Schein-Sicherheit durch Marketing-Talk

Kennen Sie die Fakten?

Bei vielen Geräten werden leider Zahlen verlautbart, die eine hohe Performance suggerieren, jedoch im Ernstfall bei weitem nicht halten, was sie versprechen; das Ergebnis ist eine Schein-Sicherheit, die bei einem Angriff fatal wird.

Die Bandbreiten-Lüge

Viele Hersteller geben bei Ihren Geräten höchste bewältigbare Bandbreiten an, die hohe Reserven und damit Sicherheit für den Angriffsfall versprechen. Was fehlt, ist die Angabe der Rahmenbedingungen, unter der diese Ergebnisse erzielbar sind!

So brechen etwa viele Firewalls und Router im Angriffsfall um 90-95% ein!

Der Grund: die Pakete zählen!

Die Belastung für Router und Server stellt nicht die Bandbreite, sondern die Anzahl der Pakete pro Sekunde dar. Allerdings sind diese Paket-Größen stark unterschiedlich: von kleinen 44 Byte Paketen bis tausenden Bytes ist alles möglich.

Ein leider realistisches Beispiel:
Szenario Traffic Paketgröße Pakete/s  
Normalfall 100Mbit/s 1.000 Byte 12.000 OK für 1 guten Server
Angriff 100Mbit/s 44 Byte 200.000 !!
Ausfall durch 16x Last

Betroffen davon sind namhafte:

  • Firewalls
  • Router
  • Load-Balancer
  • Web- und Application-Server

Es ist daher wichtig, die Angriffe bereits vor diesen Systemen abzufangen!

Praxis-Beispiel Load-Balancer / Content Switch:
Ein bekannter Load-Balancer gibt als Leistung 1.000.000 gleichzeitige Sessions an. Über so viel Besuch kann man sich nur freuen, und die Kapazität scheint ausreichend.
Stellen Sie sich einen eher schwachen SYN Flood-Angriff von 200 Mbit vor, dann sind diese Sessions in 4 Sekunden aufgebraucht und das Gerät überlastet.

Telepolis: DDoS-Attacke auf Bestellung

Russische Hacker offerieren Preisliste: Putins Website lahm zu legen, kostet nur 1000 USD, die von Microsoft 80000 USD. Ob die Geschichte wahr ist oder nicht ist schwer zu sagen. Die russische Tageszeitung Wedemosti weiterlesen ...