DDoS-Angriff

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff ist eine Art von Cyberangriff, der darauf abzielt, den rechtmäßigen Zugang zu einer im Internet gehosteten Website oder Anwendung zu verhindern. DDoS ist ein Akronym für Distributed Denial Of Service. Wie der Name schon sagt, verwenden die Cyberkriminellen, die einen DDoS-Angriff steuern, mehrere über das Internet verteilte Geräte, um den Angriff durchzuführen. Dies steht im Gegensatz zu einem Denial of Service (DoS)-Angriff, bei dem eine einzige Quelle verwendet wird, um ein System anzugreifen. DDoS-Angriffe sind heute viel häufiger als DoS-Angriffe, da sie aufgrund mehrerer Faktoren leicht zu bewerkstelligen sind. Ein DDoS-Angriff zielt darauf ab, den angegriffenen Dienst mit so vielen Zugriffsanfragen oder so viel Netzwerkverkehr zu überfluten, dass die Server, auf denen die angegriffene Website oder Anwendung gehostet wird, nicht auf alle Anfragen reagieren können. Dies verhindert, dass legitime Benutzeranfragen bearbeitet werden können, und die Website scheint unerreichbar zu sein, da die Zugriffsanfragen eine Zeitüberschreitung aufweisen. Zur Erklärung von DDoS-Angriffen sind viele Analogien vorgeschlagen worden. Keine von ihnen vermittelt das schiere Volumen des Netzwerkverkehrs und der Anfragen, die ein DDoS-Angriff mit sich bringt, aber sie sind nützlich, um die Auswirkungen eines DDoS-Angriffs für Nichttechniker zu erklären. Eine hilfreiche Analogie sind die vielen Anrufer bei einer Handynummer. Wenn eine einzelne Person wiederholt Ihre Nummer anruft und andere daran hindert, Sie zu erreichen, wäre dies ein einfacher DoS-Angriff. Wenn jedoch jemand Ihre Nummer auf Facebook veröffentlicht und mitteilt, dass Sie einen wertvollen Gegenstand sehr billig zu verkaufen haben, dann wären Hunderte oder Tausende von Anrufern, die versuchen, Sie zu erreichen, eine Analogie zu einem DDoS-Angriff. Denn die meisten Anrufer würden einen Besetztton erhalten. DDoS-Angriffe haben in den letzten Jahren an Zahl und Umfang zugenommen. Sie sind heute ein wesentlicher Bestandteil der IT-Sicherheitsbedrohungen, mit denen sich alle IT-Teams befassen müssen. Ein Bericht von TechRepublic zeigt, dass die Zahl der DDoS-Angriffe mit einem Volumen von mehr als 100 Gbps zwischen Q1 2018 und Q1 2019 um 967 % gestiegen ist, und das größte erfasste Angriffsvolumen stieg um 70 % auf 587 Gbps. Dieser Trend setzt sich auch im Jahr 2020 fort, wobei erste Untersuchungen einen weiteren Anstieg sowohl der Anzahl als auch des Umfangs von DDoS-Angriffen zeigen.

Wie werden DDoS-Angriffe durchgeführt?

Wie der Begriff "verteilt" in DDoS andeutet, werden die Angriffe von mehreren über das Internet verteilten Geräten aus durchgeführt. Eine gängige Methode zur Durchführung von DDoS-Angriffen ist der Einsatz einer Botnet-Armee aus kompromittierten Maschinen und Geräten, die gleichzeitig Anfragen oder Netzwerkverkehr senden, um den Betrieb des Zielsystems zu stören. Bei den Geräten, aus denen sich die Botnet-Armee zusammensetzt, handelt es sich in der Regel um Server oder PCs, die mit Malware infiziert wurden, oder um schlecht gesicherte IoT-Geräte (Internet of Things), die eine Schwachstelle aufweisen, durch die sie gekapert werden können.

