Da Cloudflare als Proxy für Ihren gesamten Netzwerkverkehr dient, können wir Sie vor jeder Art von Distributed-Denial-of-Service-Angriffen schützen, einschließlich:

Layer 3/4

Die meisten Angriffe zielen auf die Übertragungs- und Netzwerkschichten eines Kommunikationssystems ab. Diese Schichten repräsentieren Layer 3 und 4 des OSI-Schichtenmodells. Die so genannte Transportschicht spezifiziert das Protokoll (zB TCP oder UDP) mit dem zwei Hosts in einem Netzwerk miteinander kommunizieren. Angriffe auf die Schichten 3 und 4 sollen die Netzwerkschnittstelle mit Angriffsverkehr überschwemmen, um seine Ressourcen zu überfordern und die Fähigkeit zu verweigern auf legitimen Datenverkehr zu reagieren. Insbesondere zielen Angriffe dieser Art es darauf ab, die Switch-Kapazität zu sättigen, oder eine Netzwerkkarte oder die CPU-Fähigkeit des Servers zur Abwehr des Angriffs zu überfordern.

Layer 3 und 4 Attacken können mit einer On-Premise-Lösung kaum abgeschwächt werden. Wenn ein Angreifer mehr Verkehr sendet als eine Netzwerkverbindung verarbeiten kann, werden auch keine zusätzlichen Hardware-Ressourcen dabei helfen, einen solchen Angriff zu mildern. Wenn Sie beispielsweise einen Router mit einem 10-Gbit/s-Port verwenden und ein Angreifer Ihnen ein Angriffspaket mit 11 Gbit/s sendet, können Sie noch so intelligente Software oder Hardware verwenden, Sie können den Angriff nicht aufhalten, wenn die Netzwerkverbindung vollständig ausgelastet ist.

Sehr große Layer 3/4 Angriffe stammen fast immer aus einer Reihe von Quellen. Diese vielen Quellen senden jeweils Angriffsverkehr an eine einzige Internet-Adresse und erzeugen somit eine Flutwelle, mit denen das Angriffsziel nicht umgehen kann. Der Angriff wird also verteilt. Die Angriffsverkehr-Quelle kann eine Gruppe von Leuten sein die miteinander arbeiten, ein Botnet von kompromittierten PCs, ein Botnet von kompromittierten Servern, falsch konfigurierte DNS-Resolver oder sogar Heim-Internet-Router mit schwachen Passwörtern.

Da es dem Angreifer einer 3/4 Layer Attacke egal ist, ob er eine Antwort auf seine Anfragen erhält, muss das Angriffspaket nicht genau oder richtig formatiert sein. Der Angreifer wird regelmäßig alle Informationen in den Angriffspaketen manipulieren, einschließlich der Quell-IP-Adresse, um es so aussehen zu lassen, als wie wenn der Angriff von einer praktisch unbegrenzten Anzahl von Quellen kommen würde. Da Paketdaten vollständig randomisiert werden können, werden selbst Techniken wie Ingress-Filter praktisch nutzlos.

Mit Cloudflare wird jeglicher Angriffsdatenverkehr, der sonst direkt auf Ihren Server treffen würde, automatisch an das globale Anycast-Netzwerk von Cloudflare geroutet. Sobald der Angriffsverkehr verlagert wurde, nutzen wir die globale Kapazität unseres Netzwerks und die Vielzahl unserer Server um die Flut des Angriffsverkehr am Networkedge zu absorbieren. Das bedeutet, dass Cloudflare jedes einzelne Angriffpaket einer Layer 3/4 Attacke davon abhalten kann, jemals eine Seite zu erreichen, die unter dem Schutz von Cloudflare steht.

DNS-Amplification-Angriffe

DNS-Amplification-Angriffe sind eine Form von DRDoS, die auf dem Vormarsch sind und zur größten Quelle der Layer 3/4-Angriffe geworden sind. Cloudflare schwächt regelmäßig Angriffe ab, die 100 Gbit/s überschreiten, und hat vor Kurzem einen Kunden vor einem Angriff mit mehr als 300 Gbit/s geschützt. Die New York Times bezeichnete ihn als den „größten öffentlich bekannt gewordenen DDoS-Angriff in der Geschichte des Internets“.

