Wie AWS Kunden vor DDoS-Angriffen schützt

von Tom Scholl und Mark Ryland, übersetzt von Ben Freiberg

Bei Amazon Web Services (AWS) hat Sicherheit oberste Priorität. Sicherheit ist tief in unserer Kultur, unseren Prozessen und Systemen verankert; sie durchdringt alles, was wir tun. Was bedeutet das für Sie? Wir glauben, dass Kunden davon profitieren können, wenn sie mehr darüber erfahren, was AWS unternimmt, um Sicherheitsvorfälle, die sich auf Kunden auswirken, zu verhindern und abzuschwächen.

Seit Ende August 2023 hat AWS eine neue Art von DDoS-Angriffe (Distributed Denial of Service) erkannt und schützt Kundenanwendungen davor. DDoS-Angriffe versuchen, die Verfügbarkeit eines Zielsystems, z. B. einer Website oder Anwendung, zu unterbrechen und die Leistung für legitime Benutzer zu verringern. Beispiele für DDoS-Ereignisse sind HTTP-Request Floods, Reflection/Amplification-Angriffe und Packet Floods. Bei den von AWS entdeckten DDoS-Angriffen handelte es sich um eine Art HTTP/2-Request Flood, die auftritt, wenn ein hohes Volumen unzulässiger Webanfragen die Fähigkeit eines Webservers überfordert, auf legitime Client-Anfragen zu reagieren.

Zwischen dem 28. und 29. August 2023 wurde bei der proaktiven Überwachung durch AWS eine ungewöhnliche Spitze von HTTP/2-Anfragen an Amazon CloudFront registriert, die auf dem Höhepunkt über 155 Millionen Requests pro Sekunde (RPS) erreichte. Innerhalb weniger Minuten analysierte AWS die Art dieser ungewöhnlichen Aktivität und stellte fest, dass CloudFront automatisch eine neuen Typ von HTTP-Requets Flood DDoS-Ereignis entschärft hatte. Dieser Typ wird heute als HTTP/2 Rapid-Reset-Angriff bezeichnet. In diesen zwei Tagen beobachtete und entschärfte AWS mehr als ein Dutzend HTTP/2 Rapid-Reset-Angriffe. Auch im September wurde Ereignisse mit dieser Art von HTTP/2-Request-Flood beobachtet. AWS-Kunden, die DDoS-resistente Architekturen mit Services wie Amazon CloudFront und AWS Shield aufgebaut hatten, konnten die Verfügbarkeit ihrer Anwendungen schützen.

Abbildung 1: Globale HTTP-Anfragen pro Sekunde, 13. bis 16. September

Überblick über HTTP/2 Rapid-Reset-Angriffe

Mit HTTP/2 können mehrere unterschiedliche logische Verbindungen über eine einzige HTTP-Sitzung gemultiplext werden. Dies ist eine Änderung gegenüber HTTP 1.x, bei dem jede HTTP-Sitzung logisch getrennt war. HTTP/2-Reset-Angriffe bestehen aus mehreren HTTP/2-Verbindungen mit Anfragen und Resets in schneller Folge. Zum Beispiel wird eine Reihe von Anfragen für mehrere Streams übertragen, gefolgt von einem Reset für jede dieser Anfragen. Das angegriffene System analysiert und bearbeitet jede Anfrage und erstellt Logs für eine Anfrage, die dann von einem Client zurückgesetzt oder abgebrochen wird. Das System ist mit der Erstellung dieser Logs beschäftigt, obwohl es keine Daten an den Kunden zurücksenden muss. Ein bösartiger Akteur kann diesen Prozess missbrauchen, indem er eine große Anzahl von HTTP/2-Anfragen stellt, die das Zielsystem, z. B. eine Website oder Anwendung, überfordern können.

Bedenken Sie, dass HTTP/2 Rapid-Reset-Angriffe nur eine neue Art der HTTP-Request Flood sind. Um sich gegen diesen Typ von DDoS-Angriffen zu schützen, können Sie eine Architektur wählen, die Ihnen hilft, unerwünschte Anfragen gezielt zu erkennen und zu skalieren, um diese bösartigen HTTP-Anfragen zu absorbieren und zu blockieren.

Aufbau von DDoS-resistenten Architekturen

Als Kunde von AWS profitieren Sie von der Sicherheit, die in die globale Cloud-Infrastruktur von AWS integriert ist, als auch von unserem Engagement, die Sicherheit, Effizienz und Widerstandsfähigkeit der AWS-Services kontinuierlich zu verbessern. Zur Verbesserung der DDoS-Resilienz ihrer Anwendungen stellt AWS Ressourcen wie die AWS Best Practices for DDoS Resiliency bereit. Darin wird eine DDoS-resistente Referenzarchitektur als Leitfaden beschrieben, um ihnen zu helfen die Verfügbarkeit Ihrer Anwendung zu schützen. Während mehrere Formen der DDoS-Abwehr automatisch in AWS-Services eingebaut sind, kann Ihre DDoS-Resilienz durch eine Architektur mit spezifischen AWS Services verbessert werden. Die zusätzliche Umsetzung von Best Practices für jeden Teil des Netzwerkflusses zwischen den Benutzern und Ihrer Anwendung unterstützt dabei.

