A1 Admin Leitfaden bei Denial of Service Angriffen

Transkript

1 A1 Admin Leitfaden bei Denial of Service Angriffen Dieser Leitfaden soll Unternehmen erste Handlungsmöglichkeiten aufzeigen, wenn Verdacht auf ein Denial of Service (DoS) Angriff vorliegt. Als Denial of Service wird die Folge einer Überlastung durch einen mutwilligen Angriff auf einen Host (Server) oder sonstige Komponenten in einem Datennetzwerk bezeichnet. Ein Denial of Service Angriff stellt eine Straftat im Sinne der Computersabotage nach 303b Abs. 1 StGB dar. 1. An wen richtet sich dieser Leitfaden? Dieser Leitfaden richtet sich an EDV Administratoren von Unternehmen, die vermuten oder wissen, dass sie Opfer eines Denial of Service Angriffes sind. Benutzung des Leitfadens Eine allgemeine Anleitung zur Verhinderung eines DoS Angriffes zu geben ist schwierig, da ein Angriff sehr unterschiedlich sein kann (siehe 3.) Daher sind verschiedene Reaktionen Ihrerseits möglich. Lesen Sie diesen Leitfaden daher unbedingt komplett durch, bevor Sie eine Aktion einleiten. Beachten Sie hierbei vor allem auch die Punkte Blockieren der Angriffsquelle beim Internetprovider und 7. Wie kann ich die Strafverfolgung unterstützen. 2. Wie erkenne ich, dass meine IT angegriffen wird? Symptome sind das IT-Systeme, die mit dem Internet verbunden sind immer langsamer reagieren und nicht mehr richtig arbeiten. Man merkt anfangs nur eine Verlangsamung des Service bis hin zum völligen Versagens, meist aufgrund von Client Verbindungsabbrüchen. Typische IT-Systeme die von einem Angriff betroffen sind: - Webserver - Webapplikationen, z.b. Online-Shop - -Server - Dateiaustauschserver, z.b. FTP Server Charakteristisch für einen DoS Angriff ist, dass ein Neustart der betroffenen Systeme nur kurzfristig Besserung verschafft. 3. Wie werde ich angegriffen? Ein Angriff kann gezielt von einigen wenigen Servern im Internet oder von einem Botnetz ausgehen. Die frühe Unterscheidung des Angriffurspungs ist wichtig, da daraufhin unterschiedliche Reaktionsmöglichkeiten bestehen. Sehr oft verschaffen sich Angreifer Zugang zu hunderten von Rechnern im Internet, einem sogenannten Bot- Net. Das ist ein Netzwerk, bestehend aus infizierten Rechnern, auf denen Programme für einen Denial of Service Angriff installiert worden ist. Von einem separaten Steuerrechner aus synchronisieren sie diese Angriffsprogramme derart, dass die Wirksamkeit des Angriffs durch die Vielzahl der gleichzeitig angreifenden Rechner stark erhöht wird. Diese Art Angriff wird dann als (Distributed) Denial of Service Angriff bezeichnet. Er belastet die Dienste eines Servers, beispielsweise Webserver, mit einer größeren Anzahl Anfragen, als dieser in der Lage ist zu bearbeiten. Diese Überlastung führt dazu, dass reguläre Anfragen so langsam beantworten, dass diese abgebrochen werden. Ein DoS Angriff auf Ihre Infrastruktur kann z.b. folgende Ziele haben: Überlastung eines bestimmten Services, z.b. Webseite, Online-Shop Überlastung Ihrer Internetverbindung