Die Anfragen der Angreifer machen nur einen Bruchteil der Größe der Antworten aus, so dass der Angreifer den Angriff zu einem Vielfachen der Größe der Bandbreiten-Ressourcen die er selbst kontrolliert erweitern kann. Der DNS-Amplifikationsangriff ohne Cloudflare Ein Angreifer sammelt Ressourcen wie Botnets und imitiert die IP-Adresse des Ziels. Die Anforderungen der Angreifer selbst machen nur einen Bruchteil der Antworten aus. So kann der Angreifer seinen Angriff um ein Vielfaches der Bandbreitenressourcen unter seiner eigenen Kontrolle verstärken.

DNS ist eine omnipräsente Internet-Plattform, die diese Kriterien erfüllt, und ist damit zur größten Quelle von Amplifikationsangriffen geworden.

Zum Beispiel können Sie die folgende (winzige) Anfrage senden (wobei x.x.x.x die IP eines Open-DNS-Resolvers ist):Die Ressourcen senden daraufhin eine Flut von Antworten an das Ziel und legen es so lahm.

DNS-Reflection-Angriffe mit Cloudflare

Zum Beispiel können Sie die folgende (winzige) Anfrage senden (wobei x.x.x.x die IP eines Open-DNS-Resolvers ist):Die Ressourcen senden daraufhin eine Flut von Antworten an das Ziel, werden aber regional von den Rechenzentren von Cloudflare blockiert. Legitimer Datenverkehr erreicht die Web-Property weiterhin.

Es gibt zwei Kriterien für Amplification-Angriffe:1.) Eine Abfrage kann von einer gefälschten Quelladresse gesendet werden (z. B. über ein protokollartiges ICMP oder UDP, das keinen Handshake erfordert) und 2.) die Antwort auf die Abfrage ist deutlich größer als die Abfrage selbst. Das DNS ist eine grundlegende, universelle Internetplattform, die diese Kriterien erfüllt. Daher ist es mittlerweile zur wichtigsten Quelle von Amplification-Angriffen geworden.

DNS-Abfragen werden in der Regel über UDP übertragen. Das bedeutet, dass es sich wie bei ICMP-Abfragen, die bei einem SMURF-Angriff (siehe unten) verwendet werden, um Fire-and-Forget-Abfragen handelt. Dementsprechend kann das Quellattribut einer DNS-Abfrage gefälscht sein. In diesem Fall hat der Empfänger keine Möglichkeit, es vor einer Antwort auf seine Richtigkeit zu überprüfen. Das DNS ist auch in der Lage, Antworten zu generieren, die weit größer sind als die Abfrage. Sie können beispielsweise folgende (winzige) Abfrage versenden (wobei x.x.x.x die IP-Adresse eines offenen DNS-Resolvers darstellt):

dig ANY isc.org @x.x.x.x +edns=0

Und die folgende gigantische Antwort erhalten:

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

Hier handelt es sich um eine 64-Byte-Abfrage, die zu einer 3.223-Byte-Antwort geführt hat. Die Angreifer können also ihre Attacke nahezu 50-fach verstärken.

Cloudflares Anycast-Netzwerk wurde speziell dazu entworfen, enorme Layer 3/4 Attacken aufzuhalten. Durch die Verwendung von Anycast sind wir dazu in der Lage, für jedes unserer 193 Rechenzentren weltweit die gleiche IP-Adresse anzugeben. Das Netzwerk sendet Anfragen an die nächstgelegene Einrichtung. Unter normalen Umständen hilft uns das sicherzustellen, dass Ihre Website-Nutzer automatisch zum nächstgelegenen Rechenzentrum in unserem Netzwerk geleitet werden, um die beste Leistung zu gewährleisten. Im Falle eines Angriffs verteilt Anycast den Angriffsdatenverkehr effektiv in unserem gesamten Rechenzentrumsnetzwerk. Da jedes Rechezentrum die gleiche IP-Adresse für jeden Cloudflare Kunden anzeigt, kann der Verkehr nicht an nur einen Standort gesendet werden. Anstatt eines Viele-zu-Eins-Angriffs wird der Angriff zu einem Viele-zu-Viele-Angriff, bei dem kein einzelner Punkt innerhalb des Netzwerks eine einzelne Schwachstelle darstellt.

