DDoS-Angriffe auf IPv6
IPv6. Wir haben schon seit Jahren gehört, dass es kommen wird, aber nein, es ist noch nicht da. Es ist jedoch "da" genug, um eine Sicherheitsbedrohung für jedes Unternehmen darzustellen, das mit der Umstellung auf IPv6 begonnen hat. Die Einführung von IPv6 bringt neue Sicherheitsherausforderungen mit sich. Zwar unterstützen heute nur 25 % der Websites IPv6 vollständig, doch viele andere unterstützen v6 in Teilen ihres Netzes, ob ihre Betreiber es wissen oder nicht.
Mit IPv6 wird nicht nur ein weiterer Angriffsvektor eingeführt, sondern ein Angriffsvolumen, das ein Paralleluniversum aller heute bekannten DDoS-Angriffe umfasst. Alle Angriffsvektoren, die ihren Ursprung in IPv4 haben, seien es volumetrische oder Anwendungsangriffe, können auch in IPv6 auftreten.
Im Großen und Ganzen ist ein IPv6-Netzwerk nicht mehr oder weniger anfällig für DDoS-Angriffe als sein IPv4-Gegenstück, aber die Tatsache, dass jede Schwachstelle in v4 auch in v6 ausgenutzt werden kann, ist beängstigend, weil es so viele Vektoren gibt und die meisten Sicherheitsexperten nicht wissen, was alles mit IPv6 in ihrem Netzwerk läuft.
IPv6-basierte DDoS-Angriffe sind heute weder so häufig noch so umfangreich wie solche, die über IPv4 erfolgen, aber sie treten immer häufiger und raffinierter auf. Da IPv6 jedes Jahr einen immer größeren Teil Ihres Netzwerks ausmacht, wird auch Ihre Gefährdung durch IPv6-basierte Angriffe zunehmen.
Volumetrisch
Volumetrische Angriffe werden von Ligen von Zombie-Computern verübt, die gemeinsam als Botnet bezeichnet werden. Die Stärke der volumetrischen DDoS-Angriffe ist proportional zur Anzahl der angeschlossenen Geräte im Botnetz. Mehr Zombies bedeuten mehr Feuerkraft, um böswillige DNS-, NPT- und CHARGEN-Nachrichten zu verschicken.
Auch wenn heute nur 6 % Ihrer Besucher IPv6 verwenden, heißt das nicht, dass nur dieser Prozentsatz betroffen ist. Da sich beide Protokolle in der Regel dieselbe Schnittstelle teilen, d. h. dual-stacked sind, werden bei einer Überflutung der IPv6-Schnittstelle wahllos alle Benutzer abgeschaltet, unabhängig davon, welches Internetprotokoll sie verwenden.
Mit der wachsenden Zahl der angeschlossenen Geräte wird auch IPv6 wachsen. Bis 2020 wird es schätzungsweise 34 Milliarden angeschlossene Geräte im Internet geben. Ist Ihr Netzwerk bereit für Botnets der Version 6?
Um den parallelen v6-DDoS-Angriff abzuschwächen, stellen Sie sicher, dass Ihre DDoS-Minderungslösung die gleiche Funktionalität in IPv6 hat und die gleiche Hardware zur Beschleunigung verwendet.
Anwendungsschicht
Angriffsvektoren auf Schicht 7 verwenden speziellen Datenverkehr, der so konzipiert ist, dass er genügend Rechenressourcen verbraucht, um ein System zu überfordern. Weit weniger Angriffe, aber tödlicher. Wie in den unteren Schichten sind alle Schwachstellen auf der Anwendungsschicht über v4 auch über v6 angreifbar. Anderes Protokoll, gleiches Ergebnis.
Mithalten
Die meisten IPv6-Angriffe bleiben für das ungeschulte Auge unbemerkt. Die Entschärfung von DDoS-Angriffen über das Protokoll der nächsten Generation beginnt mit der Ausbildung. Sicherheitsspezialisten müssen IPv6 gut genug kennen, um Angriffe zu erkennen und sie dann mit den zur Verfügung stehenden Werkzeugen zu entschärfen. Und diese Tools müssen in Bezug auf IPv4 und IPv6 die gleichen Funktionen und die gleiche Hardware haben. Um das parallele Aufkommen von v6-DDoS-Angriffen abzuschwächen, sollten Sie Ihre DDoS-Lösung Zeile für Zeile und Funktion für Funktion durchgehen, um sicherzustellen, dass sie Ihr Netzwerk auch über IPv6 schützt.
Das Spiel "Hau den Maulwurf" ist in der Netzwerksicherheit ein nie endendes Spiel, aber im Fall der DDoS-Abwehr der nächsten Generation sind eine gute Ausbildung und eine vollständig IPv6-fähige Lösung wie die Thunder TPS von A10 die Grundvoraussetzungen für das Spiel.