Was ist ein DDoS-Angriff?

Es gibt viele verschiedene Arten von DDoS-Angriffen, und Angreifer nutzen häufig mehr als eine Art, um ihren Zielen Schaden zuzufügen. Die drei Schlüsseltypen sind volumetrische, Protokoll- und Angriffe auf Anwendungsebene. Der Zweck aller Angriffe besteht darin, legitimen Traffic stark zu verlangsamen oder zu verhindern, dass er sein beabsichtigtes Ziel erreicht. Dies kann beispielsweise bedeuten, dass ein Nutzer nicht mehr auf eine Website zugreifen, ein Produkt oder einen Service kaufen, ein Video ansehen oder in sozialen Medien interagieren kann. Darüber hinaus können DDoS-Angriffe dazu führen, dass die Geschäftstätigkeit von Unternehmen zum Stillstand kommt, wenn Ressourcen nicht mehr verfügbar sind oder die Performance abnimmt. Dies kann dazu führen, dass Mitarbeiter nicht mehr auf E-Mails oder Webanwendungen zugreifen oder wie gewohnt Geschäfte tätigen können.

Um mehr darüber zu erfahren, wie DDoS-Angriffe funktionieren, wollen wir die verschiedenen Wege aufzeigen, die Angreifer nehmen können. Das OSI-Modell (Open System Interconnection) ist ein mehrschichtiges Framework für verschiedene Netzwerkstandards und umfasst sieben verschiedene Ebenen. Jede Ebene des OSI-Modells hat einen eigenen Zweck, wie die Etagen eines Bürogebäudes, in dem auf jeder Etage verschiedene Funktionen eines Unternehmens ausgeübt werden. Angreifer zielen auf verschiedene Ebenen ab, je nachdem, welche Art von web- oder internetbezogenen Ressourcen sie stören möchten.

Der Zweck eines volumenbasierten DDoS-Angriffs besteht darin, ein Netzwerk mit massiven Trafficmengen zu überlasten. Dazu wird die gesamte Bandbreite der beabsichtigten Angriffsressource ausgenutzt. Der große Angriffstraffic hindert legitime Nutzer daran, auf die Anwendung oder den Service zuzugreifen, und verhindert so, dass Traffic hinein- oder herauskommt. Je nach Ziel kann das Stoppen des legitimen Traffics dazu führen, dass ein Bankkunde eine Rechnung nicht rechtzeitig bezahlen kann, E-Commerce-Käufer nicht in der Lage sind, Online-Transaktionen abzuschließen, bei Patienten im Krankenhaus nicht mehr auf die Krankenakte zugegriffen werden kann oder Bürger nicht mehr in der Lage sind, ihre Steuerdaten bei einer Regierungsbehörde einzusehen. Unabhängig von der Organisation hat das Verhindern des Zugriffs auf Dienste, die Menschen online nutzen möchten, negative Auswirkungen.

Volumetrische Angriffe nutzen Botnets, die mit Armeen einzelner, mit Malware infizierter Systeme und Geräte erstellt wurden. Bots werden von einem Angreifer kontrolliert und führen zu einer Überlastung zwischen einem Ziel und dem Internet mit schädlichem Traffic, der die gesamte verfügbare Bandbreite überlastet.

Ein unvorhergesehener Ansturm von Bot-Traffic kann den Zugriff auf eine Webressource oder einen internetbasierten Service erheblich verlangsamen oder verhindern. Da Bots legitime Geräte übernehmen, um bandbreitenintensive DDoS-Angriffe vom Nutzer unbemerkt zu verstärken, ist der schädliche Traffic für das betroffene Unternehmen schwer zu erkennen.

Es gibt eine Vielzahl von volumetrischen DDoS- Angriffsvektoren , die von Bedrohungsakteuren verwendet werden. Viele nutzen Reflexions- und Verstärkungs-Angriffstechniken, um ein Zielnetzwerk oder einen Service zu überlasten.

UDP-Floods werden häufig für DDoS-Angriffe mit größerer Bandbreite ausgewählt. Angreifer versuchen, Ports auf dem Zielhost mit IP-Paketen zu überlasten, die das statuslose UDP-Protokoll enthalten. Der Host des Opfers sucht dann nach Anwendungen, die mit den UDP-Paketen verknüpft sind, und sendet, wenn sie nicht gefunden werden, die Nachricht „Ziel nicht erreichbar“ zurück an den Absender. Die IP-Adressen werden oft zur Anonymisierung des Angreifers gefälscht, und sobald der anvisierte Host mit dem Angriffstraffic überflutet wird, reagiert das System nicht mehr und ist für legitime Nutzer nicht mehr verfügbar.

