3 , Counter Strike etc.) und kennt fast keine Grenzen. Sei 2013 gibt es OVH VAC und es wurde seitdem kein Kunde genullroutet. Die offiziellen Grenzen liegen laut OVH bei ca. 640 Gbit/s (160 Gbit/s pro VAC) jedoch erhielt OVH vor einer Woche einen Angriff von 1.1 Tbit/s TCP und konnte den Angriff erfolgreich ohne nennenswerten Trafficstau (Congestion auf Deutsch hört sich schwachsinnig an...) Nur kleine Probleme mit spanischen Kunden.
Desweiteren reagiert die OVH VAC innerhalb weniger Sekunden und eignet sich als sehr gut als "Für den Fall, wenn ...." Protection. Aber bekanntlich ist diese auch in der permanent Version verfügbar.
Ein weiterer Punkt für OVH VAC ist das in diesem Jahr noch kommende Upgrade. Welches die Kapazität von 640 Gbit/s auf ca. 5 Tbit/s steigert Das ganze gelingt durch FPGA Controller, welche in der Lage sind sehr CPU intensive Berechnungen (DDoS Traffic filtern?! ) um einiges schneller als gewöhnliche CPU`s zu bewältigen. Wenn das mal kein Wort ist.
Der einzige Nachteil derzeit ist der fehlende Layer 7 Filter für Webangriffe wie zum Beispiel Wordpress Pingback oder Joomla Amplification.
OVH VAC GAME
Da die OVH VAC nicht in der Lage ist UDP Angriffe effektiv zu filtern hat OVH in ihre Tilera Firewall eine Paketvalidierung integriert. Die Tilera dient somit sozusagen als Cache und kontrolliert den eingehenden und ausgehenden Traffic. Somit ist sie besser in der Lage bösen von gutem UDP Traffic zu unterscheiden. OVH hat Profile für jeden Dienst (Teamspeak, Mumble, CSGO, Minecraft) entwickelt und erlaubt somit nur den spezifischen Traffic. Diese Lösung ist OVH sehr gelungen und ist derzeit die effektivste Möglichkeit DDoS Angriffe für die unterstützten Anwendungen abzuwehren.
Voxility
Auch Voxility besitzt einen effektiven DDoS Schutz, welcher ebenfalls wie OVH aus einem Cloudsystem mit diversen Scrubbing Centern besteht und Hardware Firewalls, welche anwendungspezifischen Traffic filtern. Hier eine kleine Übersicht:

Wie man sieht filtert Voxlity auf diversen Standard Ports die jeweiligen anwendungspezifischen Attacken heraus. Somit besitzt Voxility eine allgemeine Protection, welche für viele Anwendungen funktioniert. Sowohl im Sensormode als auch im permanenten Mode.
Ich persönlich sehe Voxiltiy als eine gute allgemein Lösung. Sie filtern ebenfalls so ziemlich alle Attacken sogar mehr als OVH jedoch sind deren Filter nicht so optimal an die Anwendungen angepasst. Das erkennt man zum Beispiel daran, dass ein Teamspeak Server hinter der permanenten Protection von Voxility Paketverlust hat. Welcher sich auf bis zu 8% beläuft. Ich hatte schon sehr viele Gespräche mit Voxiltiy über genau dieses Problem und gegen Ende wurde die Schuld auf die Teamspeak Anwendung geschoben. Es wird sich somit in diesem Punkt wenig ändern denke ich.
Anders als OVH VAC beinhaltet Voxility einen inline Layer 7 Filter für Attacken auf den Webserver. Das heißt es werden große HTTP Attacken wie zum Beispiel Wordpress Pingback oder Joomla Amplification, welche Anfragen im Durchschnitt von 20.000 pro Sekunde verursachen, gefiltert. Diese Attacken werden oft verwendet um Websiten anzugreifen, da sie hohe Anfragen verursachen. Zusätzlich werden noch Basic HTTP Floods gefiltert. Kommen wir jedoch zu komplexen Layer 7 Angriffen auf Websiten muss wieder selbst Hand angelegt werden (Javascript Bypass, Dynamic HTTP Requests etc.)
Aus diesen Gründen wird Voxility oft als Remote Protection verwendet. Es ist ein effektiver gepflegter allgemeiner Filter für diverse Anwendungsgebiete. Wie bei OVH sind alle Ressourcen geshared. Voxility besitzt eine Filterkapazität von ca. 1 TBit/s im Moment

Nullroutes werden bei im Bereich von 100 - 300 Gbit/s durchgeführt. Je nachdem ob man dedizierte Pakete oder allgemeine Pakete bei Voxility besitzt.