2 4. Welche Gruppen sind an der Angriffsabwehr beteiligt? Es gibt folgende Gruppen: Betroffener, Strafverfolgungsbehörden, Netzvermittler (Internetprovider), nicht wissende Opfer deren PC missbraucht wird. 5. Wie kann ich die Strafverfolgung unterstützen. Um eine strafrechtliche Verfolgung zu ermöglichen sollten Log-Daten des Services und/oder der zentralen Firewall/Gateway gesichert werden. Wichtig dabei sind folgende Log-Informationen: Wer Zeitstempel Was Bsp. Eines Web-Servers: IP-Adresse 01/Jan/2012:13:02:51 GET /index.html HTML/ Was kann ich als Administrator tun? Im Folgenden finden Sie eine Reihe von Vorgehensweisen die Sie als Administrator im Falle eines Angriffes durchführen können. Für jede Aktion werden einführende Beispiele gegeben. Diese dienen nur dem Einstieg und können je nach Anwendungsfall auch variieren. Bitte beachten Sie deshalb auch jeweils die Links zur weiteren Dokumentation. Hier finden Sie How-Tos, die das jeweilige Thema detailliert behandeln Beweissicherung Sobald ein DoS Angriff vermutet oder festgestellt wurde, muss eine Art Angriffs-Logbuch mit einer lückenlosen Auflistung der Feststellungen geführt werden. Hier ist jede Aktion mit genauer Zeit zu vermerken, auch technische Aktionen, z.b. Neustart des betroffenen Systems. Dies hilft bei einer anschließenden Untersuchung. Zur Feststellung und Nachvollziehbarkeit eines Angriffes dienen die Log- Dateien des Service, der angegriffen wird. Es ist darauf zu achten, dass Log-Dateien extra gesichert werden um sie vor automatischem Überschreiben oder Löschen (z.b. durch Cronjobs) zu sichern. Jedes Beweismittel ist in unveränderbarer Weise zu sichern, beispielsweise durch Schreiben auf eine CD und sicherer Verwahrung dieser Informationsbeschaffung Zur Feststellung und Nachvollziehbarkeit eines Angriffes dienen die Log-Dateien des Service, der angegriffen wird. Bei einem Apache Webserver ist dazu beispielsweise die Datei /var/log/apache2/access.log auszuwerten und zu sichern. WICHTIG Zur besseren Nachvollziehbarkeit sollten sie gleich zu Beginn der Untersuchung die Uhrzeit auf dem angegriffenen System überprüfen. Diese sollte mit einem Zeitserver synchronisiert sein. Ist dies nicht der Fall, sollte zur besseren Beweissicherung die Uhrzeit während einem Angriff NICHT synchronisiert werden. Stattdessen sollten sie die Abweichung notieren, damit diese bei späteren Untersuchungen und Abgleich mehrerer Log-Dateien mit einberechnet werden kann. Erstellen Sie zu Beginn ein Aktionslogbuch, in dem Sie alle durchgeführten Aktionen protokollieren Analyse der Angriffsquelle Log-Dateianalyse Untersuchen Sie die Log-Datei der angegriffenen Systeme oder des Services nach Verbindungsdaten. Diese geben einen wichtigen Hinweis auf die Angriffsquelle. Kommt der Angriff von: a) einigen wenigen, immer gleichen IP Adressen? b) von unterschiedlichen IP Adressen eines bestimmten Bereiches (z.b. gleiches Ursprungsland)? c) von vielen, unterschiedlichen, nicht zusammenhängenden IP Adressen?

