Umgang mit DDoS? Sieben häufige DDoS-Angriffs-Tools


Was sind DDoS- und DoS-Angriffe?

DoS-Angriffe (Denial-of-Service) und DDoS-Angriffe (Distributed Denial-of-Service) sind schädliche Versuche zur Störung von Online-Diensten durch die massive Überflutung mit Datenverkehr aus mehreren Quellen.

Was sind DDoS- und DoS-Angriffs-Tools?

Zu den häufigsten DDoS-Angriffs-Tools zählen Tools für IP-Spoofing, Ping of Death, ICMP, UDP-Floods und DNS-Floods, Amplifikationsangriffe, TCP-SYN-Floods, HTTP-Floods, Reflexionsangriffe, volumetrische Angriffe und verbindungsbasierte Angriffe.

DDoS-Angriffs-Tools werden von Angreifern zur Ausnutzung anfälliger Netzwerke, Systeme und Applikationen in der Regel aus finanziellen Gründen oder aus politischer Motivation eingesetzt. Sie reichen von einfachen Skripten, die auf einen einzelnen Server abzielen, bis hin zu ausgeklügelten Bots und Botnets. DDoS-Angriffs-Tools sind so konzipiert, dass sie die Systeme der Opfer mit enormen Datenmengen aus verschiedenen Quellen überfluten.

Amplifikationsangriffe sind eine der häufigsten Arten von DDoS-Angriffen und nutzen anfällige Netzwerkprotokolle zur Verstärkung des Datenverkehrs, der an einen Zieldienst oder ein Zielgerät gesendet wird. Bei einem Amplifikationsangriff sendet der Angreifer eine kleine Anfrage.

Angriffs-Tools auf Applikationsebene ​​​​​​(L7)

Angriffe auf die Applikationsebene (Ebene 7) sind eine Art von DDoS-Angriffen, die auf Applikationen und Dienste abzielen, die die Ebene 7 des OSI-Modells (Open Systems Interconnection) bilden. Diese Angriffe nutzen Dienste wie HTTP, FTP und SMTP ohne Firewall-Schutz zur Überflutung einer Applikation mit schädlichen Requests oder Daten.

Tools für Low-and-Slow-Angriffe überfluten das Ziel nicht mit einer enormen Menge an Datenverkehr auf einmal, sondern verwenden eine viel geringere und langsamere Menge an Datenverkehr über einen längeren Zeitraum. Diese Art von Angriffen nutzt weniger Bandbreite zur Umgehung von Erkennungsmethoden wie Firewall-Regeln, Ratenbegrenzungen und anderen Sicherheitsmaßnahmen.

Slowloris ist eine Art DDoS-Angriffs-Tool, bei dem ein Server mit unvollständigen HTTP-Requests überflutet wird. Die Angriffe zielen darauf ab, die begrenzte Anzahl an Verbindungen, die Webserver unterstützen können, und die Dauer, die der Server zum Schließen der Verbindungen benötigt, auszunutzen. Bei einem Slowloris-Angriff senden schädliche Angreifer zahlreiche Teil-Requests an den Zielserver und verhindern so, dass berechtigte Benutzer auf ihn zugreifen können.

R.U.D.Y (R-U-Dead-Yet?) ist ein weiteres Angriffs-Tool auf der Applikationsebene, bei dem viele kleine Pakete mit einer langsamen Geschwindigkeit gesendet werden, wobei der HTTP-Header „Content-Length“ auf eine große Zahl eingestellt ist, um das Schließen der Verbindung durch den Web- oder Applikationsserver zu verhindern.

Angriffs-Tools auf Protokoll- und Transportebene (L3/L4)

Angreifer nutzen dabei UDP-Floods zur Überlastung der angegriffenen Webserver und Hostports. Der empfangende Host prüft unerreichbare Applikationen und Ports (die vom Angreifer absichtlich gesendet wurden), die mit diesen Datagrammen verbunden sind, und antwortet mit einem „Destination Unreachable“-Antwortpaket. Die Angreifer können auch die antwortende IP-Adresse manipulieren, sodass diese ebenfalls unerreichbar ist. Da immer mehr solcher Pakete empfangen werden, reagiert der Host nicht mehr auf andere Client-Requests.

