Distributed-Denial-of-Service-Attacke: Was ist das und wie kann man sich schützen?
Die Anzahl und die Wucht vielversprechender Distributed-Denial-of-Service-Attacken nehmen von Jahr zu Jahr zu. Parallel entfachen sie zusätzlich zu großen Ausfallzeiten einen gesamtwirtschaftlichen Schadensfall in Milliardenhöhe. Vor diesem Hintergrund ist die Implementierung geeigneter IT-Schutzmaßnahmen zur Abwehr von Distributed-Denial-of-Service-Attacken heute wichtiger denn je. Erfahren Sie in den nachfolgenden Kapiteln wie eine Distributed-Denial-of-Service-Attacke verläuft, warum diese nicht unterschätzt werden sollte und mit was für IT-Schutzmaßnahmen Sie sich und Ihr Unternehmen clever, flink und effizient davor beschützen können.
Egal ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder aber Virtual und Augmented Reality: Digitale Technologien sind aus dem Businessalltag nicht mehr wegzudenken. Sie ändern vorhandene Arbeitsformen, prägen Wertschöpfungsprozesse und setzen unerwartete Wachstumspotenziale frei. Weiter sogar: Der Einsatz digitaler Technologien entscheidet inzwischen im wachsenden Maße über die Wettbewerbsfähigkeit, die Robustheit und die jeweilige Zukunftsfähigkeit eines Unternehmens.
Dennoch helfen digitale Technologien nicht bloß Unternehmen zu Höhenflügen – auch Internetkriminelle ziehen einen Nutzen von diesen unterschiedlichen Möglichkeiten immer fortschrittlicherer Angriffsmethoden.
In den letzten Jahren ist hier vor allem der Trend zu Distributed-Denial-of-Service-Attacken entfacht.
Bei einer Distributed-Denial-of-Service-Attacke handelt es sich um eine ganz besondere Angriffsform, die sich vom herkömmlichen Denial-of-Service-Angriff ableitet und das Ziel verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke sowie anderweitige Netzwerkressourcen eines Unternehmens mit einer großen Menge gleichzeitiger Verbindungsanfragen oder aber fehlerhaften Paketen zu überfordern und auf diese Weise zu verlangsamen oder sogar ganz lahmzulegen.
Oftmals verwenden die Bedrohungsakteure dazu kompromittierte Computer wie auch Endgeräte, welche sie per Fernbedienung zu einem Botnetz vereinen und anschließend auf ein Zielsystem sowie dessen Services richten. Hierbei würde die Multiplikation der Angriffsquelle, also die Größe des Botnetzes, die Effektivität der Distributed-Denial-of-Service-Attacke bestärken und dazu beitragen die Identität der Bedrohungsakteure zu verbergen.
Distributed-Denial-of-Service-Attacken auf dem Vormarsch!
Distributed-Denial-of-Service-Attacken sind keine neuartige Gefahr.
Vor gut 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde plötzlich von 114 Computern angegriffen, die mit einer Schadsoftware mit dem Namen Trin00 infiziert waren.
Seither kennt die Entwicklung der Distributed-Denial-of-Service-Attacken im Wesentlichen nur die Richtung nach oben, wie die nachfolgenden Beispiele aus jüngster Vergangenheit bestätigen:
· So wehrte Microsoft, gemäß dem DDoS-Jahresbericht, in der Jahreshälfte von 2021 fast 360.000 DDoS-Angriffe gegen die Infrastruktur ab. Darunter ein Angriff mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
· Der IT-Sicherheitsdienst Cloudflare schildert im Monat Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgeblockt zu haben, bei der Internetkriminelle über 17 Millionen Nachfragen pro Sekunde versendeten.
· Die Firma Netscout registrierte im Jahre 2020 erstmals über 10 Millionen Distributed-Denial-of-Service-Attacken jährlich. Im ersten halben Jahr von 2021 wurden im Folgenden fast 5,4 Millionen Distributed-Denial-of-Service-Attacken verzeichnet. Dies ist ein Anstieg von 11 Prozent gegenüber des Vergleichszeitraums 2020.
· Ferner zeigt der DDoS-Report 2021 von Imperva, dass bei rund 12 % aller Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen involviert waren.
Arten von DDoS-Angriffen!