 

Arten von DDoS-Angriffen

DDoS-Angriffe verwenden mehrere Techniken, um Websites und Anwendungen zu stören. Alle von ihnen fallen in der Regel in drei Hauptgruppen:
  • Volumetrische Angriffe - diese erzeugen große Mengen an Netzwerkverkehr, der die gesamte verfügbare Bandbreite des Zielsystems über seine Internetverbindung verbraucht. Angriffe dieser Art finden auf Schicht 3 (Netzwerkschicht) des OSI-Modells statt.
  • Protokollangriffe - diese Angriffsmethode sendet eine überwältigende Anzahl von Anfragen an einen kritischen Dienst, der auf den Zielnetzgeräten ausgeführt wird. Diese Angriffe erfolgen meist auf den Schichten 3 und 4 (Transportschicht) des OSI-Stacks. Beispiele für Protokoll-DDoS-Angriffsmethoden sind:
    • SYN-Flood-Angriff - nutzt das TCP-Handshake-Protokoll, um einen empfangenden Server so lange zu blockieren, bis die Zeit abgelaufen ist.
    • TCP-Reset-Angriff - gefälschte TCP-RESET-Befehle werden an den Server gesendet und veranlassen ihn, seine TCP-Verbindungen zu trennen.
    • ICMP-Angriff - eine gefälschte ICMP-Nachricht wird mit dem Zielserver als Rück-IP-Adresse gesendet. Wenn die Geräte antworten, überwältigen sie den angegriffenen Server.
    • UDP-Storm Attack - UDP erfordert kein Handshake wie TCP. Wenn ein Angreifer eine UDP-Anfrage für einen Dienst an einen zufälligen UDP-Port sendet, der nicht existiert, antwortet dieser mit einem nicht erreichbaren Ziel. Überfluten Sie den Server mit diesen gefälschten Anfragen und er wird mit der Beantwortung überfordert sein.
    • Reflektierter DNS-Angriff - verwendet gefälschte IP-Adressen in an DNS-Server gesendeten Anfragen, so dass die DNS-Server eine große Datenmenge an den angegriffenen Server zurücksenden. Die DNS-Antworten werden an den angegriffenen Server und nicht an den Initiator der Anfrage zurückgesendet.
    • Reflektierter NTP-Angriff - verwendet die gleiche Methode wie der reflektierte DNS-Angriff, nutzt aber Zeitserver, um die Zielserver zu überwältigen.
  • Angriffe auf Anwendungsebene - diese zielen auf Anwendungen und Dienste ab, die auf Schicht 7 (Anwendungsschicht) des OSI-Stacks ausgeführt werden. Diese Arten von Angriffen zielen auf die Funktionalität einer Website oder Anwendung ab. Beispiele:
    • GET-Flood-Angriff - die URLs für Anwendungen oder Dienste werden immer wieder angefordert. Dadurch wird verhindert, dass legitime Zugriffsanfragen verarbeitet werden. 
    • POST-Flood-Angriff - das Gegenteil eines GET-Flood-Angriffs. Anstelle von vielen Anfragen an den Server sendet ein POST-Flood-Angriff kontinuierlich Anfragen, um Daten auf den Server zu schreiben. Auch hier wird verhindert, dass legitime Anfragen verarbeitet werden. 
    • Niedrige und langsame Angriffe - Angriffe, die Zeit benötigen, um die Ressourcen, die auf der Anwendungsebene bereitgestellt werden, langsam zu verbrauchen. Im Laufe der Zeit schnappen sie sich die Zugangsschlitze und geben sie nicht frei. Schließlich stehen keine verbleibenden Ressourcen für eine legitime Nutzung zur Verfügung. Die langsame Natur dieser Angriffe ist so konzipiert, dass sie schwer zu erkennen sind. Slowloris ist ein Beispiel für diese Art von Angriff (obwohl es sich technisch gesehen nicht um einen DDoS-Angriff handelt, da er über einen langen Zeitraum von einer einzigen Quelle aus durchgeführt werden kann).
Die meisten DDoS-Angreifer verwenden eine Mischung aus allen verfügbaren Methoden. Bei einem gemeldeten Angriff auf eine große Bank im Jahr 2019 wurden sechs verschiedene Angriffsmethoden gleichzeitig verwendet. Es ist auch möglich, DDoS-Angriffe ohne technisches Wissen durchzuführen, da es Dienste gibt, um DDoS-Zeit und Bandbreite zu sehr niedrigen Kosten im Dark Web zu kaufen. DDoS as a Service ist heute leider Realität.

 

 

Was ist der Zweck eines DDoS-Angriffs?

