Sie können sich vor Identitätsdiebstahl schützen, indem Sie Ihre Sozialversicherungsnummer und andere sensible Dokumente schützen, Ihre Kreditauskünfte regelmäßig überprüfen, ein Darknet-Überwachungstool verwenden und ni...
Ein Distributed-Denial-of-Service (DDoS)-Angriff ist ein Versuch, den normalen Datenverkehr eines Zielservers zu stören. Dies geschieht, indem Server, Dienste oder Netzwerke, die ins Visier genommen werden, mit einer Flut von Internetverkehr überschwemmt werden, was letztendlich dazu führt, den betroffenen Server zu verlangsamen oder ganz abstürzen zu lassen. Das ähnelt einem Verkehrsstau, der alle Autos dazu bringt, langsamer zu fahren oder ganz anzuhalten. Anstatt Fahrzeuge zu bremsen oder zu stoppen, verlangsamt oder stoppt ein DDoS-Angriff den Internetverkehr, wodurch eine Website oder Anwendung langsam läuft oder ganz abstürzt.
Wie funktionieren DDoS-Angriffe?
Netzwerkressourcen können nur eine begrenzte Anzahl von Anfragen verarbeiten. Außerdem haben Server eine begrenzte Bandbreite. Das bedeutet, dass die Dienstqualität sinkt, sobald das Verkehrsvolumen die Kapazitätsgrenze überschreitet.
In der Regel besteht das eigentliche Ziel von Angreifern darin, den normalen Betrieb der Web-Quelle komplett zu behindern. Darüber hinaus können Angreifer auch Geld verlangen, um ihren Angriff zu beenden. Zudem könnte der Angriff auch der Versuch sein, den Ruf des Unternehmens zu schädigen.
DDoS-Angriffe werden über Netzwerke von Geräten, sogenannte Bots, die mit dem Internet verbunden sind, ausgeführt. Solche Netzwerke bestehen aus Computern und anderen Geräten (wie IoT-Geräten), die mit Malware infiziert sind. Eine Sammlung von Bots wird als Botnet bezeichnet. Wenn Angreifer ein Botnet einrichten, können sie einen Angriff steuern, indem sie jedem Bot ferngesteuert Befehle geben.
Wenn ein Server oder Netzwerk von einem Botnet angegriffen wird, sendet jeder Bot Abfragen an die IP-Adresse. Das führt dazu, dass der Server oder das Netzwerk überlastet werden, was einem DDoS-Angriff auf regulären Datenverkehr entspricht. Da jeder Bot ein legitimes Internetgerät ist, kann es schwierig sein, Angriffsverkehr von normalem Datenverkehr zu unterscheiden.
Arten von DDoS-Angriffen
Die meisten DDoS-Angriffe umfassen zwar das Überlasten eines Zielgeräts oder Netzwerks mit Datenverkehr, doch gibt es drei Hauptarten von Angriffen – jeweils mit verschiedenen Untertypen.
1. Volumenbasierte (volumetrische) Angriffe
Bei einem volumetrischen Angriff wird versucht, die Bandbreite eines Netzwerks zu überlasten, indem viel Datenverkehr oder Anfragen an das Ziel gesendet werden. Solche Angriffe zielen darauf ab, das Ziel zu überlasten, um dessen Dienste zu verlangsamen oder ganz zu stoppen. Die Größe einer Anfrage beträgt in der Regel Hunderte von Gigabit pro Sekunde (Gbit/s). In letzter Zeit wurde bei neueren Angriffen über ein Terabyte pro Sekunde (Tbit/s) erreicht.
Volumetrische Angriffe sind verbreitet, da die technische Barriere zur Generierung übermäßiger Volumen an Anfragen gering ist. Meistens verwenden Angreifer einfache Verstärkungstaktiken. Dabei stammt der Datenverkehr aus einer Vielzahl von Quellen, wie IP-Adressen oder Netzwerken, was eine manuelle Abwehr von volumetrischen Angriffen schwierig macht.
