Ja, eine frühzeitige Erkennung ist durch umfassende Überwachung des Netzwerktraffics und Aufdeckung ungewöhnlicher Muster möglich, die auf eine Flood hindeuten.
Ein WS-Discovery-Flood-Angriff ist ein DDoS-Reflection-Angriff, der das WS-Discovery-Protokoll verwendet, um die Auswirkung des Angriffs deutlich zu verstärken. Angreifer starten WS-Discovery-Floods, um Server, Websites, Netzwerke oder andere Geräte mit Traffic zu überlasten, bis sie langsamer werden oder abstürzen. Verstärkungstechniken, wie sie bei WS-Discovery-Floods verwendet werden, ermöglichen mit geringem Aufwand und wenig Ressourcen massive Angriffe.
Was bedeutet der Begriff „DDoS-Angriff“?
Ein DDoS-Angriff (Distributed Denial of Service) ist ein Cyberangriff, bei dem Hacker die Kontrolle über Tausende oder Millionen von mit Malware infizierten Computern oder IoT-Geräten übernehmen und diese anweisen, Traffic und Anfragen an ein Ziel oder Opfer zu senden – in der Regel handelt es sich dabei um einen Server. Beim Versuch, auf die enorme Anzahl von Anfragen zu reagieren oder einen Sinn daraus zu ziehen, wird der Zielserver überlastet und verlangsamt oder stürzt sogar ab. So kann ein DDoS-Angriff Websites, Netzwerke und Organisationen für einen bestimmten Zeitraum lahmlegen.
Was ist ein DDoS-Reflection-Angriff?
Bei einem Reflection-Angriff fälschen Angreifer Ziel-IP-Adressen, indem sie beim Senden von Paketanfragen an einen anderen Server die IP-Adresse des gewünschten Opfers oder des Zielservers verwenden. Wenn das System auf die Paketanfrage reagiert, gehen die Antworten an die Computer des Opfers und nicht an die Angreifer. Diese Technik ermöglicht es, DDoS-Traffic über andere Computer zu „reflektieren“, anstatt den Traffic direkt an ein Ziel zu senden.
Um die Auswirkungen noch zu verstärken, versuchen Angreifer, Traffic von Computern zu reflektieren, die viel größere Antworten liefern als die ursprüngliche Anfrage. Bei diesen Verstärkungsangriffen müssen Angreifer eine relativ geringe Anzahl an Paketen und nur wenige Ressourcen aufwenden, um riesige Mengen an Traffic zu generieren, der die Zielcomputer mit großen Datenmengen schneller und einfacher überlastet.
Was ist WS-Discovery?
Web Services Dynamic Discovery (WS-Discovery oder WSD) ist ein Multicast-Kommunikationsprotokoll, das für die Geräteerkennung in lokalen Netzwerken entwickelt wurde. WS-Discovery verwendet das User Datagram Protocol (UDP), eines der wichtigsten Transportprotokolle für die Internetkommunikation, kann aber auch auf das Transmission Control Protocol (TCP) zurückgreifen. WSD-fähige Geräte wie IP-Kameras, DVRs, Lautsprecher usw. nutzen Beacons, um die Erkennung und Verbindung zwischen Geräten zu erleichtern. Ein DVR kann beispielsweise das WSD-Protokoll verwenden, um IP-Kameras in der Nähe zu erkennen, mit denen er kommunizieren kann. Es handelt sich zwar nicht um ein allgemein bekanntes Protokoll, doch WS-Discovery wurde von ONVIF, einer Organisation, die standardisierte Schnittstellen fördert, übernommen, um die Interoperabilität von Netzwerkprodukten zu fördern. Daher ist das WSD-Protokoll mittlerweile in Hunderttausenden von Produkten weltweit enthalten.
