Wie funktioniert ein DDoS-Angriff: Entstehung, Eindämmung und Abwehrmaßnahmen

Veröffentlicht am

Distributed Denial of Service (DDoS). Die Worte und die Buchstaben selbst wecken eine gewisse Furcht. Was auch immer es ist, es ist schlimm. Hacker tun es, es verursacht Schaden, und nur IT-Profis scheinen zu wissen, was es ist.

Was ist der Unterschied zwischen DoS und DDoS?

Vor DDoS gab es DoS, einen einfachen, einseitigen Denial-of-Service-Angriff. Als die Hacker immer fähiger wurden, starteten sie weit verbreitete oder verteilte Angriffe, die darauf abzielten, eine ganze Reihe von Systemen lahmzulegen.

Was war der erste bekannte DDoS-Angriff?

Der erste bekannte Distributed-Denial-of-Service-Angriff wurde 1996 gestartet, als einer der ersten ISPs, Panix, durch eine SYN-Flut lahmgelegt wurde, bei der Hacker eine Verbindung einleiteten, die nie zu Ende geführt wurde und das System oder den Server hängen ließ.

Wie läuft ein DDoS-Angriff ab?

Ironischerweise verwendet DDoS in der Regel einen Angriff, um einen Angriff zu starten.

"Denial of Service (DoS)- und Distributed Denial of Service (DDoS)-Angriffe nutzen die gestohlene Rechenleistung infizierter Endgeräte, um Zielnetzwerke und Webanwendungen mit bösartigem oder gefälschtem Datenverkehr zu überfluten. Indem sie die verfügbare Netzwerkbandbreite oder Serverressourcen verbrauchen, stören DoS-Angriffe den Online-Betrieb der Zielorganisationen. Diese Angriffe verringern die Menge an Computerressourcen, die legitimen Endbenutzern zur Verfügung stehen, und können massive wirtschaftliche und rufschädigende Auswirkungen haben", heißt es auf der Webseite Über den Schutz vor DDoS Angriffen. "Im Allgemeinen sind alle Organisationen, die eine bedeutende Online-Präsenz haben - wie Finanz-, Einzelhandels-, Gesundheits-, Unterhaltungs- und Technologieunternehmen - mögliche Ziele. DDoS-Angreifer haben sich in der Regel auf Angriffe auf Infrastrukturebene (Netzwerk- und Sitzungsebene) konzentriert, aber anwendungszentrierte Angriffe werden immer häufiger."

DDoS-Angriffe betreffen alle Größenordnungen, einschließlich Microsoft, Google und AWS

Die großen Tech-Player haben alle Sicherheitstools als Teil ihrer Produktlinie und verfügen alle über jahrzehntelange IT-Erfahrung. Sie werden jedoch regelmäßig Opfer von Hackerangriffen einschließlich DDoS. Der Hauptvorteil besteht darin, dass sich diese Anbieter bei der DDoS-Behebung auszeichnen.

Ein typisches Beispiel ist Microsoft, das Ende 2021 den größten DDoS-Angriff der Geschichte gegen einen Azure-Kunden abgewehrt hat.

Anfang 2020 wurde der Cloud-Riese Amazon Web Services (AWS) von einem riesigen DDoS-Angriff heimgesucht und zielte wie bei Microsoft auf einen Webservice-Client ab. Der CLDAP-Angriff (Connectionless Lightweight Directory Access Protocol) zielte auf CLDAP-Server ab und traf den AWS-Client mit dem bis zu 70-fachen des normalen Datenverkehrs. Der Angriff dauerte ganze drei Tage.

Jahre zuvor wurde Google von dem damals größten DDoS-Angriff der Geschichte getroffen. Im Jahr 2017 bombardierte eine staatlich geförderte chinesische Cyberkriminellenorganisation das Cloud-Geschäft von Google mit massiven Datenmengen von vier chinesischen ISPs. "Der DDoS-Angriff dauerte über eine sechsmonatige Kampagne und erreichte einen Spitzenwert von 2,5 Tbit/s im Datenverkehr", berichtete PC Mag. Trotz eines massiven DDoS-Angriffs mit 2,5 Tbit/s meldete Google dank geschickter DDoS-Abwehr und DDoS-Behebung keine negativen Auswirkungen.

DDoS-Angriffe werden voraussichtlich zunehmen

DDoS ist über 25 Jahre alt und zeigt keine Anzeichen eines Nachlassens. Das Gegenteil ist der Fall. Der Bedrohungsbericht 2020 von Nexusguard zeigt, dass DDoS-Angriffe im ersten Quartal 2020 im Vergleich zum Vorjahresquartal um mehr als 278 % und im Vergleich zum Vorquartal um über 542 % gestiegen sind.