3 Es ist dabei zu beachten, dass in der Log-Datei auch normaler Datenverkehr mit auftaucht. Je stärker der betroffene Service von Ihren Kunden benutzt wird, desto schwieriger ist es den Angriffsverkehr eindeutig zu identifizieren. Beispiel: Anzeigen der Log-Datei des betroffenen Service anschauen (Beispiel: Apache2 Logfile): Freies Tool: XLOGAN # tail -n var/log/apache2/access.log cut -f 1 -d sort uniq -c sort -nr more Weitere Anleitungen zur Analyse von Log-Dateien finden Sie unter Log-Dateianalyse bei den Quellangaben (Punkt 7). Analysieren Sie die Log-Dateien der betroffenen Systeme Eingrenzung des Angriff-Ursprungs Zur Analyse ob die Angriffs-Quell-IP-Adressen zu einem bestimmten Bereich gehören kann der Service GeoIP ( verwendet werden. Mit diesem können bis zu 25 IP Adressen auf Ihren Ursprung hin analysiert werden. Analysieren Sie die Angriffs-IP Adressen nach auffälligen Mustern Offene Ports und Netzwerkverbindungen auflisten Überprüfen sie welche Ports und Netzwerkverbindungen auf dem betroffenen System offen sind. Dazu benutzen sie beispielsweise folgende Befehle. C:'WINDOWS>netstat -ao find /i "listening" # lsof -i oder # netstat -a -p Sind bestimmte Informationen bekannt, kann die Liste nach Protokoll, Port oder Domain eingegrenzt werden: Download pulist from Resource Kit: C:'WINDOWS>netstat -no C:'WINDOWS>pulist find /i "587" # lsof i :587 # lsof i :smtp # lsof Weitere Anleitungen zur Analyse offener Netzwerkverbindungen finden Sie unter Offene Ports und Netzwerkverbindungen auflisten bei den Quellangaben (Punkt 7).

4 6.4 Abwehr von Angriffen Je nach Ziel des Angriffs, kann es sinnvoll sein, den Angriff direkt schon beim Internetprovider oder an den eigenen Systemen abzuwehren. Dazu können folgende Aktionen durchgeführt werden Abwehr des Angriffes beim Internetanbieter Häufig sind die betroffenen Server nur über eine Netzverbindung an den Netzvermittler angebunden. Diese hat eine bestimmte Bandbreite, die durch die hohe Last des Angriffs ausgelastet wird so dass die Server aus dem Internet nicht mehr erreichbar sind. Netzvermittler sollten eine Paketfilterung beim Verlassen der Pakete aus dem Internet durchführen. Öffentlich verfügbare Listen von Botnetz-IP-Adressen, sog. Blacklists, können hier helfen einen Großteil des Angriffsnetzverkehrs zu unterbinden. Insbesondere ist eine Filterung sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim betroffenen Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepasst werden kann. Kontaktieren Sie Ihren Internetanbieter und schildern Sie Ihren Fall. Blockieren der Angriffsquelle beim Internetprovider Ergab die Analyse der Angriffsquelle (siehe Punkt 5.3 Analyse der Angriffsquelle), dass der DoS Angriff von einigen wenigen IP-Adressen ausgeführt wird, oder alle aus einem bestimmten Bereich stammen (z.b. gleiches Ursprungsland), können Sie Ihren Internetprovider kontaktieren. Schildern Sie Ihm die Sachlage und verlangen Sie die Sperrung der Angriffs-IPs. Dadurch kommen die Angriffspakete gar nicht mehr bis zu Ihrem Rechenzentrum. Kontaktieren Sie Ihren Internetanbieter zur Sperrung identifizierter Angreifer-IP-Adressen. Verhinderung von gefälschten IP-Adressen Ihr Netzvermittler (Ihr Internetprovider) sollte Verkehr von gefälschten IP-Adressen aus dem Internetverkehr herausfiltern. Kontaktieren Sie Ihren Internetanbieter zur Sperrung gefälschter IP-Adressen Abwehren des Angriffs im eigenen Rechenzentrum Hat die Angriffsanalyse ergeben, dass der Angriffsursprung von einigen wenigen IP-Adressen, oder aus einem bestimmten IP-Bereich stammt, kann eine Sperrung von Angriffs-IP-Adressen am Router/ Firewall helfen den Angriff einzudämmen. Konfigurieren Sie Ihren Router oder die lokale Firewall des angegriffenen Systems so, dass die Anfragen von verdächtigen, einzelnen IP-Adressen oder Adressbereichen abgewiesen werden (Router/Firewallspezifisch). Im folgen werden unterschiedliche Beispiele aufgeführt, die je nach Anwendungsfall zum Einsatz kommen können: Beispiel: Abweisen eines bestimmten Netzbereiches (CIDR Notation) Befolgen Sie die Anleitung: wthread.php?t=2906 # iptables -I INPUT -s /16 -j DROP Hier wird der IP-Bereich to verworfen. Beispiel: Beschränkung pro Client auf max. 10 Verbindungen in 80 Sekunden auf Port 80:

