DoS-Abwehr
Categories:
DDoS-Abwehr
Zwei Arten von DoS-Angriffen:
- Dienst zum Absturz bringen
- Netzwerk überlasten
Angriffsarten
| Angriffsart | Angriffsmethode | Gegenmaßnahmen |
|---|---|---|
| Distributed DoS | Mehrere Maschinen mit unabhängigen IPs starten gleichzeitig einen Angriff | 1. Dienstdegradierung 2. Blacklist 3. Netzwerkgeräte abschalten |
| Yo-yo attack 悠悠球攻击 | Angriff in den Pausen, in denen die Ressourcen von Diensten mit automatischer Skalierung abnehmen | Blacklist |
| Application layer attacks 应用层攻击 | Angriffe auf bestimmte Funktionen oder Eigenschaften; LAND gehört zu dieser Art | Blacklist |
| LANS | Diese Angriffsmethode verwendet speziell konstruierte TCP-SYN-Pakete (normalerweise zum Öffnen einer neuen Verbindung), die dazu führen, dass die Zielmaschine eine leere Verbindung öffnet, bei der Quell- und Zieladresse ihre eigene IP sind. Führt zu ständigen Selbstantworten und verbraucht Systemressourcen bis zum Absturz. Unterscheidet sich von der SYN-Flood-Attacke. | Blacklist |
| Advanced persistent DoS 高级持续性 DoS | Aufklärung vermeiden / klare Ziele / Gegenmaßnahmen umgehen / langfristige Angriffe / hohe Rechenleistung / Multi-Thread-Angriffe | Dienstdegradierung |
| HTTP slow POST DoS attack 慢 post 攻击 | Erstellt legitime Verbindungen und sendet dann große Datenmengen mit extrem langsamer Geschwindigkeit, was zu Erschöpfung der Serverressourcen führt | Dienstdegradierung |
| Challenge Collapsar (CC) attack 挑战 Collapsar (CC) 攻击 | Sendet häufig Standard-Legitimierungsanfragen, die viele Ressourcen belegen, z. B. verbrauchen Suchmaschinen viel Speicher | Dienstdegradierung, Inhaltserkennung |
| ICMP flood Internet 控制消息协议 (ICMP) 洪水 | Große Menge an Ping-/Fehlerping-Paketen / Ping of Death (fehlergeformtes Ping-Paket) | Dienstdegradierung |
| 永久拒绝服务攻击 Permanent denial-of-service attacks | Angriffe auf die Hardware | Inhaltserkennung |
| 反射攻击 Reflected attack | Sendet Anfragen an Dritte und leitet durch Fälschung der Adresse die Antworten an das eigentliche Opfer weiter | DDoS-Bereich |
| Amplification 放大 | Nutzt einige Dienste als Reflektoren, um den Datenverkehr zu verstärken | DDoS-Bereich |
| Mirai botnet 僵尸网络 | Nutzt kompromittierte IoT-Geräte | DDoS-Bereich |
| SACK Panic 麻袋恐慌 | Manipuliert die Maximum Segment Size und Selective Acknowledgments, was zu erneuten Übertragungen führt | Inhaltserkennung |
| Shrew attack 泼妇攻击 | Nutzt die Schwäche des TCP-Retransmission-Timeout-Mechanismus; kurze synchrone Verkehrsspitzen unterbrechen TCP-Verbindungen auf derselben Leitung | Timeout-Verwurf |
| 慢读攻击 Slow Read attack | Ähnlich wie Slow Post; sendet legitime Anfragen, liest aber sehr langsam, um den Verbindungspool zu erschöpfen. Wird durch Ankündigung einer sehr kleinen Zahl für das TCP Receive Window erreicht | Timeout-Trennung, Dienstdegradierung, Blacklist |
| SYN flood SYN 洪水 | Sendet eine große Anzahl von TCP/SYN-Paketen, was dazu führt, dass der Server halb offene Verbindungen erstellt | Timeout-Mechanismus |
| 泪珠攻击 Teardrop attacks | Sendet beschädigte IP-Fragmente mit überlappenden oder übermäßigen Nutzlasten an die Zielmaschine | Inhaltserkennung |
