Verbesserter DDoS-Schutz für Cloud/NFV-Umgebungen mit BIG-IP VE für SmartNICs

Distributed-Denial-of-Service-Angriffe (DDoS) werden immer häufiger als eine Form der Sabotage von Aktivisten, Kriminellen, Gamern und sogar Regierungen eingesetzt. Angesichts des Aufbaus von 5G-Infrastruktur durch Service-Provider und digitale Transformationen in Unternehmen wird erwartet, dass das Ausmaß potenzieller Angriffe und deren Zielfläche wachsen wird. Dieses erhöhte Risiko, kombiniert mit dem Trend zur organisatorischen Umstellung auf effiziente und kostengünstige softwaredefinierte Architekturen, macht DDoS-Abwehr für Cloud/NFV-Umgebungen wichtiger denn je.

Dieses Dokument enthält Informationen über DDoS-Angriffsmechanismen und beschreibt, wie die Softwarelösung zur DDoS-Abwehr von F5 mit Intels FPGA PAC N3000 SmartNIC verbessert werden kann, sodass ein bis zu 300-mal größeres Maß an DDoS-Angriffen durch Offloading auf das integrierte FPGA des SmartNICs abgeschwächt werden können.

In dieser digital abhängigen, vernetzten Welt können Cyberangriffe Unternehmen, Dienstleister und staatliche Einrichtungen empfindlich schädigen. Während sich Nachrichtenorganisationen auf Hacker konzentrieren, die vertrauliche Informationen stehlen, um sie für Erpressungen zu nutzen, beabsichtigen viele böswillige Akteure lediglich, finanziellen Schaden zu verursachen.^[1] Bei einer Denial-of-Service-Attacke (DoS) zielen Angreifer auf einen mit dem Internet verbundenen Dienst (z. B. eine Website oder einen E-Mail-Server) ab und bringen ihn zum Absturz oder hindern ihn am Reagieren. Ein DoS-Angriff kann das Ergebnis einer speziell gestalteten Anfrage sein, die eine Fehlfunktion der Serversoftware verursacht.

In den letzten Jahren haben bessere Programmierungs- und Regressionstechniken einfache DoS-Angriffe weniger effektiv gemacht. Infolgedessen sind DDoS-Angriffe (Distributed Denial of Service) häufiger geworden. Dieser Trend wird sich auch bei der Implementierung von 5G-Infrastruktur und Edge Computing voraussichtlich fortsetzen. DDoS-Angriffe werden oft von böswilligen Einzelpersonen orchestriert und gehen von koordinierten Botnets aus kompromittierten vernetzten Computern aus. Diese Geräte können angewiesen werden, Angriffsdaten an ein Opfergerät oder einen Dienst zu senden.^[1] Während der Effekt eines einzelnen kompromittierten Geräts verglichen mit den meisten Maßstäben des Verarbeitungsdurchsatzes minimal ist, kann ein koordinierter Angriff von Tausenden oder sogar Zehntausenden von Geräten aus einem großen Botnet Durchsatzwerte erreichen, die viele Dienstanbieter nicht bewältigen können.

Gerade bei Unternehmen, die sich auf ihre Online-Präsenz verlassen, verringern Beeinträchtigungen der Servicequalität und Ausfallzeiten die Einnahmen. E-Commerce ist besonders anfällig für Störungen; Serviceausfälle können pro Minute Tausende bis Millionen von Dollar kosten. Angriffe, die keinen Ausfall verursachen, können dennoch die Leistung beeinträchtigen und zu echten Umsatzeinbußen führen, wenn frustrierte Kunden zu einem anderen E-Commerce-Anbieter wechseln.^[2]

Verbraucher mit schnelleren Internetverbindungen und die zunehmende Allgegenwart von Geräten in der Cloud erhöhen das Potenzial für DDoS-Angriffe. Vernetzte Geräte stellen ein besonderes Problem dar. Ihre Schutz ist für die Gewährleistung der Sicherheit und Zuverlässigkeit von Online-Diensten zwingend erforderlich. Zusammen mit dem erhöhten Potenzial für diese Angriffe sind viele Organisationen einem erhöhten Risiko durch DDoS-Angriffe ausgesetzt, da sie auf softwarezentrierte Architekturen umsteigen. Den meisten softwarebasierten Schutzmaßnahmen gegen DDoS mangelt es an der erforderlichen Kapazität und Leistung, um große Angriffe abzuwehren. Glücklicherweise können SmartNICs – die neueste Generation von Netzwerkkarten – dies ändern, indem sie durch Auslagerung der Netzwerk- und Sicherheitsfunktionen von Softwarelösungen die Belastung der verfügbaren CPUs verringern.