Was ist ein DDoS-Angriff zur DNS-Reflection/-Verstärkung (Domain Name System)?

DNS-Reflection-Angriffe (Domain Name System) sind ein gängiger Vektor, bei dem Cyberkriminelle die IP-Adresse ihres Ziels manipulieren, um große Mengen an Anfragen an offene DNS-Server zu senden. Diese DNS-Server reagieren dann auf schädliche Anfragen von der gefälschten IP-Adresse, wodurch ein Angriff auf das vorgesehene Ziel durch eine Flut von DNS-Antworten entsteht. Sehr schnell überfordert die große Menge an Traffic, die vom DNS generiert wird, die Services des Unternehmens, sodass diese nicht verfügbar sind und legitimer Traffic nicht an das vorgesehene Ziel gelangt.

Das Internet Control Message Protocol (ICMP) wird hauptsächlich für Fehlermeldungen verwendet und tauscht normalerweise keine Daten zwischen Systemen aus. ICMP-Pakete können TCP-Pakete (Transmission Control Protocol) enthalten, die es Anwendungsprogrammen und Rechnern ermöglichen, Nachrichten über ein Netzwerk auszutauschen, wenn sie eine Verbindung zu einem Server herstellen. Bei einer ICMP-Flood handelt es sich um eine DDoS-Angriffsmethode auf Infrastruktur von Layer 3, die ICMP-Nachrichten verwendet, um die Bandbreite des Zielnetzwerks zu überlasten.

Protokollangriffe versuchen, die Rechenkapazität verschiedener Netzwerkinfrastrukturressourcen wie Server oder Firewalls über schädliche Verbindungsanfragen zu nutzen, die die Protokollkommunikation ausnutzen. Synchronisations-Floods (SYN-Floods) und Smurf-DDoS sind zwei gängige Arten von protokollbasierten DDoS-Angriffen. Protokollangriffe können in Paketen pro Sekunde (pps) sowie in Bits pro Sekunde (bit/s) gemessen werden.

Eine der am häufigsten verwendeten Möglichkeiten, sich mit Internetanwendungen zu verbinden, ist das Transmission Control Protocol (TCP). Diese Verbindung erfordert einen Drei-Wege-Handshake von einem TCP-Service – wie einem Webserver – und beinhaltet das Senden eines SYN-Pakets (Synchronisierungs-Pakets), von dem der Nutzer eine Verbindung zum Server herstellt, der dann ein SYN-ACK-Paket (Synchronisierungsbestätigungs-Paket) zurückgibt, das letztendlich mit einer abschließenden ACK-Kommunikation (Bestätigung) beantwortet wird, um den TCP-Handshake abzuschließen.

Während eines SYN-Flood-Angriffs sendet ein bösartiger Client eine große Menge an SYN-Paketen (Teil eins des üblichen Handshake), jedoch niemals die Bestätigung, dass der Handshake abgeschlossen wird. Dadurch wartet der Server auf eine Antwort auf diese halboffenen TCP-Verbindungen, deren Kapazität schließlich nicht mehr zur Verfügung steht, sodass keine neue Verbindungen für Services akzeptiert werden, die den Verbindungsstatus verfolgen. 

Ein SYN-Flood-Angriff ist wie ein schrecklicher Streich von der gesamten Absolventenklasse einer wirklich großen Highschool, bei dem jeder Schüler dasselbe Pizzarestaurant anruft und im selben Zeitraum eine Pizza bestellt. Wenn der Lieferant dann ins Auto verladen will, stellt er fest, dass es zu viele Pizzen gibt, sie nicht ins Auto passen und keine Adressen auf den Bestellungen stehen. Daher wird die gesamte Lieferung abgebrochen.

Der Name dieses DDoS-Angriffs basiert auf dem Konzept, dass zahlreiche winzige Angreifer aufgrund ihrer riesigen Anzahl einen viel größeren Gegner bezwingen können, genau wie die fiktive Kolonie kleiner Schlümpfe, die diesem Angriff seinen Namen gegeben haben.

Bei einem Smurf Distributed Denial of Service-Angriff werden zahlreiche Internet Control Message Protocol-Pakete (ICMP) mit der gefälschten Quell-IP eines beabsichtigten Ziels über eine IP-Broadcast-Adresse an ein Computernetzwerk übertragen. Standardmäßig reagieren die meisten Geräte in einem Netzwerk, indem sie eine Antwort an die IP-Quelladresse senden. Abhängig von der Anzahl der Maschinen im Netzwerk kann der Computer des Opfers durch die Überflutung mit Traffic unglaublich verlangsamt werden.

