DDoS-Attacke: Angriffsmuster und Abwehrmaßnahmen!

Die Menge und die Kraft erfolgreicher Distributed-Denial-of-Service-Attacken nehmen von Jahr zu Jahr zu. Gleichzeitig verursachen sie zusätzlich zu großen Ausfallzeiten einen gesamtwirtschaftlichen Schaden in Milliardenhöhe. Vor diesem Hintergrund ist die Implementierung passender IT-Schutzmaßnahmen zur Verteidigung von Distributed-Denial-of-Service-Attacken heute entscheidender denn je. Erfahren Sie in den nachfolgenden Kapiteln wie eine Distributed-Denial-of-Service-Attacke abläuft, warum diese nicht verkannt werden sollte und mit welchen IT-Schutzmaßnahmen Sie sich selbst und Ihr Unternehmen intelligent, flink und effektiv davor schützen können.

Ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder aber Virtual und Augmented Reality: Digitale Technologien sind aus dem Geschäftsleben nicht mehr wegzudenken. Sie verändern vorhandene Arbeitsformen, gestalten Wertschöpfungsprozesse und setzen ungeahnte Wachstumspotenziale frei. Mehr noch: Der Einsatz digitaler Technologien entscheidet heute im wachsenden Umfang über die Konkurrenzfähigkeit, die Robustheit wie auch die jeweilige Zukunft eines Unternehmens.

Allerdings verhelfen digitale Technologien nicht bloß Unternehmen zu Höhenflügen – auch Internetkriminelle profitieren von diesen vielfältigen Möglichkeiten immer fortschrittlicherer Angriffsmethoden.

In den vergangenen Jahren ist hier vor allem die Entwicklung zu Distributed-Denial-of-Service-Attacken explodiert.
Bei einer Distributed-Denial-of-Service-Attacke handelt es sich um eine spezielle Angriffsform, welche sich vom herkömmlichen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke und anderweitige Netzwerkressourcen eines Unternehmens mit einer immensen Anzahl gleichzeitiger Verbindungsanfragen oder aber inkorrekten Paketen zu überfordern und auf diese Weise zu verlangsamen oder eventuell auch komplett lahmzulegen. Oftmals nutzen die Bedrohungsakteure hierzu kompromittierte Rechner wie auch Endgeräte, die sie per Fernsteuerung zu einem Botnetz vereinen und anschließend auf ein Zielsystem sowie dessen Services richten. Hierbei kann die Multiplikation der Angriffsquelle, sprich die Größe des Botnetzes, die Wirksamkeit der Distributed-Denial-of-Service-Attacke bestärken und dazu beitragen die Identität der Bedrohungsakteure zu verbergen.

Anzahl und Komplexität der Angriffe steigen!

Distributed-Denial-of-Service-Attacken sind keine neue Gefahr.
Vor gut 20 Jahren, fand die allererste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde plötzlich von 114 Computern attackiert, welche mit einer Schadsoftware namens Trin00 angesteckt waren.

Seitdem kennt die Dynamik der Distributed-Denial-of-Service-Attacken wesentlich nur die Richtung nach droben, wie die nachfolgenden Beispiele aus jüngster Zeit bestätigen:

• Auf diese Weise wehrte Microsoft, gemäß seinem DDoS-Jahresbericht, in der Jahreshälfte von 2021 nahezu 360.000 DDoS-Angriffe gegen ihre Infrastruktur ab. Darunter eine Attacke mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
• Der IT-Sicherheitsdienst Cloudflare berichtet im Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgeblockt zu haben, bei der Internetkriminelle über 17 Millionen Anfragen pro Sekunde verschickten.
• Die Firma Netscout registrierte im Jahre 2020 erstmals über 10 Millionen Distributed-Denial-of-Service-Attacken pro Jahr. Im ersten halben Jahr von 2021 wurden daraufhin knapp 5,4 Millionen Distributed-Denial-of-Service-Attacken vernommen. Das ist ein Zuwachs von 11 Prozent gegenüberliegend des gleichen Zeitraums 2020.
• Ferner beweist der DDoS-Report 2021 von Imperva, dass bei rund 12 Prozent jeglicher Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen involviert waren.

Die neue Gefahren-und Angriffsdimension!

