Faktencheck und Hintergründe!
Die Anzahl und die Wucht erfolgreicher Distributed-Denial-of-Service-Attacken nehmen jährlich zu. Gleichzeitig entfachen selbige zusätzlich zu hohen Ausfallzeiten einen gesamtwirtschaftlichen Schaden in Milliardenhöhe. Vor diesem Hintergrund ist die Einführung geeigneter IT-Schutzmaßnahmen zur Verteidigung von Distributed-Denial-of-Service-Attacken heute wichtiger denn je zuvor. Erfahren Sie in den folgenden Abschnitten wie eine Distributed-Denial-of-Service-Attacke verläuft, warum diese nicht unterschätzt werden darf und mit was für IT-Schutzmaßnahmen Sie sich und Ihr Unternehmen clever, schnell und effektiv davor beschützen können.
Ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder Virtual und Augmented Reality: Digitale Technologien sind aus dem Geschäftsleben nicht mehr wegzudenken. Sie ändern bestehende Arbeitsformen, prägen Wertschöpfungsprozesse und setzen unerwartete Wachstumspotenziale frei. Mehr noch: Der Einsatz digitaler Technologien entscheidet heute im zunehmenden Maße über die Wettbewerbsfähigkeit, die Resilienz und die jeweilige Zukunftsfähigkeit eines Unternehmens.
Dennoch helfen digitale Technologien nicht bloß Betriebe zu Höhenflügen – auch Internetkriminelle profitieren von den unterschiedlichen Optionen immer fortschrittlicherer Angriffsmethoden.
In den letzten Jahren ist dabei vor allem die Entwicklung zu Distributed-Denial-of-Service-Attacken entfacht.
Bei der Distributed-Denial-of-Service-Attacke dreht es sich um eine ganz besondere Angriffsform, welche sich vom konventionellen Denial-of-Service-Angriff ableitet und das Ziel verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke sowie andere Netzwerkressourcen eines Betriebs mit einer großen Menge gleichzeitiger Verbindungsanfragen oder aber inkorrekten Paketen zu überfordern und auf diese Weise zu verlangsamen oder eventuell auch ganz lahmzulegen. Häufig nutzen die Bedrohungsakteure dazu kompromittierte Rechner und Endgeräte, welche sie per Fernbedienung zu einem Botnetz vereinen und anschließend auf ein Zielsystem und dessen Services richten. Hierbei kann die Multiplikation der Angriffsquelle, sprich die Dimension des Botnetzes, die Wirksamkeit der Distributed-Denial-of-Service-Attacke bestärken und dazu beitragen die Identität der Bedrohungsakteure zu verbergen.
Anzahl und Komplexität der Angriffe steigen!
Distributed-Denial-of-Service-Attacken sind keine neuartige Bedrohung.
Vor knapp 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde auf einmal von 114 Computern attackiert, die mit einer Malware mit dem Namen Trin00 angesteckt waren.
Seither kennt die Entwicklung der Distributed-Denial-of-Service-Attacken im Wesentlichen nur die Richtung nach droben, wie auch die folgenden Beispiele aus jüngster Vergangenheit bestätigen:
- Auf diese Weise wehrte Microsoft, gemäß seinem DDoS-Jahresbericht, in der Jahreshälfte vom Jahr 2021 fast 360.000 DDoS-Attacken gegen die Logistik ab. Hierunter ein Angriff mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
- Der IT-Sicherheitsdienst Cloudflare berichtet im Monat Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgewehrt zu haben, bei der Internetkriminelle über 17 Millionen Nachfragen pro Sekunde versendeten.
- Die Firma Netscout registrierte 2020 erstmals über 10 Millionen Distributed-Denial-of-Service-Attacken pro Jahr. Im ersten halben Jahr von 2021 wurden daraufhin fast 5,4 Millionen Distributed-Denial-of-Service-Attacken vernommen. Dies ist ein Anstieg von 11 Prozent gegenüber des Vergleichszeitraums 2020.
- Außerdem beweist der DDoS-Report 2021 (siehe PDF) von Imperva, dass bei etwa 12 % aller Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Betriebe involviert waren.
Arten von DDoS-Angriffen!
Prinzipiell können sich Distributed-Denial-of-Service-Attacken gegen alle der sieben Schichten im Rahmen des OSI-Modells für Netzwerkverbindungen richten.
Die 3 Schlüsselarten wären:
1. Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken sind die gängigste Art von Distributed-Denial-of-Service-Attacken. Bei dieser Angriffsart wird die vorhandene Bandbreite durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. So wird unterbunden, dass legitime Verbindungsanfragen eintreffen. Zu der Gruppe zählen beispielsweise UDP -Flood-Attacken.
- UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Angreifer eine große Anzahl von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um sie dadurch zu überlasten, solange bis sie nicht mehr erwidern.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen hierauf ab, die Ressourcen und den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überlasten und auszupowern. Am häufigsten sind in dem Zusammenhang so bezeichnete HTTP Flood-Attacken.
- HTTP-Flood-Attacken: Bei der einfachsten DDoS-Angriffsvariante zur Ressourcenüberlastung überfluten Bedrohungsakteure den Webserver eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss er lediglich beliebige Seiten des Zielprojekts aufsuchen, bis der Webserver unter der Belastung an Anforderungen zusammenbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken sehen es auf Protokolle der Netzwerk- oder Transportschicht ab und nützen Schwachstellen in den Protokollen, um das Zielsystem mit oberflächlichen oder fehlerhaften Verbindungsanfragen zu überlasten. Zu den gängigsten protokollbasierten Distributed-Denial-of-Service-Attacken zählen:
- die ICMP-Flood-Attacke: Bei der ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überschwemmen die Bedrohungsakteure den Server mit unzähligen ICMP-Anfragen. Bei diesem Angriff wird versucht, die Fähigkeit des Webservers, auf Anforderungen zu reagieren, zu beeinträchtigen und damit valide Anfragen zu blocken.
- die SYN-Flood-Attacke: Bei diesem Angriffsmuster probieren die Bedrohungsakteure durch das wiederholte Senden von Synchronisationspaketen, knapp SYN-Paketen, alle möglichen Ports auf einem Zielservercomputer zu überlasten, damit das Zielgerät lediglich langsam oder etwa gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe funktionieren unter Verwertung des Handshake-Prozesses einer TCP-Verbindung.
4. Multivektorangriffe: Bei Multivektorangriffen werden mehrere Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken gepaart, um ein Zielsystem und dessen Dienste ganz zu überwältigen und es zum Fall zu zwingen. Kombinierte Multivektorangriffe sind besonders knifflig abzuwehren und verlangen deshalb eine ausgeklügelte wie auch vielschichtige Abwehrstrategie.
So funktioniert die DDoS-Abwehr!
Da Distributed-Denial-of-Service-Attacken äußerst komplex sind, sollten Betriebe auf unterschiedlichen Ebenen IT-Abwehrmaßnahmen einbauen.
Erfolgversprechende Ansätze enthalten meist folgende Aspekte:
- Identifikation kritischer IP-Adressen und das Aufspüren bekannter Sicherheitslücken
- Web Application Firewalls: Gegenüber klassischen Firewalls untersuchen Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind damit in der Lage Attacken auf Anwendungsebene zu entdecken
- IP-Sperrlisten: IP-Sperrlisten ermöglichen es, kritische IP-Adressen zu identifizieren und Datenpakete geradewegs zu verwerfen. Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch flexibel hergestellte Sperrlisten über die Firewall automatisieren.
- Filterung: Um gefährliche Datenpakete herauszufiltern, ist es machbar, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren. Hierbei ist aber zu beachten, dass Proxys manchmal dazu führen, dass viele Clients mit derselben IP-Adresse beim Server angemeldet und eventuell grundlos blockiert werden.
- SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau in den Fokus. Kommt die Sicherheitsmaßnahme zum Gebrauch, werden Informationen über SYN-Pakete nicht mehr ausschließlich auf dem Server gespeichert, sondern in Form von Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so allerdings Rechenkapazität, strapazieren jedoch nicht den Speicher des Zielsystems.
- Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überlastung ist eine Lastenverteilung auf mehrere Systeme, wie sie durch Load-Balancing ermöglicht wird. Im Zuge dessen wird die Hardware-Auslastung bereitgestellter Services auf unterschiedliche physische Geräte aufgeteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem bestimmten Maß auffangen.
Behalten Sie DDoS-Bedrohungen auf dem Schirm!
Distributed-Denial-of-Service-Attacken nehmen zu und können zukünftig noch großvolumiger und komplexer ausfallen.
Mit dem Ziel, große Betriebsunterbrechungsschäden und mitunter unkalkulierbaren Reputationsverlust zu vermeiden, ist es allerhöchste Zeit, dass Betriebe eine verbesserte Sensibilität gegenüber Distributed-Denial-of-Service-Attacken entwickeln und umfassende IT-Schutzmaßnahmen zur Prävention und Mitigation einführen.
Um die Betriebe bei der Recherche und Auswahl zu unterstützen hat das Bundesamt für Sicherheit in der EDV, knapp BSI, eine Erleichterung zur Identifikation qualifizierter Sicherheitsdienstleister für die Verteidigung von Distributed Denial-of-Service-Attacken publiziert.
Möchten auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten und Dienste mit leistungsfähigen DDoS-Sicherheitslösungen schützen?
Sind sie auf der Suche nach einem qualifizierten Sicherheitsdienstleister oder haben noch Fragen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an!