| TTL 过期攻击 | Wenn Pakete aufgrund von TTL-Ablauf verworfen werden, muss die CPU des Routers eine ICMP-Timeout-Antwort generieren und senden. Das Generieren vieler solcher Antworten überlastet die CPU des Routers | Traffic verwerfen |
| UPnP 攻击 | Basiert auf DNS-Verstärkungstechnologie, aber der Angriffsmechanismus ist ein UPnP-Router, der Anfragen von einer externen Quelle an eine andere weiterleitet und UPnP-Verhaltensregeln ignoriert | Dienstdegradierung |
| SSDP 反射攻击 | Viele Geräte, einschließlich einiger Residential-Router, haben eine Sicherheitslücke in der UPnP-Software, die Angreifer ausnutzen können, um Antworten an eine Zieladresse ihrer Wahl über Port 1900 zu erhalten | Dienstdegradierung, Port sperren |
| ARP 欺骗 | Verknüpft eine MAC-Adresse mit der IP-Adresse eines anderen Computers oder Gateways (z. B. Router), was dazu führt, dass der für die ursprüngliche echte IP bestimmte Traffic zum Angreifer umgeleitet wird, was zu einem Denial of Service führt | DDoS-Bereich |
Abwehrmaßnahmen
- Identifizierung von Angriffsverkehr
- Dienststörung
- Identifizierung des Verkehrsinhalts
- Dienstüberlastung
- Aufzeichnung der Zugriffszeiten
- Dienststörung
- Umgang mit Angriffsverkehr
- Verwerfen von Angriffsverkehr
- Blockieren von Angriffs-IPs
- Anzahl der IPv4-IPs ist begrenzt, einfach eine Blacklist zu erstellen
- Anzahl der IPv6-Adressen ist groß, nicht einfach eine Blacklist zu erstellen. IPv6-Adressbereiche können verwendet werden, aber es besteht ein Risiko falscher Sperren
- Zugriffsfrequenz steuern (Rate Limiting)
Open-Source-Tools
Angriffstools
https://github.com/palahsu/DDoS-Ripper- 162 forks, 755 stars
- https://github.com/MHProDev/MHDDoS
- 539 forks, 2.2k stars
- MHDDoS - DDoS-Angriffsskript mit 40 Methoden
- https://github.com/NewEraCracker/LOIC
- 539 forks, 1.9k stars
- C#
- Netzwerk-Stresstool
- https://github.com/PraneethKarnena/DDoS-Scripts
- 165 forks, 192 stars
- C, Python
- https://github.com/theodorecooper/awesome-ddos-tools
- 46 stars
- Sammlung von DDoS-Tools
Abwehrtools
- https://github.com/AltraMayor/gatekeeper
- GPL-3.0 License
- 159 forks, 737 stars
- C, Lua
- Gatekeeper ist das erste Open-Source-DoS-Schutzsystem.
https://github.com/Exa-Networks/exabgp- Apache like license
- 415 forks, 1.8k stars
- Python
- Das Schweizer Taschenmesser für BGP im Netzwerk
- https://github.com/curiefense/curiefense
- Apache 2.0 License
- 60 forks, 386 stars
- Schutz der Anwendungsschicht
- schützt Websites, Dienste und APIs
- https://github.com/qssec/Hades-lite
- GPL-3.0 License
- 24 forks, 72 stars
- C
- Kernel-Level Anti-DDoS-Treiber
- https://github.com/snort3/snort3
- GPL-2.0 License
- 372 forks, 1.4k stars
- Next-Generation-Snort-IPS (Intrusion Prevention System)
- C++
Netzwerküberwachung
- https://github.com/netdata/netdata
- GPL-3.0 License
- 5.2k forks, 58.3k stars
- C
- https://github.com/giampaolo/psutil
- BSD-3-Clause License
- 1.2 forks, 8.2k stars
- Python, C
- Plattformübergreifende Bibliothek für Prozess- und Systemmonitoring in Python, auch Netzwerkmonitoring
- https://github.com/iptraf-ng/iptraf-ng
- GPL-2.0 License
- 22 forks, 119 stars
- C
- IPTraf-ng ist ein konsolenbasiertes Netzwerküberwachungsprogramm für Linux, das Informationen über IP-Datenverkehr anzeigt.