In diesem Bericht wird eine Reihe von Angriffsmechanismen anhand von Beweisen aus realen Angriffsszenarien definiert, bevor gezeigt wird, wie F5® BIG IP® Advanced Firewall Manager™, Virtual Edition (BIG-IP AFM VE), die Software-DDoS-Abwehrlösung von F5, mit Intels PAC 3000 SmartNIC verbessert werden kann. Wir werden zeigen, wie diese kombinierte Lösung (BIG-IP Virtual Edition für SmartNICs) DDoS-Angriffe bis zu 300-mal stärker abschwächen kann als eine entsprechende reine Softwarelösung.

Zustandslose Angriffe können gegen zustandsbehaftete Protokolle eingesetzt werden, erfordern aber keine Berücksichtigung des Zustands böswilliger Verbindungen durch den Angreifer. Sie sind beliebt, weil sie nur minimale Ressourcen benötigen und Spoofing der Quell-IP-Adresse möglich ist. Die klassische und am weitesten verbreitete Form des Angriffs beginnt mit einer gefälschten Anfrage an einen Server, eine zustandsabhängige Verbindung zu öffnen, die der angreifende Client (oft ein Botnet-Knoten) niemals bestätigen wird.^[1] Der TCP-SYN-Flood-Angriff ist ein typisches Beispiel. Während eines TCP-Verbindungsaufbaus beginnt der 3-Wege-Handshake damit, dass der Client ein SYN-Paket sendet. Wenn der Server ein SYN-Paket vom Client empfängt, weist er sofort Speicher für eine TCP-Socket-Datenstruktur zu, die das Tupel, die Sequenznummer und den Status der Sitzung enthält. Der Server antwortet dem Client dann mit einem SYN-ACK-Paket.

Unter normalen Umständen könnte ein Paketverlust oder eine langsame Kommunikation dazu führen, dass das SYN-ACK-Paket verzögert wird oder ganz verloren geht. Der Server muss entscheiden, wie lange er den Socket in einem halboffenen Zustand hält, bevor er einen Reset sendet und den Speicher für andere Aufgaben freigibt.^[3] Eine beliebte DDoS-Technik besteht darin, eine Flut von SYN-Paketen zu erzeugen, um den Opferserver dazu zu bringen, TCP-Sockets und Speicher für Tausende von gefälschten Sitzungen zu reservieren. Eine Angriffsrate von Tausenden von SYN-Paketen pro Sekunde führt schnell dazu, dass ein Webserver seinen gesamten Speicher verbraucht. In diesem Beispiel hat der böswillige Angreifer den Vorteil, dass er weiß, dass keine der Sitzungen genutzt werden wird, sodass kein Speicher für die Verfolgung der Sitzungen reserviert werden muss. Dadurch kann der Angreifer alle Systemressourcen für die Übertragung weiterer gefälschter SYN-Pakete verwenden.

Zustandslose Protokolle sind leicht auszunutzen, da sie gut mit gefälschten Quelladressen funktionieren.^[4] Da zustandslose Protokolle keinen Handshake erfordern, löst ein einziges an einen Server übertragenes bösartiges Paket eine sofortige Antwort aus, was das angreifende Gerät kaum Ressourcen kostet und die Identität des Angreifers verbirgt.^[5] Die Antwortpakete des Opfers werden an die gefälschte IP weitergeleitet, bei der es sich um eine weitere Adresse des Opfers handeln könnte. In Masse können diese eine Internetverbindung oder einen Server verlangsamen oder nicht ansprechbar machen, was die Wirksamkeit des Angriffs erhöht.