Prinzipiell können sich Distributed-Denial-of-Service-Attacken gegen jede der 7 Lagen innerhalb des OSI-Typs für Netzwerkverbindungen ausrichten. Die 3 Schlüsselarten wären:

1. Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken:
   Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Art von Distributed-Denial-of-Service-Attacken. Bei jener Angriffsart wird die vorhandene Bandbreite durch die Verwendung eines Botnetzes mit Paketfluten überlastet. Auf diese Weise wird verhindert, dass legitime Verbindungsanfragen eintreffen. Zu der Gruppe gehören unter anderem UDP -Flood-Attacken.
   • UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff senden Eindringlinge eine gewaltige Anzahl von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um sie dadurch zu überfordern, bis sie nicht mehr reagieren.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken:
   Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen darauf ab, die Ressourcen und den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überfordern und auszupowern. Am gängigsten sind in diesem Kontext sogenannte HTTP Flood-Attacken.
   • HTTP-Flood-Attacken:
     Bei der einfachsten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmen Bedrohungsakteure den Server eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss dieser lediglich irgendwelche Internetseiten des Zielprojekts aufsuchen, bis der Server unter der Last an Anfragen zerbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke:
   Protokollbasierte Distributed-Denial-of-Service-Attacken zielen auf Protokolle der Netzwerk- oder Transportschicht ab und nützen Schwachpunkte in den Protokollen, um das Zielsystem mit oberflächlichen oder falschen Verbindungsanfragen zu überfordern. Zu den häufigsten protokollbasierten Distributed-Denial-of-Service-Attacken gehören:
   • die ICMP-Flood-Attacke: Bei der ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überschwemmen die Bedrohungsakteure den Server mit zahllosen ICMP-Anfragen. Bei dem Angriff wird versucht, die Kompetenz des Webservers, auf Anfragen zu antworten, zu behindern und damit gültige Anfragen zu blocken.
   • die SYN-Flood-Attacke: Bei dem Angriffsmuster versuchen die Bedrohungsakteure durch das wiederholte Senden von Synchronisationspaketen, knapp SYN-Paketen, alle verfügbaren Ports auf einem Zielservercomputer zu überfordern, so dass das Zielgerät lediglich schleichend oder etwa gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe funktionieren unter Verwertung des Handshake-Prozesses der TCP-Verbindung.

Multivektorangriffe:
Bei Multivektorangriffen werden verschiedene Angriffsmethoden, wie zum Beispiel protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken gepaart, um ein Zielsystem und dessen Services ganz zu überwältigen wie auch es zum Absturz zu zwingen. Kombinierte Multivektorangriffe sind äußerst schwierig abzuwehren und erfordern daher eine ausgeklügelte wie auch vielseitige Abwehrstrategie.

So funktioniert die DDoS-Abwehr!

Da Distributed-Denial-of-Service-Attacken äußerst anspruchsvoll sind, sollten Unternehmen auf unterschiedlichen Arten IT-Abwehrmaßnahmen einbauen.

Erfolgversprechende Überlegungen beinhalten meist die folgenden Punkte:

• Identifikation kritischer IP-Adressen sowie das Schließen bekannter Sicherheitslücken
• Web Application Firewalls: Im Gegensatz zu konventionellen Firewalls untersuchen Web Application Firewalls, knapp WAFs, die anwendungsspezifische Kommunikation und sind dadurch in der Position Attacken auf Anwendungsschicht zu entdecken
• IP-Sperrlisten: IP-Sperrlisten ermöglichen es, kritische IP-Adressen zu identifizieren und Datenpakete geradewegs zu löschen. Jene Sicherheitsmaßnahme lässt sich per Hand umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.
• Filterung: Mit dem Ziel, gefährliche Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in dem notwendigen Zeitraum zu definieren. Dabei ist jedoch zu berücksichtigen, dass Proxys manchmal dazu leiten, dass mehrere Clients mit derselben IP-Adresse beim Webserver registriert und daher möglicherweise unbegründet blockiert werden.
• SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gesichert, sondern in Form von Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so zwar Rechenkapazität, belasten hingegen nicht den Speicher des Zielsystems.
• Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überlastung ist die Lastenverteilung auf verschiedene Systeme, wie sie durch Load-Balancing gewährt wird. Dabei wird die Hardware-Auslastung bereitgestellter Services auf mehrere physische Maschinen aufgeteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem bestimmten Maß auffangen.

Überlassen Sie bei der Abwehr von Distributed-Denial-of-Service-Attacken nichts dem Zufall!

Distributed-Denial-of-Service-Attacken nehmen zu und werden in Zukunft noch großvolumiger und komplexer ausfallen.
Mit dem Ziel, große Betriebsunterbrechungsschäden sowie teils unkalkulierbaren Reputationsverlust zu verhindern, ist es höchste Zeit, dass Betriebe eine verbesserte Sensibilität gegenüber Distributed-Denial-of-Service-Attacken entwickeln und umfassende IT-Schutzmaßnahmen zur Vorbeugung und Mitigation einführen.
Um die Betriebe bei der Recherche und Auswahl zu stützen hat das Bundesamt für Sicherheit in der EDV, knapp BSI, eine Erleichterung zur Identifikation qualifizierter Überwachungsunternehmen für die Abwehr von Distributed Denial-of-Service-Attacken veröffentlicht.

Sie sind Endkunde: Wollen auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten sowie Dienste mit leistungsfähigen DDoS-Sicherheitslösungen schützen? Sind sie auf der Nachforschung nach einem qualifizierten Sicherheitsdienstleister oder haben weitere Anliegen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an!

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.