Layer-7-Angriffe

Eine neue Generation von Angriffen zielt auf die 7. Schicht des OSI-Schichtenmodells ab. Diese Angriffe fokussieren auf spezifische Aspekte der entsprechenden Applikation. So versenden zum Beispiel die sogenannten Slow-Read-Angriffe Pakete langsam über mehrere Verbindungen. Da Apache für jede Verbindung einen neuen Thread öffnet und die Verbindungen solange aufrechterhält, wie Datenverkehr gesendet wird, kann ein Angreifer einen Webserver überlasten, indem er alle verfügbaren Threads in relativ kurzer Zeit auslastet.

Tatsächlich reduzieren wir den HTTP Angriffsverkehr um etwa 90%. Dies reicht meistens aus, um unsere Kunden zu schützen. Die restlichen 10%, bei denen herkömmliche Schutzmaßnahmen nicht ausreichen, können Kunden mit limitierten Ressourcen oder im Falle eines großen Angriffs dennoch hart treffen. In diesem Fall bietet Cloudflare den Sicherheitsmodus “I’m Under Attack” (IUAM).

IUAM ist ein Sicherheitslevel, dass Sie für Ihre Website einstellen können, wenn Sie angegriffen werden. Wenn IUAM eingeschaltet ist, wird Cloudflare eine zusätzliche Schutzschicht hinzufügen, um bösartigen HTTP-Datenverkehr davor zu stoppen, an den Server weitergeleitet zu werden. Während eine Reihe von zusätzlichen Kontrollen im Hintergrund ausgeführt wird, wird dem Besucher Ihrer Website für 5 Sekunden eine interstitielle Seite präsentiert, bis die Kontrollen abgeschlossen werden. Betrachten Sie es als eine Aufgabe, bei der Tests automatisch durchgeführt werden und die Besucher kein CAPTCHA ausfüllen müssen.

Nachdem die Verifizierung durchgeführt wurde, können Besucher unbeschwert Ihre Seite durchsuchen. JavaScript und Cookies sind für die Tests erforderlich und werden benötigt, um aufzuzeichnen, dass die Tests ordnungsgemäß bestanden sind. Der IUAM-Modus blockiert Suchmaschinen-Crawler oder Ihre bestehende Cloudflare Whitelist nicht. Der „I’m Under Attack“-Modus blockiert keine Suchmaschinen-Crawler oder Ihre vorhandene Cloudflare-Positivliste.

SMURF-Angriffe

Einer der ersten DNS-Amplifikationsangriffe war als der SMURF-Angriff bekannt. Bei einem SMURF-Angriff sendet ein Angreifer ICMP-Anforderungen (d. h. Ping-Anforderungen) an die Broadcast-Adresse eines Netzwerks (d. h. X.X.X.255), die von einem Router angegeben wird, der so konfiguriert ist, dass ICMP-Anforderungen an alle dem Router nachgeschalteten Geräte weitergeleitet werden. Der Angreifer täuscht dann vor, dass die Quelle der ICMP-Anfrage die IP-Adresse des beabsichtigten Opfers ist. Da für ICMP kein Handshake erfolgt, kann das Ziel nicht überprüfen, ob die IP-Quelladresse legitim ist. Der Router empfängt die Anfrage und leitet sie an alle Geräte im lokalen Netz weiter. Jedes dieser Geräte reagiert dann auf die Ping-Anforderungen. Der Angreifer kann dann den Angriff auf die Anzahl der Geräte im angegriffenen Netz erweitern (dh, wenn Sie 5 Geräte haben, dann kann der Angreifer die Attacke um das 5-fache verstärken, siehe Diagramm unten).

SMURF-Angriffe gehören weitgehend der Vergangenheit an. Der Großteil der Netzbetreiber hat ihre Router so konfiguriert, dass an die Broadcast-Adresse übermittelte ICMP-Anfragen nicht weitergeleitet werden.