Search

Zum Schutz chinesischer Finanzinstitute vor DDoS-Angriffen

2018-12-17
339
0

Am 11. Dezember rief Lorian Synaro, ein mutmaßliches Mitglied der Gruppe Anonymous auf Twitter auf, eine neue Runde von Angriffen mit dem Namen "OpIcarus 2018 (OpIcarus 2.0)" auf Webseiten von global agierenden Finanzinstituten zu starten.


Es wird berichtet, dass der OpIcarus-Angriff 2016 zum ersten Mal gestartet wurde. Er richtet sich hauptsächlich an globale Finanzinstitute mit kontinuierlichen DDoS-Angriffen. Darunter fallen TCP-Flood-/UDP-Flood-Angriffe, HTTP-/HTTPS-Flood-Angriffe, einer großen Anzahl an HTTP-POST-Anfragen und der Nutzung von SQL-Injection Schwachstellen auf IT-Systeme.

Seit dem 13. Dezember sind die HTTP- und HTTPS-Onlinedienste mehrerer Finanzinstitute in China von Angriffen mit IP-Adressen außerhalb Chinas betroffen. Bei den in dieser Runde der OpIcarus-Angriffen erfassten Daten handelt es sich um Hybridangriffe, die aus NTP-amlified-DDOS Attacken und CC-Attacken (challenge collapsar attack) auf Port 80 und Port 443 bestehen.

Bei den CC-Angriffen auf Port 80 und Port 443 blockierten erst Carrier den angreifenden Traffic auf internationalen Gateways, um die Serveradressen der betroffenen Finanzinstitute wirksam zu schützen. Darüber hinaus wurde der CC-Angriff mit Dutzenden von Mbit/s durch die Geräte der Carrier auf dem MAN erfasst. Es wurden dabei mehr als 10 Mbit/s CC-Traffic an die Rechenzentren der Finanzinstitute übertragen. Infolgedessen nahm die CPU-Auslastung der Webserver stark zu und die Reaktionszeit wurde deutlich verlangsamt. Der normale Nutzerzugang von Kunden in China wurde erheblich gestört. Die Analyse der CC-Attacken zeigte welche SYN-, ACK-, RST-, FIN-, TCP-, HTTP Get- und HTTPS-Applikationsangriffe (mit Key-exchange-Paketen) ausgeführt wurden. Die Angriffsquellen waren weltweit verbreitet und kamen z.B. aus Amerika, Kanada, Brasilien, Indonesien, Uruguay, Ecuador, Griechenland, Russland, Südafrika, Tschechien, Thailand, Hongkong.


Für Finanzinstitute, die Anti-DDoS-Geräte bereitstellen, werden folgende Schutzrichtlinien empfohlen:

Da die Angreifer hauptsächlich außerhalb Chinas agierten, sollte eine Geo-IP Filterstrategie verwendet werden, um den Angriffs-Traffic von außerhalb Chinas abzufangen.

Da die Finanzdienstleister häufig CDN-Beschleuniger (Content Distribution Network) einsetzen, sollten Sie die Whitelist-Funktion für CDN-IP-Adressen verwenden, um zu vermeiden, dass sich eine zu strenge Konfiguration der Abwehrrichtlinien auf normale Services auswirkt.

Da es sich bei Finanzdienstleistungen meist nicht um UDP-Datenverkehr handelt, sollte die Rate des UDP-Datenverkehrs begrenzt werden, um ihre Bandbreite effektiv zu schützen.

Um sich gegen verschiedene Arten von CC-Angriffen zu verteidigen, werden folgende Richtlinien für die Verteidigung auf der Kommunikationsschicht (Layer-5) eingesetzt. Der Authentifizierungsmodus wird für die SYN-Flood-Angriffsabwehr auf right-seq gesetzt, dadurch werden ACK-, FIN- und RST-Sitzungen überprüft und begrenzt. Die Häufigkeit neuer Angriffe und simultaner TCP-Sitzungen wird reduziert und die Richtlinien zum Schutz vor Angriffen auf Anwendungsebene wird aktiviert. Dies sind Richtlinien zur HTTP 302-Umleitung und Überprüfung der HTTPS-Sitzungsintegrität, denn die meisten Angriffe richten keine vollständigen SSL-Sitzungen ein.

Darüber hinaus zeigt die Auswertung, dass die Datenrate des NTP-Angriffes weniger als 40 Gbit/s betrug. Nach den Statistiken und Analysen früherer Anonymous Angriffe, erzeugt die Organisation in der Regel einen geringen bis mittleren Angriffs-Traffic der die betroffenen Finanzinstitute in Aufruhr versetzt, um ihre politischen Vorstellungen zum Ausdruck zu bringen. Bei einem groß angelegten Angriff der Gruppe auf die Türkei im Jahr 2015 betrug die maximale Übertragungsrate mehr als 40 Gbit/s. Die Bandbreite der Rechenzentren von Finanzinstituten in China beträgt im allgemeinen 20 Gbit/s oder weniger, sodass ein Angriff mit 40 Gbit/s erhebliche Auswirkungen hat.


Um sich gegen diese DDoS-Angriffe zu verteidigen, empfiehlt Huawei:
Eine mehrschichtige Verteidigungsstrategie, um eine hierarchische Schadensbegrenzung und einen präzisen Schutz zu gewährleisten.


Verwendung einer zunächst verteilten Cloud als Abschwächung, um den Datenverkehr für flood-Angriffe im Upstream-Bereich effektiv herauszufiltern und die Bandbreitenverfügbarkeit von Finanzinstituten sicherzustellen.


Verwendung eines Anti-DDoS-Systems, das vor einem Rechenzentrum von Finanzinstituten bereitgestellt wird, um sich gegen kleinen bis mittleren CC-Angriffsverkehr zu schützen und die Verfügbarkeit des gesamten Online-Finanzdienstleistungssystems sicherzustellen.


Huawei AntiDDoS-Produkte haben in 2015 die Aktivitäten von Anonymous im Netzwerk der Turkey Telecom erfolgreich abgewehrt. Seit dem 13. Dezember hat das Huawei AntiDDoS-Produktteam erfolgreich mehreren Finanzinstituten in China geholfen, sich gegen OpIcarus-Angriffe zu verteidigen. Das Huawei AntiDDoS-Produktteam gibt eine Reihe an wirksamen Empfehlungen zur Verteidigung, die auf der Erfahrung der Abwehr der OpIcarus-Angriffe basiert. Es wird empfohlen, dass Finanzinstitute Angriffswarnungen und Fluktuationen im Angriffs-Traffic in Echtzeit überwachen.

Mehr über Huawei AntiDDoS-Produkte erfahren Sie unter:https://e.huawei.com/de/products/enterprise-networking/security/anti-ddos/8000

TOP