DNS-Verstärkung
DNS-Verstärkung ist eine Unterart von volumetrischen Angriffen. Bei dieser Art von volumetrischem Angriff nutzen Angreifer die Funktionalität von offenen DNS-Servern. Sobald Angreifer dort eingedrungen sind, überlasten sie den oder die Zielserver mit einer übermäßigen Menge an Datenverkehr, was dazu führt, dass der Server und die umgebende Infrastruktur unerreichbar werden.
UDP-Flooding
UDP-Flooding ist eine weitere Unterart von volumetrischen Angriffen. Bei einem solchen Angriff senden Angreifer eine immense Menge an User Datagram Protocol (UDP)-Paketen an den Zielserver, um die Fähigkeit des Geräts zur Verarbeitung von Anfragen und Reaktionen zu überfordern. Das kann dazu führen, dass die Firewall, die den Zielserver schützt, an ihre Grenzen gerät, was zu einem Denial-of-Service bei legitimem Datenverkehr führt.
2. Protokollangriffe
Bei einem Protokollangriff werden bösartige Verbindungsanfragen verwendet, die Protokollinteraktionen nutzen, um die Kapazität verschiedener Ressourcen in der Netzwerkinfrastruktur herauszufordern und zu überlasten, einschließlich Servern und Firewalls.
SYN-Flooding
SYN-Flooding ist eine Unterart von Protokollangriffen, die darauf abzielen, die Serverressourcen vollständig zu erschöpfen, damit sie für legitimen Datenverkehr nicht mehr verfügbar sind. Angreifer können alle offenen Ports eines Servers überlasten, indem sie wiederholt SYN-Pakete zur anfänglichen Verbindungsanfrage senden. Die Folge: Das Zielgerät reagiert langsam oder überhaupt nicht mehr auf legitimen Datenverkehr.
Ping of Death
Eine weitere Unterart von Protokollangriffen wird „Ping of Death“ genannt. Bei einem solchen Angriff senden Angreifer über eine einfache Ping-Anfrage ein großes Paket mit bösartigen Daten an den Zielserver. Was sie versenden, ist deutlich größer als das, was der Server verarbeiten kann. Das führt dazu, dass der Server abstürzt, instabil wird oder einfriert.
3. Angriffe auf Anwendungsebene
Das Ziel von Angriffen auf Anwendungsebene besteht darin, die Ressourcen des Ziels zu erschöpfen, um einen Denial-of-Service zu erreichen. Der Fokus solcher Angriffe liegt auf der Ebene, auf der auf dem Server Webseiten erstellt werden. Die Kosten für die Verarbeitung einer einzelnen HTTP-Anfrage sind auf der Clientseite gering; die Kosten für die Reaktion auf dem Zielserver können jedoch hoch sein. Das liegt daran, dass der Server wiederholt verschiedene Dateien und Datenbankabfragen laden muss, um die Webseite zu generieren. Angriffe auf Anwendungsebene sind schwierig abzuwehren, da es nicht einfach ist, zwischen bösartigem und legitimen Datenverkehr zu unterscheiden.
HTTP-Flooding
Ein HTTP-Flooding-Angriff ist eine Unterart von Angriffen auf Anwendungsebene, die darauf abzielt, einen Zielserver mit HTTP-Anfragen zu überlasten. Zu Denial-of-Service kommt es, wenn das Ziel mit Anfragen gesättigt wurde und nicht mehr in der Lage ist, auf legitimen Datenverkehr zu reagieren.
Low-and-Slow-Angriffe
Low-and-Slow-Angriffe werden auch als Slow-Rate-Angriffe bezeichnet. Sie stellen eine weitere Unterart von Angriffen auf Anwendungsebene dar. Dabei handelt es sich um einen hinterhältigen Angriff auf den Zielserver, der scheinbar legitimen Datenverkehr mit extrem langsamer Geschwindigkeit sendet. Das macht es schwierig, ihn von normalem Datenverkehr zu unterscheiden. Die Folge davon ist, dass solche Angriffe häufig über lange Zeiträume unentdeckt bleiben.
