What is a DDoS Attack? | A Radware Minute
Ein verteilter Dienstverweigerungsangriff (Distributed Denial-of-Service, DDoS) liegt vor, wenn mehrere Rechner gemeinsam ein Ziel angreifen, um den normalen Datenverkehr eines Servers, eines Dienstes oder eines Netzwerks zu stören. Dabei überlasten sie das Ziel oder die umliegende Infrastruktur mit einer Flut von Internet-Datenverkehr.
Mit DDoS können exponentiell mehr Anfragen an das Ziel gesendet werden, wodurch die Angriffskraft erhöht wird. Außerdem wird die Zuordnung erschwert, da die wahre Quelle des Angriffs schwerer zu ermitteln ist.
DDoS-Angriffe können für ein Online-Unternehmen verheerende Folgen haben. Deshalb ist es wichtig zu verstehen, wie sie funktionieren und wie man sie möglichst schnell abwehren kann.
Die Beweggründe für die Durchführung eines DDoS-Angriffs sind sehr unterschiedlich, ebenso wie die Art der Personen und Organisationen, die DDoS-Angriffe ausführen. Einige Angriffe werden von verärgerten Einzelpersonen und Hacktivisten durchgeführt, die die Server eines Unternehmens zum Absturz bringen wollen. Gründe dafür können sein, ein Zeichen setzen zu wollen, eine Schwachstelle nur zur Unterhaltung auszunutzen oder ihre Missbilligung auszudrücken.
Andere Distributed Denial-of-Service-Angriffe sind finanziell motiviert, z. B. wenn ein Konkurrent den Online-Betrieb eines anderen Unternehmens stört oder lahmlegt, um in der Zwischenzeit Geschäfte abzuschöpfen. In wieder anderen Fällen handelt es sich um Erpressung, bei der die Täter ein Unternehmen angreifen und Ransomware auf dessen Servern installieren, um es dann zur Zahlung einer hohen Geldsumme zu zwingen, um den Schaden wieder rückgängig zu machen.
Ein DDoS-Angriff zielt darauf ab, die Geräte, Dienste und das Netzwerk des anvisierten Ziels mit künstlichem Internetverkehr zu überschwemmen und diese für legitime Benutzer unzugänglich oder nutzlos zu machen.
Während bei einem einfachen Denial-of-Service-Angriff ein „Angriffs“-Computer und ein Opfer beteiligt sind, beruht ein DDoS auf einer Armee von infizierten oder „Bot“-Computern, die Aufgaben gleichzeitig ausführen können. Diese Botnets – eine Gruppe von gekaperten, mit dem Internet verbundenen Geräten – sind in der Lage, groß angelegte Angriffe auszuführen. Angreifer nutzen Sicherheitslücken oder Geräteschwächen aus, um zahlreiche Geräte mit Hilfe von Command-and-Control-Software zu kontrollieren. Sobald ein Angreifer die Kontrolle hat, kann er sein Botnet anweisen, DDoS-Attacken auf ein Ziel durchzuführen. In diesem Fall sind auch die infizierten Geräte Opfer des Angriffs.
Botnets, die aus kompromittierten Geräten bestehen, können auch an andere potenzielle Angreifer vermietet werden. Oft wird das Botnetz „Attack-for-hire“-Diensten zur Verfügung gestellt, die auch unerfahrenen Benutzern die Durchführung von DDoS-Angriffen ermöglichen.
Bei einem DDoS-Angriff nutzen Cyberkriminelle das normale Verhalten zwischen Netzwerkgeräten und Servern aus und zielen dabei häufig auf die Netzwerkgeräte ab, die eine Verbindung zum Internet herstellen. Daher konzentrieren sich die Angreifer eher auf die Edge-Netzwerkgeräte (z. B. Router, Switches) als auf einzelne Server. Ein DDoS-Angriff überlastet die Netzwerkleitung (die Bandbreite) oder die Geräte, die diese Bandbreite bereitstellen.
Der beste Weg zur Erkennung und Identifizierung eines DDoS-Angriffs ist die Überwachung und Analyse des Netzwerkverkehrs. Netzwerkverkehr kann über eine Firewall oder ein Intrusion-Detection-System überwacht werden. Ein Administrator kann sogar Regeln einrichten, die bei Erkennung eines ungewöhnlichen Datenverkehrsaufkommens einen Alarm auslösen und die Quelle des Datenverkehrs identifizieren oder Netzwerkpakete ablehnen, die bestimmte Kriterien erfüllen.