Prinzipiell können sich Distributed-Denial-of-Service-Attacken gegen jede der 7 Schichten innerhalb des OSI-Modells für Netzwerkverbindungen ausrichten. Die 3 Schlüsselarten wären:
1. Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Form von Distributed-Denial-of-Service-Attacken. Bei dieser Angriffsart wird die vorhandene Palette durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. Auf diese Weise wird unterbunden, dass legitime Verbindungsanfragen ankommen. Zu der Fraktion zählen unter anderem UDP -Flood-Attacken.
o UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Eindringlinge eine gewaltige Anzahl von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um diese dadurch zu überfordern, solange bis sie nicht mehr erwidern.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen darauf ab, die Ressourcen und den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überfordern sowie zu verbrauchen. Am gängigsten sind in diesem Kontext sogenannte HTTP Flood-Attacken.
o HTTP-Flood-Attacken: Bei dieser leichtesten DDoS-Angriffsvariante zur Ressourcenüberlastung überfluten Bedrohungsakteure den Server eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Sinn und Zweck muss dieser nur irgendwelche Internetseiten des Zielprojekts aufsuchen, bis der Server unter der Belastung an Anforderungen zusammenbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken zielen auf Protokolle der Netzwerk- oder Transportschicht ab und nutzen Schwachpunkte in den Protokollen, um das Zielsystem mit oberflächlichen oder falschen Verbindungsanfragen zu überfordern. Zu den häufigsten protokollbasierten Distributed-Denial-of-Service-Attacken zählen:
o die ICMP-Flood-Attacke: Bei der ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überfluten die Bedrohungsakteure den Server mit zahllosen ICMP-Anfragen. Bei dem Angriff wird probiert, die Kompetenz des Webservers, auf Anfragen zu antworten, zu behindern und damit valide Anfragen zu blocken.
o die SYN-Flood-Attacke: Bei diesem Angriffsmuster probieren die Bedrohungsakteure durch das wiederholte Senden von Synchronisationspaketen, kurz SYN-Paketen, alle verfügbaren Ports auf einem Zielservercomputer zu überlasten, damit das Zielgerät lediglich schleichend oder etwa gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe gelingen unter Verwertung des Handshake-Prozesses der TCP-Verbindung.
4. Multivektorangriffe: Bei Multivektorangriffen werden verschiedene Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken gepaart, um ein Zielsystem und seine Dienste ganz zu überwältigen und dieses zum Fall zu bringen. Kombinierte Multivektorangriffe sind besonders knifflig abzuwehren und verlangen daher eine ausgeklügelte und vielschichtige Abwehrstrategie.
So verhindern Sie Distributed-Denial-of-Service-Attacken!
Da Distributed-Denial-of-Service-Attacken sehr anspruchsvoll sind, sollten Betriebe auf mehreren Ebenen IT-Abwehrmaßnahmen einbauen.
Erfolgversprechende Überlegungen enthalten meist folgende Aspekte:
o Identifizierung kritischer IP-Adressen und das Aufspüren bekannter Sicherheitslücken
o Web Application Firewalls: Gegenüber konventionellen Firewalls inspizieren Web Application Firewalls, knapp WAFs, die anwendungsspezifische Interaktion und sind damit in der Lage Attacken auf Anwendungsschicht zu entdecken
o IP-Sperrlisten: IP-Sperrlisten ermöglichen es, kritische IP-Adressen zu erkennen und Datenpakete geradewegs zu löschen. Jene Sicherheitsmaßnahme lässt sich manuell ausführen oder durch flexibel erzeugte Sperrlisten über die Firewall automatisieren.
o Filterung: Um gefährliche Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in einem bestimmten Zeitabschnitt zu bestimmen. Dabei ist jedoch zu berücksichtigen, dass Proxys mitunter dazu führen, dass mehrere Clients mit identischen IP-Adresse beim Server registriert und daher eventuell unbegründet blockiert werden.
o SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt diese Sicherheitsmaßnahme zum Gebrauch, werden Informationen über SYN-Pakete nicht mehr ausschließlich auf dem Webserver gesichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems.
o Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überlastung ist die Lastenverteilung auf verschiedene Systeme, wie diese durch Load-Balancing gewährt wird. Im Zuge dessen wird die Hardware-Auslastung bereitgestellter Services auf mehrere physische Geräte verteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem gewissen Umfang auffangen.
Behalten Sie DDoS-Bedrohungen auf dem Schirm!
Distributed-Denial-of-Service-Attacken wachsen und können in Zukunft noch großvolumiger und komplexer ausfallen.
Um erhebliche Betriebsunterbrechungsschäden sowie teils unkalkulierbaren Reputationsverlust zu verhindern, ist es höchste Zeit, dass Unternehmen eine erhöhte Sensibilität zu Distributed-Denial-of-Service-Attacken erzeugen und umfassende IT-Schutzmaßnahmen zur Vorbeugung und Mitigation implementieren.
Mit dem Ziel, die Betriebe bei der Suche und Selektion zu stützen hat das Bundesamt für Sicherheit in der Informationstechnik, knapp BSI, eine Hilfestellung zur Identifikation qualifizierter Sicherheitsdienstleister für die Verteidigung von Distributed Denial-of-Service-Attacken publiziert.
Wollen auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten sowie Services mit leistungsfähigen DDoS-Sicherheitslösungen beschützen? Sind sie auf der Suche nach einem geeigneten Sicherheitsdienstleister oder haben noch Fragen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an!