Sie können zum Beispiel AWS-Services nutzen, die von Edge-Standorten aus betrieben werden, wie Amazon CloudFront, AWS Shield, Amazon Route 53 und Route 53 Application Recovery Controller, um einen umfassenden Schutz der Verfügbarkeit ihrer Anwendungen gegen bekannte Angriffe auf der Infrastrukturebene aufzubauen. Diese Services können die DDoS-Resilienz Ihrer Anwendung verbessern, wenn die Kommunikation mit ihren Anwendungen von weltweit verteilten Edge-Standorten aus bedient wird. Ihre Anwendung kann sich dabei on-premise oder in AWS befinden, wenn Sie diese AWS-Services nutzen, um zu verhindern, dass unnötige Anfragen Ihren Ursprungsserver erreichen. Als Best Practice können Sie Ihre Anwendungen in AWS betreiben, um den zusätzlichen Vorteil zu nutzen, dass die Endpunkte Ihrer Anwendungen weniger anfällig für DDoS-Angriffe sind. Darüber hinaus schützt dies die Verfügbarkeit Ihrer Anwendung und optimiert die Leistung Ihrer Anwendung für legitime Benutzer. Sie können Amazon CloudFront (und seine HTTP-Caching-Fähigkeit), AWS WAF und den automatischen Anwendungsschichtschutz von Shield Advanced verwenden, um zu verhindern, dass bei DDoS-Angriffen auf der Anwendungsschicht unnötige Anfragen Ihr Ziel erreichen.

Unser Wissen für AWS-Kunden nutzbar machen

AWS bleibt wachsam und arbeitet daran, zu verhindern, dass Sicherheitsprobleme zu Störungen Ihres Geschäfts führen. Wir glauben, dass es wichtig ist, nicht nur mitzuteilen, wie unsere Dienste konzipiert sind, sondern auch, wie unsere Ingenieure tiefgreifende und proaktive Verantwortung für jeden Aspekt unserer Services übernehmen. Während wir daran arbeiten, unsere Infrastruktur und Ihre Daten zu schützen, suchen wir nach Möglichkeiten, Sie automatisch zu schützen. Wann immer möglich, unterbrechen AWS Security und ihre Systeme Bedrohungen dort, wo es am wirkungsvollsten ist; oft geschieht dies weitgehend im Hintergrund. Wir arbeiten daran, Bedrohungen zu entschärfen, indem wir unsere globalen Threat Intelligence Daten und unser technisches Fachwissen kombinieren, um unsere Services widerstandsfähiger gegen bösartige Aktivitäten zu machen. Wir suchen ständig nach Möglichkeiten, um die Effizienz und Sicherheit von Services zu verbessern. Dies schließt sowohl die Protokolle ein, die wir in unseren Services, wie Amazon CloudFront, verwenden als auch AWS-Sicherheitstools wie AWS WAF, AWS Shield und Amazon Route 53 Resolver DNS Firewall.

Darüber hinaus gehen unsere Arbeiten zum Schutz und zur Verbesserung der Sicherheit weit über die Grenzen von AWS selbst hinaus. AWS arbeitet regelmäßig mit der breiteren Community zusammen, zum Beispiel mit Computer Emergency Response Team (CERT), Internetdienstanbietern (ISP), Domain-Registraren oder Regierungsbehörden, damit diese bei der Unterbrechung einer identifizierten Bedrohung helfen können. Wir arbeiten auch eng mit der Sicherheitsgemeinschaft, anderen Cloud-Anbietern, Content Delivery Networks (CDNs) und kooperierenden Unternehmen auf der ganzen Welt zusammen, um Bedrohungsakteure zu isolieren und auszuschalten. Im ersten Quartal 2023 haben wir beispielsweise über 1,3 Millionen Botnet-gesteuerte DDoS-Angriffe gestoppt und die Quellen von 230.000 L7/HTTP-DDoS-Angriffen zurückverfolgt und mit externen Parteien zusammengearbeitet, um sie zu beseitigen. Die Effektivität unserer Abwehrstrategien hängt stark von unserer Fähigkeit ab, Bedrohungsdaten schnell zu erfassen, zu analysieren und entsprechend zu handeln. Mit diesen Schritten geht AWS über die typische DDoS-Abwehr hinaus und verlagert den Schutz über unsere Grenzen hinaus. Wenn Sie mehr über diese Bemühungen erfahren möchten, lesen Sie bitte: Wie AWS-Threat Intelligence Bedrohungsakteure abschreckt.

Über den Autor

Mark Ryland ist Sicherheitsdirektor bei Amazon und hat seinen Sitz in Virginia. Er verfügt über mehr als 30 Jahre Erfahrung in der Technologiebranche und hat in Führungspositionen im Bereich Cybersicherheit, Softwaretechnik, verteilte Systeme, Technologiestandardisierung und öffentliche Politik gedient. Als langjähriger Mitarbeiter von AWS mit über 12 Jahren Erfahrung begann er als Direktor für Lösungsarchitektur und professionelle Dienstleistungen im Team für den öffentlichen Sektor von AWS weltweit. Zuletzt gründete und leitete er das AWS-Büro des CISO (Chief Information Security Officer).

Tom Scholl ist Vice President und Distinguished Engineer bei AWS.