Kemp Technologies Blogs

Die Entwicklung von DDoS-Angriffen und Empfehlungen für die Vorbereitung Ihrer Abwehr

Maurice McMullin | Posted on | ADC | Load Balancer

Unternehmen jeder Größe und in allen Branchen sind anfällig für DDoS-Angriffe. Diese Aussage ist heute genauso wahr wie damals, als ich 2016 zum ersten Mal über den Stand der DDoS-Angriffe schrieb. Distributed-Denial-of-Service-Angriffe (DDoS) unterbrechen nicht nur die Verfügbarkeit von Anwendungen, sondern lenken Sicherheitsteams auch von größeren Angriffen ab.

Bei einem DDoS-Angriff wird ein Netzwerkserver mit Datenverkehr überflutet und so überlastet, dass er nicht mehr funktioniert. Da der Angriff von verschiedenen Quellpunkten kommt, kann es extrem schwierig sein, ihn zu blockieren oder zu beheben. DDoS-Angriffe sind störend und können den Geschäftsbetrieb in Sekundenschnelle zum Erliegen bringen.

Die Bedrohungslandschaft der Cybersicherheit hat sich in den Jahren seit meiner letzten Veröffentlichung zu diesem Thema verändert und ist ausgefeilter geworden, aber eine Sache, die sich nicht geändert hat, ist, dass DDoS-Angriffe immer noch eine bevorzugte Angriffsmethode sind, die von Cyberkriminellen verwendet wird, um Unternehmen aller Formen und Größen ins Visier zu nehmen.

In diesem Blog wird die aktualisierte DDoS-Bedrohungslandschaft mit Daten aus dem Jahr 2022 untersucht. Hier ist ein Blick auf die DDoS-Angriffslandschaft im Jahr 2022 und ein Leitfaden zum DDoS-Schutz.

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff ist eine Art von Cyberangriff, der darauf abzielt, den legitimen Zugriff auf eine Website oder Anwendung zu verhindern. Wie der Name schon sagt, verwenden Cyberkriminelle, die einen DDoS-Angriff kontrollieren, mehrere Geräte, die über das Internet verteilt sind, um den Angriff zu starten.

Ein DDoS-Angriff zielt darauf ab, den angegriffenen Dienst mit so vielen Anfragen und Netzwerkverkehr zu überfluten, dass die Server, auf denen die Zielwebsite oder -anwendung gehostet wird, nicht mehr reagieren können – bis zu dem Punkt, an dem sie funktionsunfähig werden. DDoS-Angriffe werden von mehreren Geräten aus durchgeführt, die über das Internet verteilt sind.

Die DDoS-Angriffslandschaft im Jahr 2022

Daten aus Berichten, Umfragen und Branchenpublikationen deuten darauf hin, dass das Volumen und die Größe von DDoS-Angriffen seit unserer letzten Veröffentlichung zu diesem Thema zugenommen haben. Ein paar, die auffielen:

Was ist der Zweck eines DDoS-Angriffs?

DDoS-Angriffe werden aus einer Vielzahl von Gründen durchgeführt, darunter finanzieller Gewinn, Ablenkung, Industriespionage, ideologische oder politische Gründe oder staatlich geförderte Angriffe. Weitere Informationen zu DDoS-Angriffen, einschließlich der Arten von DDoS-Angriffen und des empfohlenen Schutzes davor, finden Sie im Kemp-Glossareintrag für DDoS-Angriffe.

Bemerkenswerte DDoS-Angriffe

Allgemeine Statistiken über die oben beschriebenen Trends bei DDoS-Angriffen sind wichtig und erforderlich, um die Notwendigkeit von DDoS-Schutz- und -Minderungsmaßnahmen aufzuzeigen. Wenn man noch einen Schritt weiter geht und nennenswerte DDoS-Angriffe und ihre Auswirkungen nennt, wird der Punkt noch deutlicher. Hier sind einige nennenswerte DDoS-Angriffe, die in den letzten Jahren für Schlagzeilen gesorgt haben.

Die Bibliothek des Kongresses – 2022 – Die Library of Congress ist ein symbolischer Angriff. Am 7. Juli 2022 wurde die Website der Library of Congress Opfer eines DDoS-Angriffs. Der öffentliche Zugang zur Website war für zwei Stunden unterbrochen. KillNet, eine pro-russische Cybercrime-Gruppe, startete eine Reihe von DDoS-Angriffen auf Ziele auf der ganzen Welt, darunter Congress.gov. Ein Sprecher sagte, dass bestehende Maßnahmen ergriffen wurden, um den Angriff abzuschwächen und Ausfallzeiten zu minimieren.