Die so genannten Amplification Attacks (Verstärkungsangriffe) sind eine eigene Kategorie zustandsloser Angriffe und umfassen die DNS-Flood und NTP-Flood. Beide verwenden Adress-Spoofing als Teil des Angriffsvektors. Verstärkungsangriffe sind besonders schädlich, weil die Antwort des Servers um eine Größenordnung größer sein kann als die ursprüngliche Anfrage.

Im Jahr 2018 wurde GitHub, ein bei Entwicklern beliebter Codeverwaltungsdienst, von der größten DDoS-Attacke aller Zeiten heimgesucht. Zum Höhepunkt des Angriffs verzeichnete der Dienst 1,3 TByte/s an eingehendem Traffic. Es handelte sich um einen Memcached-DDoS-Angriff, der den Verstärkungseffekt des beliebten Datenbank-Caching-Systems Memcached ausnutzte. Während des Angriffs überschwemmte der Angreifer Memcached-Server mit gefälschten Anfragen und konnte den Angriff um den Faktor 50 000 verstärken.^[6]

Obwohl zustandslose Angriffe eine häufige Art von DDoS-Bedrohung darstellen, sind sie aufgrund ihrer Einfachheit leicht zu erkennen und zu verhindern oder abzuschwächen.

Zustandsbehaftete DDoS-Angriffe sind erfolgreicher und schwerer zu verhindern. zustandsbehaftete Angriffe schließen einen Handshake mit dem Opfer ab und verhalten sich ansonsten wie ein legitimer Benutzer. Diese Kategorie von Angriffsvektoren kann ältere DDoS-Präventionsmechanismen täuschen und erfordert mehr Rechenleistung und Speicher auf dem angreifenden Rechner. Der Schlüssel für einen erfolgreichen Angriff liegt darin, sich wie eine legitime Anfrage zu verhalten. Die Herausforderung bei der Abwehr dieser Angriffe liegt in der richtigen Klassifizierung, um echte Benutzeranfragen von böswilligen Anfragen zu unterscheiden.

Ein einfaches Beispiel für einen zustandsbehafteten Angriff wäre die Nachahmung des Verhaltens legitimer Benutzer, um mithilfe einer großen Anzahl von Angreifern (z. B. einem Botnet) ein ausreichend großes Trafficvolumen zu erzeugen. Diese volumetrischen Angriffe sind erfolgreich, wenn das Opfer nicht alle Anfragen empfangen oder verarbeiten kann oder seine Internetverbindung überlastet ist. Da der Traffic das Verhalten legitimer Benutzer nachahmt, ist es viel schwieriger, bösartigen Traffic zu erkennen und von legitimem zu unterscheiden. Bei Diensten mit irgendeiner Art von Handshake-Mechanismen (z. B. Challenge-Response, geheime Verschlüsselung oder Cookie-Austausch), kann ein volumetrischer Angriff die einzige Möglichkeit sein, das Opfer auszunutzen, es sei denn, es wird eine Schwachstelle im Antwortschema gefunden, sodass gültige Antworten auf triviale Weise generiert werden können.^[7]

Eine Kategorie fortgeschrittener zustandsbehafteter Angriffe zielt auf bestimmte Dienste auf Anwendungsebene ab. Ein Beispiel, das das HTTP-Protokoll angreift, ist als „Slowloris“ bekannt. Dieser Angriff beginnt damit, dass ein Angreifer mehrere partielle HTTP-„GET“-Anfragen an den Webserver sendet, um dessen maximal verfügbare gleichzeitige Verbindungen zu sättigen. Der Angriff funktioniert, weil das HTTP-Protokoll eine Verbindung offen hält, während ein Client einen Anforderungsbefehl sendet, der selbst in mehrere Pakete aufgeteilt werden kann. Der böswillige Client sendet periodisch Teil-HTTP-Anfragen an den Server – mit bis zu mehreren Minuten Leerlaufzeit dazwischen – ohne die Anfrage jemals zu beenden.