Arbor Filtersysteme
Welche Systeme du genau meinst weiß ich nicht. Aber ich denke du redest generell von den Arbor Systemen. Die bekanntesten sind unter anderem Arbor Peakflow und Pravail. Viele Hoster nutzen die Anti-DDoS Systeme zum Filtern von großen und "einfachen" Attacken (NTP, DNS, SSDP, Chargen etc.) dafür sind diese Systeme ausgelegt und funktionieren optimal. Auch OVH und Voxiltiy verwenden diese Systeme. Sie sind optimal für die sagen wir mal groben Attacken geschaffen.
Arbor Pravail dagegen arbeitet auch auf der Anwendungsebene und kann diverse anwendungsspezifische Attacken filtern.
Mit einer großen Infrastruktur und anderen ergänzenden Systemen können Arbor Systeme wunderbar als DDoS Protection harmonieren. SIehe OVH, Voxilty, FirstColo etc. Es sind sozusagen erforderlich für diverse große Anbieter

Eigene Lösungen
Auch eigene Filtersysteme sind oft sehr effektiv gegen DDoS Angriffe. Es gibt diverse Anbieter, welche ihre eigene Lösung aufbauen. Zum Beispiel Seflow, KMS-Hosting, Link11 etc. Diese Systeme glänzen mit der Möglichkeit jederzeit auf Bedürfnisse angepasst zu werden. Dies lässt sich auch bei OVH erkennen. Zu erst nehmen sie eine Firewall, welche viele Pakete abhaben kann (Tilera) bastlen ihre eigenen Kernel und Firmwares und haben ein stabiles System geschaffen. Nun arbeiten sie mit FPGA und schaffen ein noch besseren System und kombinieren diese mit namenhaftem Systemen (Juniper, Cisco, Arbor).

Eine heutige DDos Protection besteht nicht nur noch aus einem Stück Hardware, welches fertig gekauft wird und alle tut was man will. Nein! Man benötigt ein System welches sich anpassen lässt, da sich die Attacken wöchentlich ändern und Angreifer täglich versuchen Systeme zu bypassen.

@m4a_X Hier findest du schon viel zu deinen Fragen ich werde mit der Zeit auch andere Systeme erklären.

# Push 21.11.2016

Zitat von Sidney_Smith

http://gph.is/191zeP3

..MIND OVERLOAAAAD!
Ich hab tatsächlich mehr gelernt in einen SAMP Forum als sonst wo anders. Danke dir / euch.

Das ist genau das Problem, welches ich sehe. Man bekommt einfach zu wenige Informationen über das Thema. Es ist komplexer als es oftmals dargestellt wird und ich versuche dies anderen beizubringen.

Zitat von HandsUper

Ist das Anti DDOS Schutz was bei Samp4You verkauft wird gut? Oder kannst du mir auch etwas extremes anbieten?

Samp4you nutzt den OVH DDoS Schutz. Ob diese auch den speziellen Gameschutz benutzen kann ich leider nicht sagen. Dazu müsste man den Support anfragen.
Sollten sie den Gameschutz nutzen, dann ist das die derzeit stärkste Protection. Aufgrund der schon genannten Punkte.

Zitat von ElDiabolo

Sollte man als "Laie" nicht relativ geschützt sein, wenn man standardmäßig alles blockt (Router) und auch in dem Moment des Angriffs keine Anfragen schickt, welche Ports öffnen, oder sehe ich das falsch?

Da die Bandbreite eines heutigen DDoS Angriffes die Bandbreite eines durchschnittlichen Internetanschlusses um ein Vieles übertrifft, bringt das blockieren der Anfragen am Home Router nichts.

Solche Maßnahmen müssen an den Core Routern der Provider geschehen.