Die Gründe, warum DDoS-Angriffe durchgeführt werden, lassen sich in einige Kategorien einteilen:
  • Finanziell - die Angreifer wollen einen finanziellen Gewinn erzielen. Entweder, indem man von jemandem bezahlt wird, um den Angriff durchzuführen (DDoS as a Service) oder indem man die Zielorganisation erpresst und ein Lösegeld verlangt, um den Angriff zu stoppen.
  • Ablenkung - Häufig dient ein DDoS-Angriff dazu, IT- und Sicherheitspersonal abzulenken, damit eine andere Art von Cyberangriff unter seinem Deckmantel durchgeführt werden kann. Zum Beispiel die Installation von Malware oder Phishing-Angriffe.
  • Ideologisch oder politisch - oft zielen DDoS-Angriffe auf Organisationen ab, mit denen die Angreifer aus ideologischen oder politischen Gründen nicht einverstanden sind. Dies wird oft mit anderen Formen des Hacktivismus in Verbindung gebracht.
  • Industriespionage - DDoS-Angriffe, um Wettbewerber zu stören. Dies kann so einfach sein, wie einen beliebten Webshop für eine Weile herunterzufahren, damit ein Konkurrent Umsatz erzielen kann.
  • Staatlich gefördert - Viele staatliche Akteure nutzen DDoS und andere Cyberangriffsmethoden, um die Regierung, die Infrastruktur und den Handel in Ländern ins Visier zu nehmen, mit denen sie Meinungsverschiedenheiten haben.

Schutz vor DDoS-Angriffen

Der Schutz vor DDoS-Angriffen und der Umgang mit ihnen, wenn sie auftreten, hängt von der Netzwerkinfrastruktur in einem Unternehmen ab. Ein gemeinsamer Rahmen umfasst die folgenden vier Schritte:
  1. Früherkennung - Es ist wichtig, über Systeme und Tools zu verfügen, die die mit einem DDoS-Angriff verbundenen abnormalen Aktivitäten so schnell wie möglich erkennen können.
  2. Umleitung - Jeder erkannte DDoS-Datenverkehr muss in ein Sinkhole umgeleitet werden, wo er abgeworfen werden kann. Dies sollte im Netzwerk transparent sein, ohne dass die Arbeit der legitimen Benutzer beeinträchtigt wird.
  3. Filterung - die Entfernung von DDoS-Datenverkehr an mehreren Punkten im Netzwerk, um zu verhindern, dass er die Zielserver erreicht und sie stört.
  4. Analyse - Überprüfung aller Daten über einen DDoS-Angriff und wie die Reaktion darauf umgegangen ist. Mit Updates für Systeme und Verfahren, um Lücken in der Abwehr zu schließen.

     

    Der Einsatz von Kemp LoadMaster als Load-Balancer und Anwendungsbereitstellungsfunktion in Ihrem Netzwerk bedeutet, dass Sie auch Zugang zu Funktionen haben, die DDoS-Angriffe abwehren können. Auf der Netzwerkebene kann LoadMaster dazu beitragen, viele der gängigen Arten von DDoS-Angriffen zu verhindern, darunter SYN Flood Attacken, TCP Reset Attacken, ICMP Attacken, UDP Storm Attacken und Reflected Request (DNS/NTP) Attacken. Angriffe auf der Anwendungsebene lassen sich nur schwer durch herkömmliche Edge-Sicherheitsgeräte wie Firewalls verhindern. Das liegt daran, dass Firewalls in der Regel keine Kenntnis über die in den Netzwerkpaketen enthaltene Nutzdatenmenge haben. LoadMaster ist in der Lage, Datenpakete auf der Anwendungsschicht zu inspizieren und eignet sich daher ideal für die Abwehr von Angriffen auf der Anwendungsschicht. Alle Datenpakete, die bösartige oder verdächtige Inhalte enthalten, können am LoadMaster verworfen werden und erreichen niemals die Applikationsserver, um diese zu stören. LoadMaster kann Anwendungen vor den wichtigsten Arten von Application Layer Attacken wie GET Floods, POST Floods und Slowloris Attacken schützen. Kemp 360 Vision kann auch zur frühzeitigen Erkennung von abnormalen Netzwerkaktivitäten aufgrund eines DDoS-Angriffs eingesetzt werden.

 

 

 

 

Wie können wir Ihnen helfen?

Haben Sie Fragen zur Anwendungsbereitstellung? Unsere Ingenieure unterstützen Sie jederzeit gerne.

Termin vereinbaren