Häufige DDoS-Angriffs-Tools

Viele DDoS-Angriffs-Tools wie HTTP Unbearable Load King (HULK), Slowloris, PyLoris, DAVOSET, GodenEye, Open Web Application Security Project (OWASP) HTTP Post, Low Orbit ION Cannon (LOIC), High Orbit ION Cannon (HOIC), Xoic, Tor's Hammer, DDoSSIM (DDoS Simulator) und RUDY (R-U-Dead-Yet) sind frei verfügbar.

Abmilderung von DDoS-Angriffsgefahren

Klassische Sicherheitsmaßnahmen wie Firewalls mit ACLs und auf statischen Signaturen basierende Schutzmechanismen reichen nicht zum Schutz vor komplexen DDoS-Angriffen aus. Viele dieser Angriffe zielen auf Applikationen und Dienste der Applikationsebene (Ebene 4-7) des OSI-Modells ab und nutzen Dienste wie HTTP, FTP und SMTP ohne Firewall-Schutz.

Angriffe, die Ressourcen von zustandsorientierten Geräten verbrauchen, die Informationen und den Status jeder Client-Verbindung aufrechterhalten müssen, erfordern Lösungen zur Minimierung der zugewiesenen Ressourcen kurz vor Abschluss des Drei-Wege-Handschlags.

Einer der wichtigsten Schritte zur Abmilderung von DDoS-Angriffen besteht darin, die regelmäßige Aktualisierung und Anpassung aller Netzwerke und Systeme mit den neuesten Sicherheitsupdates zu gewährleisten.

Zu den bewährten Methoden für Sicherheitsnetzwerke und -applikationen gehören das häufige Ändern von Passwörtern, regelmäßiges Scannen nach Schwachstellen und das Schließen von gefundenen Schwachstellen, der Einsatz von Anti-Malware, DDoS-Schutzlösungen und -diensten sowie der Einsatz von Web Application Firewalls (WAFs) mit aktuellen Zugriffskontrolllisten.

Tools mit Echtzeit-Überwachungsfunktionen zur Erkennung schädlicher Requests oder Daten, bevor diese Ihre Applikation oder Ihren Dienst erreichen, sind wünschenswert, damit Sie schnell Maßnahmen zur Minimierung möglicher Schäden ergreifen können.

Die Radware-Lösungen für den DDoS-Schutz (DefensePro, Cloud DDoS-Schutzdienst) und die Applikationsbereitstellung (Alteon) mildern DDoS-Angriffe auf Netzwerke und Applikationen durch Ansätze ab, die Angriffe blockieren, ohne den legitimen Datenverkehr zu beeinträchtigen. Durch den Einsatz von maschinellem Lernen und verhaltensbasierten Algorithmen erkennt Radware ein berechtigtes Verhaltensprofil und kann so schädliche Angriffe automatisch blockieren. Auf diese Weise wird die Genauigkeit des Schutzes erhöht und die Zahl der Fehlalarme minimiert.

Radware-Vertrieb kontaktieren

Unsere Experten beantworten all Ihre Fragen, bewerten Ihre Anforderungen und helfen Ihnen dabei, ein Verständnis aufzubauen, welche Produkte am besten für Ihr Unternehmen geeignet sind.

Sind Sie bereits ein Kunde?

Sie benötigen Unterstützung, zusätzliche Services oder suchen Antworten auf Ihre Fragen zu unseren Produkten und Lösungen? Wir stehen Ihnen zur Verfügung.

Standorte
Antworten in unserer Wissensdatenbank finden
Kostenlose Online-Produktschulung erhalten
Radwares technischen Support kontaktieren
Mitglied im Radware-Kundenprogramm werden

Soziale Medien

Setzen Sie sich mit Experten in Verbindung und nehmen Sie an Gesprächen zu Radware-Technologien teil.

Blog
Sicherheits­forschungszentrum
CyberPedia