DDoS-Angriffe erkennen
Obwohl Cyberkriminelle ihren Opfer manchmal drohen, bevor sie einen DDoS-Angriff starten, treten sie in der Regel ohne Warnung auf. Zudem können mehrere Stunden verstreichen, bevor Sicherheitspersonal einen DDoS-Angriff erkennt und zur Abwehr übergeht. So kann es zu Stunden mit trägem Datenverkehr oder einer abgestürzten Website bzw. Anwendung kommen, was Website-Aufrufe und Umsätze erheblich beeinträchtigen kann.
Hier sind einige Anzeichen dafür, dass ein DDoS-Angriff im Gange sein könnte.
- Die Analyse von Protokollen zeigt ungewöhnliche Spitzen im Datenverkehr, aber Sie können keine plausiblen Erklärungen dafür finden.
- Sie erleben oder erhalten von Kunden Berichte über eine langsame Performance der Website. Wenn Sie dieselbe Verbindung für Ihr internes Netzwerk verwenden, werden auch Mitarbeiter Probleme mit Langsamkeit haben.
- Ihr Server antwortet mit einem Fehler vom Typ 503 – nicht verfügbar. Wenn das Verkehrsvolumen abnimmt, verschwindet der Fehler normalerweise. Wenn der Fehler nach einiger Zeit immer noch besteht, stimmt etwas nicht.
- Bestimmte IP-Adressen fordern wiederholt viele Verbindungen in kurzer Zeit an.
- Interne Benutzer melden langsamen Zugriff auf Dateien oder können Dateien überhaupt nicht aufrufen.
- Ihr Mailsystem wird mit Spam-E-Mails überlastet.
So wehren Sie DDoS-Angriffe ab
Bei der Abwehr eines DDoS-Angriffs ist es wichtig, zwischen bösartigem und legitimen Datenverkehr zu unterscheiden. Hier sind einige Möglichkeiten, wie Sie DDoS-Angriffe abwehren können.
Reaktionsplan für DDoS-Angriffe entwickeln
Wenn Sie sich auf DDoS-Angriffe vorbereiten, bevor sie eintreten, wissen Sie genau, was zu tun ist, falls es zu einem Angriff kommt. In Ihrem Reaktionsplan für DDoS-Angriffe sollten Sie eine Checkliste mit allen Schritten haben, die Sie ergreifen müssen. Außerdem sollte die Checkliste alle Personen, die Sie kontaktieren müssen, und alle Tools, die Sie einsetzen müssen, umfassen. Ihr Reaktionsplan sollte außerdem die Verantwortlichkeiten aller Personen in Ihrem Team enthalten. Wenn Sie frühzeitig Verantwortlichkeiten zuweisen, weiß jeder in Ihrem Team, was zu tun ist, sollte ein DDoS-Angriff entdeckt werden. Ein Reaktionsplan könnte DDoS-Angriffe abwehren, bevor Ihrem Unternehmen dauerhafte Schäden entstehen.
Datenverkehr überwachen
DDoS-Angriffe stören den Datenverkehr eines Zielservers, indem sie den Server mit einer Flut von Internetverkehr überlasten. Durch eine kontinuierliche Überwachung des Datenverkehrs Ihres Servers oder Netzwerks mithilfe geeigneter Überwachungstools können Sie erkennen, wann Datenverkehr einen bestimmten Schwellenwert erreicht. Dazu erhalten Sie eine entsprechende Warnung oder Benachrichtigung. Solche Tools helfen Ihnen nicht nur, DDoS-Angriffe frühzeitig zu erkennen, sondern auch, Schaden abzuwenden.
Ratenbegrenzung
Da DDoS-Angriffe Botnets verwenden, um Zielserver zu überwältigen, ist eine Ratenbegrenzung sinnvoll, um die Anzahl der Anfragen zu beschränken, die ein Benutzer oder Bot stellen kann. Dazu wird die Zeit zwischen Anfragen von einzelnen IP-Adressen gemessen. Wenn in einem bestimmten Zeitraum von einer IP-Adresse zu viele Anfragen gestellt werden, wird sie durch das Ratenbegrenzungs-Tool blockiert.