Angriffe auf Anwendungsebene überfluten Anwendungen mit schädlichen Anfragen und werden in RPS (Requests per Second) gemessen. Auch als Layer-7-DDoS-Angriffe bezeichnet, zielen diese Angriffe auf bestimmte Webanwendungen ab, nicht auf ganze Netzwerke. Sie sind zwar schwer zu verhindern und abzuwehren, gehören jedoch zu den einfacher zu startenden DDoS-Angriffen.

Es ist vergleichsweise einfach, eine Herde von Pferden dazu zu bringen, panisch zu fliehen, aber es ist fast unmöglich, sie wieder unter Kontrolle zu bringen. Angriffe auf Anwendungsebene sind einfach zu implementieren, schwer zu verlangsamen oder zu stoppen und immer zielspezifisch.

Mit einer starken Strategie in Bezug auf DDoS und einem Runbook können sich Unternehmen vor DDoS-Angriffen schützen und die dadurch erzeugten Unterbrechungen begrenzen. Die hohe Kapazität, die hohe Performance und der permanente DDoS-Schutz cloudbasierter Lösungen können verhindern, dass schädlicher Traffic eine Website erreicht oder die Kommunikation über eine Web-API beeinträchtigt wird. Ein Cloud-basierter Scrubbing-Service kann schnell und maßstabsgerecht Angriffe abwehren, die sich gegen webunabhängige Assets wie die Netzwerkinfrastruktur richten.

In einer sich ständig weiterentwickelnden Angriffslandschaft kann der DDoS-Schutz durch einen Abwehranbieter, der einen tiefgreifenden Verteidigungsansatz verfolgt, Unternehmen und Endnutzer schützen. Ein DDoS-Abwehrservice erkennt und blockiert DDoS-Angriffe so schnell wie möglich, idealerweise innerhalb von null oder wenigen Sekunden ab dem Zeitpunkt, an dem der Angriffstraffic die Scrubbing-Zentren des Abwehranbieters erreicht. Da sich die Angriffsvektoren ständig ändern und die Angriffsgrößen immer weiter steigen, muss ein Anbieter kontinuierlich in die Verteidigungsfähigkeit investieren, um den besten DDoS-Schutz zu erreichen. Die richtigen Technologien sind erforderlich, wenn Sie mit großen, komplexen Angriffen Schritt halten, schädlichen Traffic erkennen und robuste Abwehrmaßnahmen ergreifen wollen.

Anbieter von DDoS-Abwehrlösungen filtern schädlichen Traffic heraus, um zu verhindern, dass er die Ressource erreicht, auf die er abzielt. Der Angriffstraffic wird durch einen DDoS-Scrubbing-Dienst, einen cloudbasierten DNS-Service oder einen CDN-basierten Web-Schutzservice blockiert. Die Cloud-basierte Abwehr entfernt den Angriffstraffic, bevor er das Ziel erreicht.

DDoS-Scrubbing kann dafür sorgen, dass Ihr Onlineservice oder -geschäft auch während eines Angriffs einsatzbereit bleibt. Im Gegensatz zur CDN-basierten Abwehr kann ein DDoS-Scrubbing-Service alle Ports, Protokolle und Anwendungen im Rechenzentrum schützen, einschließlich Web- und IP-basierter Services. 

Unternehmen leiten ihren Netzwerktraffic auf eine von zwei Arten: über eine BGP-Routenänderung (Border Gateway Protocol) oder eine DNS-Umleitung (ein Datensatz oder CNAME) an die Scrubbing-Infrastruktur des Abwehranbieters. Der Traffic wird überwacht und auf schädliche Aktivitäten untersucht. Wenn DDoS-Angriffe erkannt werden, wird die Abwehr angewendet. In der Regel kann dieser Service sowohl in bedarfsabhängigen als auch in dauerhaft aktiven Konfigurationen verfügbar sein, je nach bevorzugter Sicherheitslage eines Unternehmens. Allerdings wechseln mehr Unternehmen als je zuvor zu einem Bereitstellungsmodell, das immer verfügbar ist, um die schnellstmögliche Abwehrreaktion zu gewährleisten.

Ein ordnungsgemäß konfiguriertes CDN (Content Delivery Network) hilft Ihnen, sich vor DDoS-Angriffen zu schützen. Wenn ein Anbieter von Website-Schutzservices sein CDN nutzt, um den Traffic mithilfe von HTTP- und HTTPS-Protokollen gezielt zu beschleunigen, können alle DDoS-Angriffe, die auf diese URL abzielen, am Netzwerkrand verworfen werden. 