Die Symptome eines DoS-Angriffs können nicht-böswilligen Verfügbarkeitsproblemen ähneln, z. B. technischen Problemen mit einem bestimmten Netzwerk oder Wartungsarbeiten durch einen Systemadministrator. Die folgenden Symptome könnten jedoch auf einen DoS- oder DDoS-Angriff hinweisen:
- Ungewöhnlich langsame Netzwerkleistung
- Nichtverfügbarkeit eines bestimmten Netzdienstes und/oder einer Website
- Die Unfähigkeit, auf eine Website zuzugreifen
- Eine IP-Adresse stellt in einer begrenzten Zeitspanne ungewöhnlich viele Anfragen
- Server antwortet mit einem 503-Fehler aufgrund eines Dienstausfalls
- Die Log-Analyse zeigt eine starke Zunahme des Netzwerkverkehrs
- Abweichende Verkehrsmuster wie hohe Auslastung zu ungewöhnlichen Tageszeiten oder abweichend erscheinende Muster
Haupttypen von DDoS-Angriffen
DDoS-Angriffe und Angriffe auf Netzwerkebene sind ebenso vielfältig wie ausgeklügelt. Durch das wachsende Angebot an Online-Marktplätzen können Angreifer nun DDoS-Angriffe mit wenig bis gar keinen Kenntnissen über Netzwerke und Cyberangriffe durchführen. Angriffstools und -dienste sind leicht zugänglich, so dass die Zahl der möglichen Angriffe größer ist als je zuvor.
Hier sind vier der häufigsten und raffiniertesten DDoS-Angriffe, die derzeit auf Organisationen abzielen.
Applikation, Layer-7-DDoS-Angriffe
Applikations-DoS-Angriffe zielen auf die Erschöpfung von Ressourcen ab, indem sie das bekannte Hypertext Transfer Protocol (HTTP) sowie HTTPS, SMTP, FTP, VOIP und andere Anwendungsprotokolle nutzen, die ausnutzbare Schwachstellen aufweisen und DoS-Angriffe ermöglichen. Ähnlich wie bei Angriffen auf Netzwerkressourcen gibt es auch bei Angriffen auf Applikationsressourcen verschiedene Arten von Angriffen, darunter Floods und „Low and Slow“-Angriffe.
Volumetrische oder volumenbasierte Angriffe
Volumetrische Angriffe und Reflexions-/Verstärkungsangriffe nutzen ein Anfrage- und Antwort-Gefälle in bestimmten technischen Protokollen aus. Die Angreifer senden Pakete an die Reflektor-Server mit einer Quell-IP-Adresse, die mit der IP-Adresse ihres Opfers gefälscht ist, und überschwemmen so indirekt das Opfer mit den Antwortpaketen. Bei hohen Raten haben diese Reaktionen einige der bisher größten volumetrischen DDoS-Angriffe ausgelöst. Ein häufiges Beispiel ist ein reflektierender DNS-Amplifikationsangriff
SSL/TLS- und verschlüsselte Angriffe
Angreifer verwenden SSL/TLS-Protokolle, um den Angriffsverkehr sowohl auf Netzwerk- als auch auf Applikationsebene zu maskieren und weiter zu verkomplizieren. Viele Sicherheitslösungen verwenden eine passive Engine für den Schutz vor SSL/TLS-Angriffen, d. h. sie können verschlüsselten Angriffsverkehr nicht wirksam von verschlüsseltem rechtmäßigem Verkehr unterscheiden und beschränken lediglich die Anfragerate.
Um Angriffe wie diese zu stoppen, ist eine DDoS-Abwehr erforderlich, die automatisierte, auf Machine Learning basierende Erkennungs- und Abwehrfunktionen mit einem umfassenden Schutz für jede Infrastruktur kombiniert: vor Ort, in der Private Cloud und der Public Cloud.
Web-DDoS-Tsunami-Angriff
Web-DDoS-Tsunami-Angriffe kombinieren Angriffsvektoren auf der Applikationsebene und nutzen neue Tools, um ausgeklügelte Angriffe zu erstellen, die mit herkömmlichen Methoden schwerer – und manchmal unmöglich – zu erkennen und zu entschärfen sind.
Zur Vermeidung von DDoS-Angriffen sollten Organisationen mehrere wichtige Funktionen berücksichtigen, um DDoS-Angriffe zu entschärfen, die Dienstverfügbarkeit sicherzustellen und Fehlalarme zu minimieren. Der Einsatz verhaltensbasierter Technologien, das Verständnis der Vor- und Nachteile verschiedener DDoS-Einsatzoptionen und die Fähigkeit, eine Reihe von DDoS-Angriffsvektoren zu entschärfen, sind für die Verhinderung von DDoS-Angriffen unerlässlich.
