DDoS-Attacke: Alles was Sie wissen müssen!
Die Menge und die Kraft vielversprechender Distributed-Denial-of-Service-Attacken nehmen von Jahr zu Jahr zu. Gleichzeitig verursachen selbige zusätzlich zu hohen Ausfallzeiten einen gesamtwirtschaftlichen Schadensfall in Milliardenhöhe. Vor diesem Beweggrund ist die Einführung geeigneter IT-Schutzmaßnahmen zur Verteidigung von Distributed-Denial-of-Service-Attacken heute wichtiger denn je. Erfahren Sie in den folgenden Kapiteln wie eine Distributed-Denial-of-Service-Attacke abläuft, warum sie nicht verkannt werden sollte und mit was für IT-Schutzmaßnahmen Sie sich und Ihr Unternehmen intelligent, flink und effektiv davor beschützen können.
Ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder aber Virtual und Augmented Reality: Digitale Technologien sind aus dem Businessalltag nicht mehr wegzudenken. Sie verändern bestehende Arbeitsformen, gestalten Wertschöpfungsprozesse und setzen ungeahnte Wachstumspotenziale frei. Mehr sogar: Der Gebrauch digitaler Technologien entscheidet inzwischen im wachsenden Maße über die Konkurrenzfähigkeit, die Robustheit und die Zukunft eines Betriebs.
Allerdings helfen digitale Technologien nicht nur Unternehmen zu Höhenflügen – auch Internetkriminelle profitieren von diesen unterschiedlichen Möglichkeiten immer fortschrittlicherer Angriffsmethoden.
In den letzten Jahren ist hier insbesondere die Entwicklung zu Distributed-Denial-of-Service-Attacken explodiert.
Bei der Distributed-Denial-of-Service-Attacke handelt es sich um eine spezielle Angriffsform, die sich vom konventionellen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke und anderweitige Netzwerkressourcen eines Betriebs mit einer immensen Menge gleichzeitiger Verbindungsanfragen oder fehlerhaften Paketen zu überfordern und auf diese Art zu verlangsamen oder sogar ganz lahmzulegen. Oftmals verwenden die Bedrohungsakteure dazu kompromittierte Rechner wie auch Endgeräte, welche sie per Fernsteuerung zu solch einem Botnetz zusammenschließen und anschließend auf ein Zielsystem und dessen Services orientieren. Dabei würde die Multiplikation der Angriffsquelle, also die Dimension des Botnetzes, die Wirksamkeit der Distributed-Denial-of-Service-Attacke verstärken und dazu beitragen die Identität der Bedrohungsakteure zu verbergen.
Wichtige Erkenntnisse und alarmierende Zahlen!
Distributed-Denial-of-Service-Attacken sind keine neue Bedrohung.
Vor knapp 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein Computer der University of Minnesota wurde plötzlich von 114 Computern angegriffen, welche mit einer Malware mit dem Namen Trin00 angesteckt waren.
Seitdem kennt die Dynamik der Distributed-Denial-of-Service-Attacken wesentlich nur die Richtung aufwärts, wie die folgenden Beispiele aus jüngster Zeit bestätigen:
Auf diese Weise wehrte Microsoft, gemäß seinem DDoS-Jahresbericht, in der Jahreshälfte von 2021 fast 360.000 DDoS-Angriffe gegen die Logistik ab. Darunter ein Angriff mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
Der IT-Sicherheitsdienst Cloudflare berichtet im Monat Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgewehrt zu haben, bei welcher Internetkriminelle über 17 Millionen Anfragen pro Sekunde versendeten.
Die Firma Netscout registrierte 2020 erstmals mehr als 10 Millionen Distributed-Denial-of-Service-Attacken pro Jahr. Im ersten halben Jahr von 2021 wurden daraufhin knapp 5,4 Millionen Distributed-Denial-of-Service-Attacken verzeichnet. Dies ist ein Zuwachs von 11 Prozent gegenüber des Vergleichszeitraums 2020.
Ferner beweist der DDoS-Report 2021 (siehe PDF) von Imperva, dass bei etwa 12 Prozent aller Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen involviert waren.
Arten von DDoS-Angriffen!
Prinzipiell können sich Distributed-Denial-of-Service-Attacken gegen alle der 7 Lagen innerhalb des OSI-Modells für Netzwerkverbindungen richten. Die 3 Schlüsselarten sind:
1. Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Form von Distributed-Denial-of-Service-Attacken. Bei jener Angriffsart wird die verfügbare Palette durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. So wird unterbunden, dass legitime Verbindungsanfragen eintreffen. Zu der Gruppe gehören beispielsweise UDP -Flood-Attacken.
o UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Eindringlinge eine gewaltige Masse von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um diese damit zu überfordern, solange bis sie nicht mehr reagieren.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken zielen hierauf ab, die Ressourcen sowie den Speicher des Zielsystems mit sinnfreien oder ungültigen Verbindungsanfragen zu überfordern und auszupowern. Am gängigsten sind in diesem Kontext so bezeichnete HTTP Flood-Attacken.