Dies bedeutet, dass DDoS-Angriffe auf Layer 3 und Layer 4 sofort abgewehrt werden, da diese Art von Traffic nicht für die Webports 80 und 443 bestimmt ist. Das Netzwerk stellt sich als Cloud-basierter Proxy vor die IT-Infrastruktur eines Kunden und stellt Traffic von Endnutzern an die Websites und Anwendungen bereit. Da diese Lösungen inline funktionieren, werden webbasierte Assets jederzeit ohne menschliche Interaktion vor DDoS-Angriffen auf Netzwerkebene geschützt. 

Für eine Verteidigung gegen Angriffe auf Anwendungsebene sollten Unternehmen eine Web Application Firewall implementieren, um erweiterte Angriffe zu bekämpfen, einschließlich bestimmter Arten von DDoS-Angriffen wie HTTP-Anforderungen, HTTP GET- und HTTP POST-Floods, die die Anwendungsprozesse auf Layer 7 des OSI-Modells unterbrechen sollen.

Unternehmen können ihre Angriffsfläche reduzieren und gleichzeitig das Risiko von geschäftsschädlichen Ausfallzeiten und Unterbrechungen verringern, indem sie DDoS-spezifische Cybersicherheitskontrollen implementieren. Diese Art der Verteidigung kann einen Angriff abwehren und legitimen Besuchern gleichzeitig ermöglichen, wie üblich auf Ihr Unternehmen zuzugreifen. Der DDoS-Schutz verhindert, dass schädlicher Traffic das Ziel erreicht, sodass die Auswirkungen des Angriffs begrenzt werden und der normale Traffic wie gewohnt durchdringen kann.

Während der Abwehr setzt Ihr DDoS-Schutzanbieter eine Reihe von Gegenmaßnahmen ein, die darauf abzielen, die Auswirkungen eines Distributed-Denial-of-Service-Angriffs zu stoppen und zu verringern. Da moderne Angriffe immer komplexer werden, bietet der cloudbasierte DDoS-Schutz umfassende Sicherheit in großem Maßstab, sodass die Backend-Infrastruktur und internetbasierte Services optimal verfügbar bleiben.

Mit DDoS-Angriffsschutzdiensten können Unternehmen:

• die Angriffsfläche und das Geschäftsrisiko von DDoS-Angriffen reduzieren
• Ausfallzeiten mit geschäftlichen Auswirkungen verhindern
• Webseiten davor schützen, offline zu gehen
• schneller auf ein DDoS-Ereignis reagieren und die Ressourcen für die Vorfallsreaktion optimieren
• eine Serviceunterbrechung zeitnah verstehen und untersuchen
• einem Verlust der Mitarbeiterproduktivität vorbeugen
• Gegenmaßnahmen zum Schutz vor DDoS-Angriffen schneller implementieren
• Schäden am Markenimage und Gewinnverlust vorbeugen
• die Verfügbarkeit und Performance von Anwendungen über digitale Assets hinweg aufrechterhalten
• die Kosten für die Websicherheit minimieren
• sich vor Erpressung, Ransomware und anderen neuen Bedrohungen schützen

Akamai bietet eine tiefgreifende DDoS-Abwehr durch ein transparentes Mesh mit dediziertem Edge, verteiltem DNS und Cloud-Scrubbing-Abwehr. Diese zweckdienlichen Cloudservices wurden entwickelt, um die DDoS-Sicherheit zu stärken und die Angriffsfläche zu reduzieren, die Abwehrqualität zu verbessern und False Positives zu reduzieren, während gleichzeitig die Ausfallsicherheit gegen die größten und komplexesten Angriffe erhöht wird.

Darüber hinaus kann jeder Service gezielt auf die spezifischen Anforderungen Ihrer Webanwendungen oder internetbasierten Services abgestimmt werden.

Akamai hat seine weltweit am stärksten verteilte Edge- und Cloud-Plattform als Reverse-Proxy konzipiert, der nur Traffic über die Ports 80 und 443 akzeptiert. Alle DDoS-Angriffe auf Netzwerkebene werden mit einem Null-Sekunden-SLA sofort an der Edge abgewehrt. Das bedeutet, dass Angreifer, die DDoS-Angriffe auf Netzwerkebene starten, keine Chance haben.

Kona Site Defender erkennt DDoS-Angriffe auf Anwendungsebene, einschließlich der über APIs gestarteten Attacken, wehrt sie ab und gewährt gleichzeitig legitimen Nutzern Zugriff.

Der autoritative DNS-Service von Akamai, Edge DNS, filtert auch Traffic an der Edge. Akamai Edge DNS ist im Gegensatz zu anderen DNS-Lösungen speziell für Verfügbarkeit und Ausfallsicherheit bei DDoS-Angriffen ausgelegt. Edge DNS bietet durch Redundanzen auf mehreren Ebenen, darunter Nameserver, Points of Presence, Netzwerke und sogar segmentierte IP-Anycast-Clouds, eine überragende Performance.