Eine ähnliche Methode wie Slowloris ist der „Are You Dead Yet“- oder „RUDY“-Angriff, der HTTP-„POST“-Befehle verwendet, um langsam Datenantworten an einen ahnungslosen Webserver zu senden.^[8] Beide Methoden können mit minimalen Ressourcen ausgeführt werden, und bei einem 5-Minuten-Standard-Timeout zum Offenhalten einer HTTP-Verbindung auf vielen Webservern benötigen sie auch nur minimale Bandbreite.^[1]

Ein Fragment-Flood-Angriff kann ebenfalls ein effektiver zustandsbehafteter Angriff sein. Diese Technik kann mit vielen Quellports und -adressen koordiniert werden, die auf ein einziges Ziel abzielen. Der angegriffene Endpunkt speichert den Status jedes Fragmentpakets, während er versucht, jedes einzelne wieder zusammenzusetzen. Jede einzigartige Kombination aus Quellport und -adresse erfordert die Zuweisung eines weiteren Fragmentierungspuffers durch das angegriffene System. Die Fähigkeit der verschiedenen böswilligen Systeme, fragmentierte Pakete zu senden, kann die Ressourcen des angegriffenen Systems übersteigen, da es versucht, den Zustand aller fragmentierten Transaktionen nachzuvollziehen.

Da zustandsbehaftete Angriffe darauf angewiesen sind, gültige Antworten an das Opfer zu generieren, ist es normalerweise nicht möglich, die Quelladresse des Angreifers zu fälschen. Eine Ausnahme von dieser Regel sind Angreifer, die einen Router oder ein Netzwerkmedium kompromittieren, durch das legitimer Traffic läuft. In diesem Fall kann der Angreifer die Quelladresse fälschen und gültige zustandsbehaftete Antworten generieren, wenn er die Antwort des Opfers ausspäht und im Wesentlichen den Zustand der Verbindung mitverfolgt.^[7]

Um die Effektivität der F5-Lösungen bei der Abschwächung verschiedener Arten von DDoS-Angriffen zu charakterisieren, wurde eine Testumgebung mit IXIA-Testsystemen konfiguriert. Ein IXIA XT80 lieferte guten „legitimen“ Client-Traffic und Server-Antworten, während ein IXIA XGS12 schlechten Client-Angriffs-Traffic generierte. Der Test wurde so konfiguriert, dass ein stabiles Grundmaß (Baseline) an legitimem Client-Server-Traffic etabliert wurde, während der angreifende Traffic hochgefahren wurde, um den Punkt zu bestimmen, an dem der angreifende Traffic beginnt, die erfolgreiche Übertragung des legitimen Traffics zu stören. Dies ermöglichte eine reproduzierbare Charakterisierung und einen Vergleich der Effektivität der Schutzmaßnahmen. Bei jedem Test wurden die DDoS-Angriffe als erfolgreich auf das System eingewirkt, wenn ein Rückgang des legitimen Traffics um 10 % gegenüber der festgelegten Baseline beobachtet wurde.

Die Baseline für den legitimen Traffic wurde auf 20 % der Kapazität des BIG-IP VE-Systems konfiguriert, einer 8vCPU High Performance VE mit dem BIG-IP AFM-Modul. Da dieses System in der Lage ist, 40 Gbit/s zu verarbeiten, wurde die Baseline für den legitimen Traffic auf 8 Gbit/s festgelegt.

BIG-IP AFM VE mindert DDoS-Angriffe, indem es zulässige Schwellenwerte für verschiedene Klassen von Traffic festlegt (z. B. UDP, Fragmente, TCP SYN usw.). Sobald der Schwellenwert für einen bestimmten Traffictyp überschritten wird, kann das System so konfiguriert werden, dass der gesamte Traffic dieses Typs verworfen wird. Dies entlastet das System von weiteren Kosten, die mit der Verarbeitung dieser Art von Traffic verbunden sind. Während softwarebasierte DDoS-Lösungen im Vergleich zu einem ungeschützten System einen gewissen Vorteil bieten können, bedeuten die Einschränkungen bei der Fähigkeit der Software, Pakete mit Leitungsgeschwindigkeit zu verarbeiten, dass Software-Abwehr die Auswirkungen eines DDoS-Angriffs nicht vollständig verhindern kann.