o HTTP-Flood-Attacken: Bei der einfachsten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmen Bedrohungsakteure den Webserver eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Sinn und Zweck muss dieser lediglich irgendwelche Internetseiten des Zielprojekts aufrufen, bis der Server unter der Belastung an Anforderungen zerbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken zielen auf Protokolle der Netzwerk- oder Transportschicht ab und nützen Schwachstellen in diesen Protokollen, um das Zielsystem mit unvollständigen oder fehlerhaften Verbindungsanfragen zu überfordern. Zu den gängigsten protokollbasierten Distributed-Denial-of-Service-Attacken gehören:
o die ICMP-Flood-Attacke: Bei einer ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überfluten die Bedrohungsakteure den Webserver mit zahllosen ICMP-Anfragen. Bei dem Angriff wird probiert, die Kompetenz des Servers, auf Anfragen zu antworten, zu behindern und dadurch valide Anfragen zu blockieren.
o die SYN-Flood-Attacke: Bei dem Angriffsmuster versuchen die Bedrohungsakteure durch das wiederholte Zusenden von Synchronisationspaketen, kurz SYN-Paketen, die ganzen verfügbaren Ports auf einem Zielservercomputer zu überlasten, so dass das Zielgerät nur langsam oder gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe funktionieren unter Ausnutzung des Handshake-Prozesses der TCP-Verbindung.
4. Multivektorangriffe: Bei Multivektorangriffen werden mehrere Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken kombiniert, um ein Zielsystem und dessen Dienste komplett zu überwältigen wie auch es zum Fall zu zwingen. Kombinierte Multivektorangriffe sind besonders schwierig abzuwehren und verlangen deshalb eine ausgeklügelte wie auch vielschichtige Abwehrstrategie.
Wie sieht der Distributed-Denial-of-Service-Schutz im Optimalfall aus?
Da Distributed-Denial-of-Service-Attacken äußerst anspruchsvoll sind, sollten Betriebe auf unterschiedlichen Arten IT-Abwehrmaßnahmen einbauen.
Erfolgreiche Ansätze enthalten meist folgende Aspekte:
o Identifizierung kritischer IP-Adressen und das Schließen bekannter Sicherheitslücken
o Web Application Firewalls: Im Gegensatz zu klassischen Firewalls inspizieren Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind damit in der Lage Attacken auf Anwendungsebene zu entdecken
o IP-Sperrlisten: IP-Sperrlisten gewähren es, kritische IP-Adressen zu erkennen und Datenpakete geradewegs zu löschen. Diese Sicherheitsmaßnahme lässt sich per Hand ausführen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.
o Filterung: Um auffällige Datenpakete herauszufiltern, ist es machbar, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren. Dabei ist aber zu beachten, dass Proxys mitunter dazu leiten, dass mehrere Clients mit derselben IP-Adresse beim Webserver angemeldet und daher möglicherweise unbegründet geblockt werden.
o SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt die Sicherheitsmaßnahme zum Einsatz, werden Daten über SYN-Pakete nicht mehr ausschließlich auf dem Webserver gesichert, sondern in Form von Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen so zwar Rechenkapazität, strapazieren jedoch nicht den Speicher des Zielsystems.
o Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überanstrengung ist eine Lastenverteilung auf mehrere Systeme, wie diese durch Load-Balancing ermöglicht wird. Dabei wird die Hardware-Auslastung bereitgestellter Dienste auf unterschiedliche physische Geräte verteilt. So lassen sich Distributed-Denial-of-Service-Attacken bis zu einem gewissen Umfang auffangen.
Überlassen Sie bei der Abwehr von Distributed-Denial-of-Service-Attacken nichts dem Zufall!
Distributed-Denial-of-Service-Attacken wachsen und werden in Zukunft noch großvolumiger und komplexer ausfallen.
Um erhebliche Betriebsunterbrechungsschäden sowie mitunter unkalkulierbaren Reputationsverlust zu vermeiden, ist es allerhöchste Zeit, dass Unternehmen eine erhöhte Sensibilität gegenüber Distributed-Denial-of-Service-Attacken entwickeln und umfassende IT-Schutzmaßnahmen zur Vorbeugung und Mitigation implementieren.
Mit dem Ziel, die Unternehmen bei der Suche und Selektion zu unterstützen hat das Bundesamt für Sicherheit in der Informationstechnik, knapp BSI, eine Hilfestellung zur Kennung qualifizierter Überwachungsunternehmen für die Abwehr von Distributed Denial-of-Service-Attacken publiziert.
Möchten auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten und Dienste mit leistungsfähigen DDoS-Sicherheitslösungen schützen? Sind sie auf der Suche nach einem geeigneten Sicherheitsdienstleister oder haben weitere Anliegen zu Distributed Denial-of-Service-Attacken? Kontaktieren Sie uns gerne!
Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de