DDoS ist einfach geworden

Wie bei den meisten IT-Angriffen müssen Hacker keine Exploits mehr erfinden. Stattdessen können sie die Arbeit anderer wiederverwenden und manchmal optimieren. Viele Angriffe sind als Dienst verfügbar, genau wie Ihr Office 365-Abonnement.

Dieser Ansatz hat das Starten von DDoS-Angriffen kinderleicht gemacht – und billig. Der Dark Web Price Index 2020 ergab, dass ein Distributed-Denial-of-Service-Angriff (DDoS) für etwa 10 US-Dollar pro Stunde oder 60 US-Dollar für 24 Stunden verkauft wird.

DDoS-Angriffe können viel Geld kosten

IT-Ausfallzeiten kosten viel Geld, und DDoS ist da keine Ausnahme. Gartner schätzt die durchschnittlichen Kosten für Ausfallzeiten für ein kleines bis mittleres Unternehmen (KMU) auf 5.600 US-Dollar pro Minute und höher für größere Unternehmen.

Wie fängt man einen DDoS-Angreifer ab?

Wie erwischt man einen DDoS-Täter? In den meisten Fällen ist dies nicht der Fall. Tatsächlich liegt die Erfolgsquote beim Auffinden und Bestrafen eines Hackers in den USA bei 0,05 %, so der Global Risks Report des Weltwirtschaftsforums.

Was passiert bei einem DDoS-Angriff?

DDoS ist ein einfaches, aber brachiales Konzept.

"Die grundlegende Methode, die verwendet wird, besteht darin, Server mit so vielen Anfragen oder Datenpaketen zu überfluten, dass sie nicht damit umgehen können und daher keinen Dienst für legitime Benutzer bereitstellen können. In den letzten Jahren sind auch ausgefeiltere Angriffe aufgetaucht, die auf bestimmte Anwendungen oder Protokolle abzielen. Bei den Angriffen werden häufig kompromittierte Clients und Server im Internet verwendet, um die Anfragen zu generieren. Zunehmend gibt es auch Angriffe mit gekaperten IoT-Geräten (Internet of Things), da viele der aktuellen IoT-Geräte einen sehr schlechten Sicherheitsschutz bieten", heißt es auf der Webseite zu Distributed Denial of Service (DDoS). "DDoS-Angriffe können auf mehrere Schichten des Netzwerk-Stacks abzielen. Die ursprüngliche Art des Angriffs erfolgte auf der Infrastrukturebene oder auf den Schichten 2 bis 4 in Bezug auf den OSI-Netzwerk-Stack. Dabei handelt es sich um die traditionelle Flood, die Art von Netzwerkangriffen, die die Server, die Dienste bereitstellen, einfach überfordern."

Welche Arten von DDoS-Angriffen gibt es?

Obwohl es unzählige DDoS-Ansätze gibt, konzentrieren wir uns auf sechs Haupttypen:

Angriffe auf Infrastruktur- (Netzwerk- und Sitzungs-)Ebene

DDoS-Angriffe auf Infrastrukturebene arbeiten auf den OSI-Schichten 2-4 und bombardieren das Netzwerk mit Junk-Traffic, bis Systeme wie Server nicht mehr verfügbar sind.

SYN-Flood-Attack

Halboffene TCP-Verbindungen werden angegriffen und führen dazu, dass der Server seine Ressourcen erschöpft, indem er gezwungen wird, die Informationen zu diesen ausstehenden und bösartigen Verbindungen beizubehalten. Die Folge ist ein Systemausfall oder ein kompletter Absturz.

TCP-Reset-Attack

Bei diesem Angriff hören Hacker die TCP-Verbindungen des Ziels ab und senden dann ein gefälschtes TCP-RESET-Paket, wodurch das Ziel die TCP-Verbindung versehentlich beendet.

ICMP-Attack

Hier sendet der Angreifer eine große Anzahl von ICMP-Paketen (Internet Control Message Protocol) mit der gefälschten Quell-IP des beabsichtigten Opfers an das Netzwerk. Die meisten Geräte im Netzwerk reagieren (standardmäßig) darauf, indem sie eine Antwort an die Quell-IP-Adresse senden. Wenn die Anzahl der Computer im Netzwerk, die diese Pakete empfangen und darauf reagieren, sehr groß ist, wird der Computer des Opfers mit Datenverkehr überflutet", erklärte Kemps Seite Schutz vor DDoS-Angriffen. "Dies kann den Computer des Opfers so weit verlangsamen, dass er nicht mehr arbeiten kann. Das ICMP-Datagramm kann auch verwendet werden, um einen Angriff per Ping zu starten. Angreifer verwenden den Ping-Befehl, um ein übergroßes ICMP-Datagramm zu erstellen, um den Angriff zu starten."

UDP-Storm-Attack

Ein UDP-Storm beeinträchtigt die Dienste eines Hosts und verlangsamt oder verstopft so den Netzwerkverkehr. Diese Angriffe beruhen auf Verbindungen, die von Hackern zwischen zwei UDP-Diensten hergestellt werden und beide dazu veranlassen, eine große Anzahl von Paketen (oder einen Sturm) zu produzieren.