Amazon Web Services (AWS) – 2020 – Viele der Dienste, auf die wir uns für Unternehmen und Unterhaltung verlassen, werden durch Cloud-Dienste untermauert, die auf AWS ausgeführt werden, was die Plattform zu einem Hauptziel für Cyberkriminelle macht, die Dienste stören oder Geld über Angriffsvektoren wie DDoS-Lösegeldangriffe erpressen wollen. Im Februar 2020 erlebte AWS den bis dahin größten DDoS-Angriff aller Zeiten. Der Angriff richtete sich gegen einen Kunden, der seine Dienste auf AWS hostete, und dauerte 3 Tage. In der Spitze lag der Spitzenwert bei 2,3 TB Datenverkehr pro Sekunde. Amazon hat den Angriff in seinem 2020 veröffentlichten Threat Landscape Report erörtert. Seit 2020 hat sowohl die Größe der Angriffe als auch die Anzahl der eingesetzten Angriffe deutlich zugenommen.

GitHub – 2018 – GitHub ist das De-facto-Standard-Repository für Entwickler zum Speichern, Freigeben und Versionskontrollcode. Microsoft kaufte GitHub im Jahr 2018, und einige Monate vor der Übernahme traf ein bedeutender DDoS-Angriff GitHub, der die Website für 5 Minuten offline nahm. Der Angriff war bemerkenswert, weil er einen Fehler im Website-Caching-System namens Memcached ausnutzte. Durch die Ausnutzung dieses Fehlers konnte der Datenverkehr, der von kompromittierten Geräten im Web auf GitHub gerichtet wurde, um den Faktor 51.2000 verstärkt werden. Für den Angriff wurden etwa 1.000 Systeme verwendet, aber die Verstärkung lieferte die Wirkung von 50.000. Obwohl die Traffic-Spitzen groß und überwältigend waren, waren die Ausfallzeiten aufgrund des DDoS-Schutzes, den GitHub eingerichtet hatte, begrenzt. Diese Unterbrechung des Dienstes zeigt, dass über Standardprotokolle hinaus mehr benötigt wird, um sich vor der sich ständig ändernden DDoS-Bedrohungslandschaft zu schützen.

Verhinderung von DDoS-Angriffen

Was ich vor fünf Jahren über DDoS-Angriffe vorgeschlagen habe, gilt auch heute noch. DDoS-Angriffe können in einigen der Worst-Case-Szenarien mehr als 100.000 US-Dollar pro Stunde kosten – und da sich die meisten DDoS-Angriffe über mehrere Stunden erstrecken, summieren sich die Verluste schnell. Vorbeugende Maßnahmen sind notwendig, um diese Bedrohungen zu vereiteln, zu behindern und zu stoppen, bevor Schaden angerichtet werden kann.

Wie bekämpft man diese mehrgleisigen Angriffe? Zur Abwehr von DDoS-Angriffen benötigen Unternehmen einen mehrdimensionalen oder mehrschichtigen Verteidigungsansatz, um ihr Netzwerk und ihre Anwendungen zu sichern. Angreifer, die die erste Verteidigungslinie eines Unternehmens überwinden, werden mit der nächsten Verteidigungslinie konfrontiert. Auf diese Weise wird die Bedrohung minimiert.

Load Balancer, wie der Progress Kemp LoadMaster, eignen sich ideal für die Einbindung in ein mehrschichtiges Sicherheitsmodell. Load Balancer verteilen Workloads auf mehrere Server, um eine Überlastung zu verhindern.

Kann ich einen Load Balancer für den DDoS-Schutz verwenden?

Ja, ein Load Balancer kann verwendet werden, um Single Points of Failure zu eliminieren und den Datenverkehr umzuleiten, wenn ein Server Opfer eines DDoS-Angriffs werden sollte. Load Balancer erhöhen die Ausfallsicherheit, indem sie den Live-Datenverkehr von einem Server auf einen anderen umleiten, falls ein Server Opfer eines DDoS-Angriffs wird oder anderweitig nicht verfügbar ist. Darüber hinaus verringern Load Balancer auch die Angriffsfläche und erschweren die Erschöpfung von Ressourcen und die Sättigung von Links.

Es ist zu beachten, dass die primäre Abwehr von DDoS-Angriffen von Netzwerkanbietern oder dedizierten DDoS-Schutzanbietern wie Cloudflare, Akamai und Imperva bereitgestellt wird. Sowohl AWS als auch Microsoft Azure bieten auch DDoS-Schutzdienste für Cloud-Plattformen an. Strategisch platzierte Load Balancer können jedoch als Teil einer umfassenderen Lösung verwendet werden, um die Auswirkungen von DDoS-Angriffen abzumildern.

Beispielsweise kann ein Load Balancer verwendet werden, um den Datenverkehr umzuleiten, wenn ein Server von einem DDoS-Angriff betroffen ist. Dazu gehört auch das regionale Routing des Datenverkehrs mithilfe des Global Server Load Balancing (GSLB). Load Balancer verringern auch die Angriffsfläche, die für Angreifer sichtbar ist.