Der nächste Schritt des Tests bestand darin, die Rate des DDoS-Traffics zu ermitteln, die erforderlich ist, um den legitimen Traffic zu stören, wenn nur eine Softwarelösung verwendet wird. Dies wurde durchgeführt, um die Leistung einer reinen Softwarelösung mit der von BIG-IP VE für SmartNICs zu vergleichen. Die architektonische Systemkonfiguration für den BIG-IP AFM-Test ist auf Abbildung 6 zu sehen.

Die Leistungsdaten der DDoS-Abwehr für BIG-IP AFM VE wurden für drei verschiedene DDoS-Angriffstypen erfasst, um eine umfassendere Analyse zu ermöglichen. Zu den Angriffstypen für diese Simulation gehörten:

• Angriffstyp 1 – UDP-Flood-Angriff: Dieser zustandslose volumetrische Angriff wird durchgeführt, indem eine große Anzahl von User Datagram Protocol-Paketen an einen Zielserver gesendet wird, um die Verarbeitungs- und Reaktionsfähigkeit dieses Servers zu beeinträchtigen.
• Angriffstyp 2 – Christmas Tree-Angriff: Bei diesem Angriff werden Pakete verwendet, die nach einem Weihnachtsbaum benannt sind, weil bei ihnen alle Optionen auf „on“ gesetzt sind, so dass jedes Protokoll verwendet werden kann, wodurch sie „beleuchtet wie ein Weihnachtsbaum“ erscheinen. Diese Pakete benötigen viel mehr Rechenleistung als andere Pakete und können die Rechenkapazität eines Endgeräts schnell aufbrauchen, wenn sie in großen Mengen gesendet werden.
• Angriffstyp 3 – IP Short Fragment-Angriff: Diese häufige volumetrische DDoS-Attacke überwältigt ein Netzwerk, indem sie den Prozess der Datagrammfragmentierung ausnutzt. Typischerweise werden gefälschte Pakete gesendet, die nicht wieder zusammengesetzt werden können und größer sind als die Maximum Transmission Unit (MTU) des Netzwerks. Diese Angriffe überfordern Server schnell, indem sie die CPU-Ressourcen erschöpfen.

Abbildung 7 zeigt das Trafficvolumen in Gbit/s, das für jeden dieser Angriffstypen erforderlich ist, um bei der Verwendung von BIG-IP AFM VE (nur Software) den legitimen Traffic zu beeinträchtigen.

Nicht alle DDoS-Angriffe sind gleich. Einige sind weiter über das System verteilt als andere, und einige Angriffe erfordern mehr Paketinspektion und -analyse, bevor sie identifiziert werden können. Dies führt dazu, dass die Effektivität von DDoS-Angriffen variiert, wie in der Grafik oben zu sehen ist. Diese drei simulierten Angriffsmethoden zeigen, dass legitimer Traffic durch DDoS-Angriffe bei relativ niedrigem Durchsatz beeinträchtigt werden kann, wenn reine Software-Lösungen verwendet werden.

Die BIG-IP VE für SmartNICs-Lösung besteht aus einer 8vCPU High Performance AFM VE (ebenso wie im reinen Softwaretest), die mit einem integrierten Intel FPGA PAC N3000-SmartNIC. Dadurch kann der DDoS-Schutz auf das SmartNIC ausgelagert werden. Der in diesem SmartNIC eingebettete FPGA wurde so programmiert, dass er automatisch über 100 verschiedene Arten von bekannten DDoS-Angriffen erkennt und blockiert, während er auch Verhaltensanalysen verwendet, um unbekannte, sich entwickelnde Bedrohungen zu entschärfen.