5 Software-spezifisch # iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent set # iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 80 --hitcount 10 -j DROP Beispiel: IP-Sperre bei mehr als 15 offenen Verbindungen pro Client Software-spezifisch # iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j REJECT --reject-with tcp-reset Beispiel: Abwehren einer TCP-Syn Flood Attacke Ergab die Logfileanalyse, dass Angreifer sehr viele TCP-Syn Pakete schicken kann eine TCP-Syn-Attacke vorliegen. Erkennen kann man einen SYN-Flood Angriff per netstat. Werden dort übermäßig viele halboffene Verbindungen angezeigt (SYN_RECV unter ), versucht sich wahrscheinlich gerade jemand mit den SYN-Flood an dem angegriffenen System: 1 # netstat -tuna grep SYN_RECV 2 tcp : :16382 SYN_RECV 3 tcp : :44832 SYN_RECV 4 tcp : :37942 SYN_RECV 5 tcp : :44592 SYN_RECV 6 tcp : :14759 SYN_RECV 7 tcp : :13967 SYN_RECV 8 tcp : :46809 SYN_RECV 9 tcp : :13541 SYN_RECV 10 tcp : :29701 SYN_RECV tcp : :23818 SYN_RECV 13 tcp :80 [...] SYN_RECV # netstat -tuna grep SYN_RECV wc -l Zur Unterbindung dieser aktivieren Sie TCP-Syn-Cookies: (2000, 2003) Registry Key anlegen: HKLM\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters # echo 1 > /proc/sys/net/ipv4/tcp_syncookies Wert 2 festlegen Default ab Server 2008

6 Ihre Firewall unterstützt ggf. das Blockieren einer TCP-Syn Flood Attacke: Software-spezifisch # iptables -N syn_flood # iptables -A INPUT -p tcp --syn -j syn_flood # iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN # iptables -A syn_flood -j DROP Weitere Anleitungen zur Abwehr von Syn-Flood Angriffen finden Sie unter Abwehren einer TCP- Syn-Flood Attacke unter Punkt 7 - Quellen. WICHTIG Die aufgeführten Beispiele können nur einen ersten Anhaltspunkt geben. Sie sind auf keinen Fall vollständig. Ihre Anwendung hängt immer vom speziellen Einzelfall ab. 7. Quellenübersicht und weiterführende Dokumentation Log-Dateianalyse : : Offene Ports und Netzwerkverbindungen auflisten : : Geo-Lokalisierung von IP-Adressen Alle OS: Abweisen eines bestimmten Netzbereiches durch Firewallregeln : : Software-spezifisch Abwehren einer TCP-Syn Flood Attacke : :

7 Impressum Haftungsausschluß Dieser Leitfaden wurde mit größter Sorgfalt erstellt. Er stellt jedoch keinen Anspruch an Vollständigkeit. Die Informationen sind lediglich Ratschläge der Herausgeber. Für deren Richtigkeit, Vollständigkeit und Aktualität der Inhalte übernehmen die Herausgeber keine Gewähr. Herausgeber: Hochschule Furtwangen Fakultät Informatik Robert-Gerwig-Platz Furtwangen In Zusammenarbeit mit: SCHUTZWERK GmbH Pfarrer-Weiß-Weg Ulm Polizeidirektion Villingen Schwenningen Waldstraße 10/ Villingen-Schwenningen Dokumentenversion: Version 1.0, Stand