Die folgenden Fähigkeiten sind entscheidend für die Verhinderung von DDoS-Angriffen:
Automatisierung
Angesichts der heutigen dynamischen und automatisierten DDoS-Angriffe wollen sich Organisationen nicht auf einen manuellen Schutz verlassen. Ein Service, der während eines vollständig automatisierten Angriffslebenszyklus kein Eingreifen des Kunden erfordert – Datensammlung, Angriffserkennung, Umleitung des Datenverkehrs und Milderung des Angriffs – gewährleistet eine bessere Schutzqualität.
Verhaltensbasierter Schutz
Eine DDoS-Abwehrlösung, die Angriffe ohne Beeinträchtigung des legitimen Datenverkehrs blockiert, ist dabei der Schlüssel. Lösungen, die Machine Learning und verhaltensbasierte Algorithmen nutzen, um legitimes Verhalten zu verstehen und bösartige Angriffe automatisch zu blockieren, sind unabdingbar. Dies erhöht die Schutzgenauigkeit und minimiert Fehlalarme.
Scrubbing-Kapazität und globales Netzwerk
DDoS-Angriffe nehmen an Zahl, Schwere, Komplexität und Hartnäckigkeit zu. Bei umfangreichen oder gleichzeitigen Angriffen sollten Cloud-DDoS-Dienste ein robustes, globales Sicherheitsnetzwerk bereitstellen, das mit einer Mitigationskapazität von mehreren Tbps skalierbar ist und über spezielle Scrubbing-Zentren verfügt, die sauberen Datenverkehr vom Datenverkehr der DDoS-Angriffe trennen.
Mehrere Bereitstellungsoptionen
Die Flexibilität der Bereitstellungsmodelle ist von entscheidender Bedeutung, damit eine Organisation ihren DDoS-Abwehrdienst an ihre Bedürfnisse, ihr Budget, ihre Netzwerktopologie und ihr Bedrohungsprofil anpassen kann. Das geeignete Bereitstellungsmodell – Hybrid-, On-Demand- oder Always-On-Cloudschutz – hängt von der Netzwerktopologie, den Hosting-Umgebungen der Applikationen und der Empfindlichkeit gegenüber Verzögerungen und Latenzzeiten ab.
Umfassender Schutz vor einer Reihe von Angriffsvektoren
Die Bedrohungslandschaft entwickelt sich ständig weiter. Daher wird eine Lösung zur DDoS-Abwehr benötigt, die möglichst umfassenden Schutz nicht nur vor Angriffen auf Netzwerkebene, sondern auch vor den zuvor genannten Angriffsvektoren bietet.
Es gibt mehrere wichtige Schritte und Maßnahmen, die eine Organisation zur Milderung eines DDoS-Angriffs ergreifen kann. Dazu gehören die rechtzeitige Kommunikation mit internen Stakeholdern wie mit Drittanbietern, die Angriffsanalyse, die Aktivierung grundlegender Gegenmaßnahmen (z. B. Ratenbegrenzung) und fortgeschrittenerer DDoS-Schutzmaßnahmen sowie die Analyse.
Hier sind fünf Schritte, um einen DDoS-Angriff zu entschärfen.
Schritt 1: Wichtige Stakeholder benachrichtigen
Informieren Sie die wichtigsten Stakeholder innerhalb der Organisation über den Angriff und die Maßnahmen, die zur Milderung des Angriffs ergriffen werden.
Beispiele für wichtige Stakeholder sind der CISO, das Security Operations Center (SoC), der IT-Direktor, die Betriebsleiter, die Geschäftsleiter der betroffenen Dienste usw. Halten Sie die Warnung kurz, aber informativ.
Als Schlüsselinformationen sollte folgendes angegeben werden:
- Was passiert
- Wann der Angriff anfing
- Welche Ressourcen (Anwendungen, Dienste, Server usw.) betroffen sind
- Auswirkungen auf Nutzer und Kunden
- Welche Schritte unternommen werden, um den Angriff zu mildern
Schritt 2: Benachrichtigen Sie Ihren Sicherheitsanbieter
Sie sollten auch Ihren Sicherheitsdienstleister benachrichtigen und Schritte auf dessen Seite einleiten, um den Angriff zu mildern.
