Archiv

Googles "Project Shield"
Hilfe vom großen Bruder

Um regierungskritische Gegner mundtot zu machen, werden oft ungeliebte Webseiten lahmgelegt. Die Server werden dabei mit einer Flut manipulierter Anfragen überlastet. Schutz vor solch politisch motivierten DDoS-Attacken bietet der Google-Dienst "Project Shields".

Von Michael Gessat |
    "Project Shield" nennt sich die Initiative aus dem Entwicklungslabor von "Google Ideas" und momentan ist der Schutzschild noch in der Erprobungs-, in der Betaphase. Interessenten aus aller Welt können sich über die Website des Projekts um eine kostenlose Teilnahme bewerben – vorausgesetzt, sie erfüllen die Aufnahmekriterien.
    "Wir nehmen weiterhin Bewerbungen von drei Gruppen an: von unabhängigen Medienorganisationen, von Menschenrechtsgruppen und von Organisationen, die Wahlen beobachten. Das sind sehr wichtige Stimmen im Netz, die Informationen, die sie übermitteln, sind sehr bedeutend für eine freie und offene Diskussion - und die Websites sind sehr verletzlich für DDoS-Attacken."
    Solche Attacken setzten erfahrungsgemäß recht passgenau dann ein, wann immer Medien- oder Menschenrechtsseiten bedeutende Informationen auf ihren Websites online stellten, sagt CJ Adams, der Projektmanager von "Project Shield".
    Webauftritte werden überlastet
    Dabei ist die Idee, bestimmte Webseiten durch eine Flut von Anfragen lahmzulegen, nicht gerade neu – in den Anfangszeiten des Netzes gab es regelrechte "Online-Demonstrationen", bei denen tausende von Teilnehmern per Hand, also per gleichzeitigem Mausklick versuchten, einen Webauftritt zu überlasten. DDoS steht für "Distributed Denial of Service", also "verteilte Blockade eines Dienstes" – aber der Angriff wird seit Langem nicht mehr von Menschen aus Fleisch und Blut, sondern zum Beispiel von gekaperten Rechnern, sogenannten Bot-Netzen aus gefahren. Oder noch viel besser, über schlecht konfigurierte offene Server im Netz, die Adress- oder Zeitinformationen bereit stellen. CJ Adams:
    "Wenn ich tausend Rechner infiziert habe, dann könnte ich die nutzen, um gefälschte Anfragen an einen Server zu stellen. Ich könnte die tausend Rechner aber auch mit einer gefälschten IP-Adresse, nämlich der des anvisierten Opfers, Anfragen stellen lassen an einen Adress-, einen DNS-Server. Und dann bekommt das Opfer die Antworten geliefert, viel größer im Datenvolumen als meine Anfragen."
    "Amplification", Verstärkung nennt sich diese Angriffsmethode, und sie funktioniert nicht nur über die offenen Adress-, die DNS-Server im Netz, sondern auch über die Server für das NTP-Protokoll; die Server, die die atomuhrgenaue Zeitinformationen liefern. Bei solcherart verstärkten Attacken gehen auch Webseiten von professionellen Website-Betreibern in die Knie, die sich teure Hardware-Schutzvorrichtungen gegen DDoS-Angriffe, sogenannte "Appliancies" vor ihren internen Netzen leiten können. Ebenfalls sehr teuer, aber auch recht wirksam gegen DDoS-Angriffe ist das Einschalten von CDNs, von "Content Distribution Networks"; von Dienstleistern also, die die Seiteninhalte des Kunden über eigene Server rund um die Welt ausliefern und Lastspitzen abfangen.
    Teuere Alternativen zu Google
    Wie "Project Shield" ganz genau funktioniert, verrät Google nicht, weil dies Angreifern wertvolle Hinweise liefern könnte. Im Grunde setzt der Schild für die Teilnehmer des Projekts aber auf den gleichen Ressourcen auf, die auch Google selbst vor DDoS-Angriffen schützen, sagt CJ Adams – zum einen auf das Netz von Servern rund um die Welt, das legitimen und missbräuchlichen Datenverkehr, den Traffic also verteilt – und dann auch auf ausgefeilte Algorithmen, die harmlose von bösartigen Anfragen unterscheiden können.
    Ähnliche zwischengeschaltete, "cloudbasierte" Schutzangebote gibt es natürlich auch von kommerziellen Marktteilnehmern wie Akamai, Staminus oder Cloudflare. Die sind allerdings recht teuer und für kleinere Websites kaum zu finanzieren, gibt Raymond Hartenstein vom deutschen Anbieter Link11 zu – er hat daher mit dem Google-Angebot kein Problem:
    "NGOs und Konsorten haben meist nicht die Budgets, um sich einen professionellen DDOS-Schutz zu leisten, das ist leider nun mal hier und da teuer, wenn es gegen große Attacken schützen soll, einfach weil man die Ressourcen, die Kapazitäten vorhalten muss; es kostet sehr, sehr viel Geld. Wenn es jetzt in die Richtung geht, dass es an die Betreiber solcher Webseiten gerichtet ist – eine feine Sache. Wir haben auch sehr viele Anfragen, teilweise versuchen wir da mit Sonder-Discounts zu arbeiten, dass wir die schützen können, aber grundsätzlich für uns ist es erst mal keine Bedrohung."
    Kostenloses Angebot soll bleiben
    Googles "Project Shield" soll auch nach der Betaphase ein kostenloses Angebot an kleinere Medien, NGOs und Wahlbeobachter bleiben; ein kommerzieller Betrieb sei "zur Zeit" nicht vorgesehen, sagt Projektmanager CJ Adams. In absehbarer Zeit allerdings dürfte die cloudbasierte DDoS-Abwehr eine Sache für den Massenmarkt werden, prognostiziert Raymond Hartenstein von Link11: Auf der einen Seite das nach wie vor höherpreisige Angebot für große Unternehmen, auf der anderen Seite ein abgespeckter Schutz von Internetprovidern für die kleineren Kunden – aber mit den gleichen hochwirksamen Algorithmen zur DDoS-Abwehr wie im professionellen Bereich.