Durch die Überwachung der Paketempfangsraten für alle programmierten Trafficprofile innerhalb des eingehenden Traffics und den Vergleich mit akzeptablen, konfigurierten Schwellenwerten kann der FPGA feststellen, wann ein Schwellenwert überschritten wurde. In diesem fall wendet er die entsprechenden Richtlinien an, um Traffic zu verwerfen, der die konfigurierten Maximalwerte überschreitet. So muss das CPU-Subsystem keine Datenpakete verarbeiten, die letztendlich aufgrund der DDoS-Abwehrrichtlinie verworfen werden. Da das FPGA in der Lage ist, den Paketverkehr bei Leitungsgeschwindigkeit zu klassifizieren (im Gegensatz zum CPU-Subsystem), bietet die SmartNIC-gestützte Lösung deutliche Vorteile gegenüber der reinen Software-Lösung.

Als nächster Schritt dieser Demonstration wurde die SmartNIC-gestützte Lösung denselben drei DDoS-Angriffen innerhalb der Testumgebung ausgesetzt. Wie zuvor bestand das Ziel darin, die zum Beeinträchtigen des legitimen Traffics nötige Rate des DDoS-Traffics zu ermitteln. Abbildung 8 zeigt die architektonische Systemkonfiguration für den BIG-IP VE für SmartNICs-Test.

Die Ergebnisse dieses Tests sind in Abbildung 9 dargestellt.

Es wurde festgestellt, dass die reine Software-DDoS-Lösung von F5 (BIG-IP AFM VE) ein gewisses Maß an Schutz vor kleineren Angriffen bieten kann, bevor der legitime Traffic beeinträchtigt wird, aber diese Lösung konnte die negativen Auswirkungen größerer Angriffen nicht verhindern. Durch die Lösung BIG-IP VE für SmartNICs, bei der BIG-IP AFM VE mit Intels FPGA PAC N3000-SmartNIC integriert wurde, konnte die Performance deutlich verbessert werden. Indem die Verantwortung für die DDoS-Abwehr von BIG-IP AFM VE auf ein FPGA in der SmartNIC ausgelagert wurde, konnte die kombinierte Lösung Angriffen widerstehen, die 41- bis 381-mal so groß waren, einschließlich Angriffen mit einer Rate von 30 Gbit/s und mehr. Für Unternehmen und Service-Provider mit Cloud-First-Imperativen bietet diese Lösung den hochleistungsfähigen Schutz von zweckgebundener Hardware und gleichzeitig die Flexibilität und Agilität von Cloud-Umgebungen. Da FPGAs umprogrammiert werden können, ist es außerdem möglich, andere Netzwerk- und Sicherheitsfunktionen zu verbessern, wenn sich die Bedrohungen weiterentwickeln.

¹ G. D. Hakem Beitollahi, „Analyzing well-known countermeasures against distributed denial of service attacks“, Computer Communications, 2012.
² H. W. Chuan Yue, „Profit-aware overload protection in E-commerce Web sites“, Journal of Network and Computer Applications, Bd. 32, S. 347–356, 2009.
³ A. M. Christos Douligeris, „DDoS attacks and defense mechanisms: classification and state of the art“, Computer Networks, Bd. 44(5), S. 643–666, 2004.
⁴ G. D. Hakem Beitollahi, „Analyzing well-known countermeasures against distributed denial of service attacks“, Computer Communications, Bd. 35(11) S. 1312–1332, 2012.
⁵ M. Prince, „Deep Inside a DNS Amplification DDoS Attack,“ CloudFlare, 30. Oktober 2012. [Online]. Verfügbar: https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/. [Abgerufen am 1. November 2015].
⁶ US-CERT, „UDP-Based Amplification Attacks“, 19. August 2015. [Online]. Verfügbar: https://www.us-cert.gov/ncas/alerts/TA14-017A.
⁷ Y. T. W. D. Shigang Chen, „Stateful DDoS attacks and targeted filtering“, Journal of Network and Computer Applications, Bd. 30(3), S. 823–840, 2007.
⁸ https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html, „R.U.D.Y. (R-U-Dead-Yet?)“, [Online]. Verfügbar: https://www.incapsula.com/ddos/attack-glossary/rudy-r-u-dead-yet.html. [Abgerufen am 9. Dezember 2015].