Ihre Service Provider wären beispielsweise Ihr Internetdienstanbieter (ISP), Webhosting-Anbieter oder ein spezieller Sicherheitsdienstleister. Jeder Anbieter hat unterschiedliche Fähigkeiten und einen anderen Leistungsumfang. Ihr ISP kann Ihnen dabei helfen, die Menge des bösartigen Netzwerkverkehrs zu minimieren, der Ihr Netzwerk erreicht. Ihr Webhosting-Anbieter kann Sie dabei unterstützen, die Auswirkungen auf Applikationen zu minimieren und Ihren Dienst entsprechend zu skalieren. Ebenso verfügen Sicherheitsdienstleister in der Regel über spezielle Tools für den Umgang mit DDoS-Angriffen.
Selbst wenn Sie noch keine vordefinierte Dienstleistungsvereinbarung oder das DDoS-Schutzangebot nicht abonniert haben, sollten Sie dennoch mit Ihren Dienstleistern in Kontakt treten und sich darüber informieren, wie diese vielleicht helfen können.
Schritt 3: Aktivieren von Gegenmaßnahmen
Wenn Sie bereits über DDoS-Gegenmaßnahmen verfügen, aktivieren Sie diese. Im Idealfall werden diese Gegenmaßnahmen sofort eingeleitet, wenn ein Angriff entdeckt wird. In einigen Fällen kann es jedoch erforderlich sein, dass der Kunde bestimmte Tools – wie Out-of-Path-Hardwaregeräte oder manuell zu aktivierende Entschärfungsdienste auf Abruf – manuell initiieren muss.
Ein Ansatz besteht darin, IP-basierte Zugangskontrolllisten (aCls) zu implementieren, um den gesamten Verkehr aus Angriffsquellen zu blockieren. Dies geschieht auf der Netzwerkrouterebene und kann in der Regel entweder von Ihrem Netzwerkteam oder Ihrem ISP durchgeführt werden. Dies ist ein nützlicher Ansatz, falls der Angriff von einer einzigen Quelle oder einer kleinen Anzahl von Angriffsquellen ausgeht. Wenn der Angriff jedoch von einem großen Pool von IP-Adressen ausgeht, hilft dieser Ansatz möglicherweise nicht.
Wenn das Ziel des Angriffs eine Applikation oder ein webbasierter Dienst ist, können Sie die Anzahl der gleichzeitigen Applikationsverbindungen begrenzen. Dieser Ansatz ist als Ratenbegrenzung bekannt und wird häufig von Webhosting-Anbietern und CDN bevorzugt. Beachten Sie, dass bei diesem Ansatz ein hohes Risiko für falsche Positive besteht, da er nicht zwischen bösartigem und berechtigtem Benutzerdatenverkehr unterscheiden kann.
Dedizierte DDoS-Schutz-Tools bieten Ihnen den umfassendsten Schutz vor DDoS-Angriffen. DDoS-Schutzmaßnahmen können entweder als Gerät in Ihrem Rechenzentrum, als cloudbasierter Scrubbing-Service oder als hybride Lösung eingesetzt werden, die ein Hardwaregerät und einen Cloud-Service kombiniert.
Schritt 4: Überwachen des Angriffsverlaufs
Beobachten Sie während des Angriffs den Angriffsverlauf und verfolgen Sie die Entwicklung. Dies sollte beinhalten:
- Welche Art von DDoS-Angriff ist es? Ist es eine Flood auf Netzwerkebene oder ein Angriff auf Applikationsebene?
- Was sind die Angriffsmerkmale? Wie groß ist der Angriff, sowohl in Bits pro Sekunde als auch in Paketen pro Sekunde?
- Kommt der Angriff von einer einzigen IP-Quelle oder von mehreren Quellen? Können Sie sie identifizieren?
- Wie sieht das Angriffsmuster aus? Ist es eine einzige anhaltende Flood oder ein Burst-Angriff? Betrifft es ein einziges Protokoll oder beinhaltet es mehrere Angriffsvektoren?
- Bleiben die Angriffsziele dieselben oder ändern die Angreifer ihre Ziele im Laufe der Zeit?
Die Verfolgung des Angriffsverlaufs hilft Ihnen auch, Ihre Abwehrmaßnahmen darauf abzustimmen.
Schritt 5: Bewertung der Verteidigungsleistung
Bewerten Sie schließlich die Wirksamkeit der Gegenmaßnahmen, während sich der Angriff weiterentwickelt und diese aktiviert werden.
Ihr Sicherheitsanbieter sollte ein Service-Level-Agreement bereitgestellt haben, in dem er seine Serviceverpflichtungen festlegt. Stellen Sie sicher, dass er seine SLA einhält und ob es Auswirkungen auf Ihren Betrieb gibt. Sollte dies nicht der Fall sein oder kann der Anbieter den Angriff nicht stoppen, sollten Sie jetzt prüfen, ob Sie Ihren Service notfallmäßig ändern müssen.