Wie LoadMaster helfen kann, DDoS-Angriffe abzuwehren

  • LoadMaster Load Balancer können verlangen, dass alle Verbindungsanfragen zu einem Server eine CAPTCHA-Abfrage passieren. Dies kann für alle Verbindungen gelten, auch für unauthentifizierte Verbindungen. Die Verwendung von CAPTCHA verhindert, dass ein Angreifer Anwendungs- oder Webserver mit direkten Anfragen überhäufen kann. Der LoadMaster fängt die Anfragen ab und lässt sie fallen, wenn das CAPTCHA fehlschlägt.
  • IP-Reputationsdaten können von LoadMaster bei der Auswertung von Verbindungsanfragen verwendet werden. Es gibt viele Quellen für IP-Adressen-Reputationsdaten, die von seriösen Sicherheitsanbietern zur Verfügung gestellt werden. LoadMaster kann diese Daten aufnehmen und alle Verbindungsanfragen von Websites, die bekanntermaßen von schlechten Akteuren genutzt werden, und von IP-Adressen, die für DDoS-Angriffe verwendet werden, zurückweisen.
  • Das Einschränken der Anzahl der zulässigen Verbindungen und deren Möglichkeiten ist auch eine Methode, die Sie mit dem LoadMaster implementieren können. Dies wird als Ratenbegrenzung oder Quality of Service (QoS) bezeichnet. Die Ratenbegrenzung wirkt sich auf eingehende Aktivitäten aus und kann vor DDoS-Angriffen und anderen volumetrischen Angriffstypen wie Brute-Force-Angriffen zum Erraten von Passwörtern schützen. Mithilfe der Ratenbegrenzung können Sie Einschränkungen über die unten aufgeführten Methoden konfigurieren. Dadurch wird verhindert, dass Angreifer den Application Delivery Controller überschwemmen. Die QoS-Einstellungen lauten wie folgt:
    • Max. Anschlüsse
    • Verbindungsrate pro Sekunde (CPS)
    • RPS-Rate (Anforderungen pro Sekunde)
    • Bandbreitenbeschränkungen
      • Global: Für alle Clients, die auf einen virtuellen Dienst zugreifen
      • Client: Für eine einzelne IP-Adresse oder ein Subnetz, das auf einen virtuellen Dienst zugreift
      • Virtual Serviec: Für jeden Client, der auf einen bestimmten virtuellen Dienst oder SubVS zugreift

Wie LoadMaster auf einen verdächtigen DDoS-Angriff reagiert

Wenn der LoadMaster ein hohes Volumen an eingehenden Verbindungen erkennt, verwendet er einen Mechanismus, der das Netzwerk vor gefälschten IP-Adressverbindungen schützt. Es verhindert, dass eingehende Warteschlangen mit unzulässigen Datenverkehrsanforderungen gefüllt werden. Kemp 360 Vision, das unseren Enterprise Support- und Enterprise Plus Support-Kunden zur Verfügung steht, identifiziert einen verdächtigen Angriff nicht nur, sondern benachrichtigt auch den zuständigen Administrator darüber.

Wer ist anfällig für DDoS-Angriffe?

DDoS-Cyberangriffe sind eine bedauerliche Tatsache in der modernen Geschäftslandschaft, und jedes Unternehmen mit einer Online-Präsenz ist theoretisch anfällig für einen solchen Angriff. Während die Kosten für den Umgang mit DDoS-Angriffen bis zu sechsstellig sein können, gehen die negativen Auswirkungen, die mit einem DDoS-Angriff verbunden sind, über jeden finanziellen Verlust hinaus.

Die frühzeitige Erkennung von DDoS-Angriffen kann einen quantifizierbaren Unterschied machen, wenn es darum geht, die geringsten negativen Auswirkungen auf Ihr Netzwerk und Ihr Unternehmen zu haben. Erfahren Sie mehr darüber, wie Sie mit Progress Kemp unrechtmäßigen Datenverkehr blockieren und über steigende Bedrohungen auf dem Laufenden bleiben können.

Sichere Anwendungen mit LoadMaster

LoadMaster ist die erste Wahl für Unternehmen, die Load-Balancing benötigen. Mit mehr als 100.000 Bereitstellungen bietet LoadMaster die leistungsfähigsten Lösungen für das Load-Balancing, um sicherzustellen, dass Anwendungen sicher und hochverfügbar sind und mit Spitzenleistung ausgeführt werden.

Sprechen Sie mit einem technischen Experten , um zu erfahren, wie Sie Ihr Unternehmen vor einem DDoS-Angriff schützen können, und skizzieren Sie Schutzmaßnahmen und Abwehrmaßnahmen.