Bei einem DoS-Angriff wird bekanntermaßen ein System so sehr mit Anfragen überflutet, dass reguläre wichtige Anfragen von anderen Systemen oder Usern nicht mehr bearbeitet werden können und das System im Ernstfall komplett zusammenbricht.
DoS-Angriffe sind auch heute noch beliebte Methoden, um beispielsweise Konkurrenten zu schädigen. Alternativ werden solche Denial of Service Angriffe mit einer Lösegeldforderung (bezeichnet als Ransom Denial of Service) verknüpft, um Dienste wieder erreichbar zu machen. Wie jede Cyber-Attacke hat sich auch die klassische DoS-Attacke über die Jahre weiterentwickelt, so auch zum bekannten Distributed Reflective Denial of Service oder kurz DRDoS.
Im Vergleich zum „normalen“ DoS-Angriff, bei dem ein Angreifer direkt von einem System oder einem Botnetz aus Anfragen an sein Opfer versendet, werden bei einem DRDoS-Angriff die Anfragen nicht direkt an das eigentliche Ziel gesendet. Vielmehr nutzt ein Angreifer das unsichere Verhalten von UDP Protokollen aus, den – anders wie bei den TCP-basierten Protokollen – der Handshake fehlt, um festzustellen, ob der Empfänger zum Empfang der Daten bereit ist.
Dadurch kann ein Angreifer andere Netzwerkdienste wie DNS, NTP, etc. mit der IP-Adresse seines Opfers anfragen, die daraufhin Antworten an das Opfer senden und so das System mit ihrer Masse zum Absturz bringen können.
Das Fälschen der Quell-IP, um sich als sein Opfer auszugeben, ist heutzutage für Cyber-Kriminelle kein Problem mehr. Es kursieren unzählige Tools im Netz, mit denen man genau das erreichen kann. Auch ein Deaktivieren des UDP-Protokolls ist keine Lösung, um sich vor solchen Angriffen zu schützen, da es sich lediglich um UDP-basierte Protokolle handelt, die in modernen Netzwerken unabdingbar sind.
Dass DRDoS-Angriffe immer populärer werden, hängt zusätzlich noch an der unglaublich hohen Schlagkraft. Im Vergleich zu Standard DDoDs Angriffen sind DRDoS-Angriffe außerdem wesentlich einfacher auszuführen: Es werden keine aufwendigen Botnetze mehr benötigt, die die DoS-Angriffe ausführe, sondern nur noch ein System, dass alleine eine Lawine an Anfragen auslösen kann.
Erneut in den Fokus der Öffentlichkeit gerieten DRDoS-Angriffe als der Memcached-Exploit „Memcrashed“ bekannt wurde. Die Sicherheitslücke bei Memcached – einem Programm, mit dem kürzlich abgerufene Daten gespeichert werden, um sie bei häufigen Abfragen schneller abrufen zu können – sorgte dafür, dass Hacker große Werte, die in dem Programm gespeichert wurden, über UDP weiterleiten konnten. So führten kleine Anfragen an das Programm zu gewaltigen Antworten, die DoS-Angriffe in noch nie gesehener Größe zur Folge hatten.
Ein aktiver Schutz gegen die gefürchteten DRDoS-Angriffe lässt sich nicht erreichen. Protokolle wie DNS und NTP sind immer noch auf das UDP-Protokoll angewiesen und moderne Systeme wiederum sind auf DNS, NTP und Co. angewiesen. Es kann also noch nicht ohne funktionieren. Dennoch lassen sich einige Absicherungen realisieren, die Sie DRDoS-Angriffe erkennen lassen.
Zuerst sollte auf eine solide Grundsicherung gesetzt werden, damit vor allem kritische Systeme von außen nicht zu erreichen sind bzw. nur von sicheren Quellen oder per VPN erreichbar sind. Zudem sollten Überwachungstools zur Unterstützung eingesetzt werden.
Diese Tools, wie eine Firewall, die den Network-Traffic beobachten und analysieren sind eine solide Methode, um DRDoS-Angriffe jeglicher Art zu erkennen, bevor sie kritischen Schaden an Systemen verursachen können. Außerdem erzwingen IDS / IPS Systeme und WAFs einen Timeout bei den Ursprungs IP-Adressen und schützen so ebenfalls vor DRDoS-Angriffen. Es ist ebenfalls ratsam, bestimmte Services hinter CDN-Netzwerken, wie Cloudfare zu verstecken, um diese nochmals gesondert zu schützen.