Angriffe auf Anwendungsebene

DDoS-Angriffe auf Anwendungsebene arbeiten auf Layer 7 und überlasten eine Website oder Anwendung, wodurch die Website letztendlich zum Absturz gebracht wird oder die Anwendung zum Absturz gebracht wird. Diese Angriffe machen einen großen Teil der DDoS-Aktivitäten aus. In der Zwischenzeit erleichtern Angriffsskripte, die offene Proxys im Internet verfolgen, den Start dieser anwendungsbasierten DDoS-Angriffe.

Wie kann ich einen DDoS-Angriff verhindern?

Die IT-Abteilung hat weitgehend Schutzmaßnahmen gegen DDoS-Angriffe auf der Infrastrukturebene getroffen. Infolgedessen haben sich die Hacker einfach nach oben bewegt und die oberen Schichten des Netzwerks, wie die Anwendungsschicht, angegriffen.

Während Angriffe auf Anwendungsebene schwieriger abzuwehren sind, ist Progress Kemp LoadMaster, Application Delivery Controller, Load Balancing App und Sicherheitstool in einem, eine große Hilfe. Tatsächlich wurde LoadMaster entwickelt, um den DDoS-Schutz auf die Anwendungsebene auszudehnen.

So erkennen Sie einen DDoS-Angriff: LoadMaster vs. DDoS

Der LoadMaster begegnet DDoS- und anderen Cyberangriffen, indem es Netzwerkmetriken verfolgt und analysiert und diese über eine ereignisbasierte Benutzeroberfläche und kritische Warnungen, die in einer lauten täglichen Alarmumgebung hervorstechen, an IT-Experten weitergibt. Zu den Metriken gehören Konfigurationsänderungen, Transaktionen pro Sekunde und Anwendungen mit dem größten Volumen an TCP-Verbindungen. All dies kann auf einen DDoS-Angriff hindeuten und die Angriffsfläche eingrenzen.

Angenommen, die IT-Abteilung bemerkt einen Anstieg der Verbindungen zu einer Anwendung. Noch aufschlussreicher ist, dass sich Endbenutzer darüber beschweren, dass einige Anwendungen ausgefallen sind. Mit der Load Balancing App LoadMaster wird unrechtmäßiger Datenverkehr blockiert, während die IT-Abteilung alarmiert wird, damit sofort Maßnahmen ergriffen werden können.

Die frühzeitige Erkennung eines DDoS-Angriffs kann einen entscheidenden Unterschied machen, wenn es darum geht, die geringsten negativen Auswirkungen auf Ihr Netzwerk zu haben – und was noch wichtiger ist, auf Ihr Unternehmen. LoadMaster hilft Ihnen, illegitimen Datenverkehr zu blockieren und Bedrohungen im Auge zu behalten.

Mehrschichtiger Schutz vor DDoS-Angriffen mit LoadMaster

Schauen wir uns das Hinzufügen von DDoS-Schutz mit LoadMaster genauer an. Die erste Schutzebene besteht darin, den Datenverkehr von bekannten bösartigen Quellen auf der Grundlage ihrer IP-Adresse zu blockieren. LoadMaster führt eine Liste von bösartigen IP-Adressen, die regelmäßig aktualisiert wird, und wird Verbindungsanfragen von diesen IP-Adressen abweisen, bevor sie die Anwendungsserver erreichen. Da ständig neue kompromittierte Endpunkte auftauchen, kann diese Liste nicht den gesamten Datenverkehr erfassen, aber sie kann von Administratoren geändert werden, um den bösartigen Datenverkehr weiter zu reduzieren.

LoadMaster kann auch alle bekannten IP-Adressen aus bestimmten Ländern andocken, wodurch das Risiko eines Cyberangriffs weiter minimiert wird. Die IP-Reputationskontrollen, die wir als IP-Blockierung bezeichnen, können auf die Global Server Load Balancing (GSLB)-Funktion von LoadMaster angewendet werden, bei der DNS-Anfragen von böswilligen Akteuren ignoriert werden. Dieser Funktionsumfang kann auch auf die Cloud Load Balancing App angewendet werden.

Sprechen Sie mit einem technischen Experten darüber, wie Sie Ihr Unternehmen vor DDoS-Angriffen schützen können, und erfahren Sie, wie Ihr Netzwerk und Ihre Anwendungen von mehrschichtiger Sicherheit profitieren können.

Veröffentlicht am

Doug Barney

Doug Barney war Gründungsredakteur des Redmond Magazine, Redmond Channel Partner, Redmond Developer News und Virtualization Review. Doug war außerdem Chefredakteur von Network World, Chefredakteur von AmigaWorld und Chefredakteur von Network Computing.