Das WSD-Protokoll sollte ursprünglich auf Local Area Networks (LANs) beschränkt werden. Durch die Produktion von Hardware mit dem WSD-Service und der Bereitstellung dieser Hardware über das Internet bot sich für Angreifer jedoch auch ein neuer Angriffsvektor für die DDoS-Reflection.
Wie funktioniert eine WS-Discovery-Flood?
Ein WS-Discovery-Reflection-DDoS-Angriff nutzt Schwachstellen im UDP/TCP-Protokoll aus. Da es sich bei UDP um ein zustandsloses Protokoll handelt, ist es für Angreifer recht leicht, beim Senden von Anfragen an andere Geräte eine IP-Adresse zu fälschen. Dies ermöglicht es Angreifern, riesige Trafficmengen von WS-Discovery-Geräten zum Ziel ihrer DDoS-Angriffe zu lenken. Obwohl das TCP-Protokoll verbindungs- oder zustandsorientiert ist, kann es für IP-Spoofing- und WSD-Angriffe eingesetzt werden.
Was einen WS-Discovery-Flood-Angriff so wirkungsvoll macht, ist der Umstand, dass die WSD-Antwort so viel größer ist als die ursprüngliche Anfrage. Kleine Pakete, die an ein WS-Discovery-Gerät gesendet werden, können Antworten generieren, die 75- bis 150-mal größer sind. Einige Angriffe wiesen sogar 300- und 500-fache Verstärkungsraten auf. Diese Angriffe sind deutlich größer als andere UDP-Protokollangriffe, die tendenziell einen durchschnittlichen Verstärkungsfaktor von 10 haben.
WS-Discovery-Flood-DDoS-Angriffe sind außerdem schwer zu erkennen. Das Protokoll reagiert mit zufälligen High Ports und einzigartigen Daten-Payloads, was die Erkennung und Abwehr des Angriffs schwierig gestaltet. Aufgrund der intensiven Verstärkung und Reflexion sind Ihre Internet-Uplinks zudem bereits gesättigt, wenn der Angriff Ursprungssysteme oder -services erreicht. So haben Sie keine Möglichkeit, ihn zu erkennen oder abzuwehren.
Häufig gestellte Fragen (FAQ)
Sicherheitsteams können verschiedene Schutzmaßnahmen zur Abwehr von WS-Discovery-Reflection-Angriffen implementieren.
- Blockieren des Traffics auf UDP-Port 3702. Sicherheitsteams können den UDP-Quellport 3702 auf ihren Gateway-Geräten und Firewalls blockieren, um WSD-Traffic vorzubeugen. Da diese Maßnahme jedoch nicht verhindert, dass Traffic die Bandbreite von Routern aufbraucht, werden zusätzliche Cloudsicherheitsstrategien empfohlen.
- IP-Filter. Sicherheitsteams können IP-Filtertechnologie einsetzen, um Anfragen von nicht zulässigen IP-Adressen abzulehnen.
- DDoS-Abwehrservices. Die Implementierung von Cloud-DDoS-Abwehrservices eines führenden Cybersicherheitsanbieters wie Akamai ist eine der effektivsten Möglichkeiten, DDoS- und Verstärkungsangriffe aufzuhalten.
WS-Discovery-Floods finden zwar nicht täglich statt, aufgrund ihrer Tragweite erfordern sie aber trotzdem Aufmerksamkeit. Wenn Sie wissen, wie häufig solche Angriffe auftreten, können Sie besser proaktive Strategien für die Netzwerksicherheit entwickeln.
Obwohl kein Netzwerk vollständig immun ist, reduzieren proaktive Sicherheitsmaßnahmen die Anfälligkeit für WS-Discovery-Floods erheblich.
Die Risiken, die mit WS-Discovery-Floods verbunden sind, reichen von Netzwerkunterbrechungen bis hin zu weiteren Multi-Vektor-Angriffen, die zu potenziellen Datenschutzverletzungen führen, weshalb sie ein erhebliches Sicherheitsrisiko darstellen.
Warum entscheiden sich Kunden für Akamai?
Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.