Es gibt zahlreiche Cyberbedrohungen, vor denen sich Internetnutzer und Netzwerkadministratoren in Acht nehmen müssen. Für Organisationen, deren Dienste größtenteils online ablaufen, ist jedoch einer der wichtigsten Angriffe, vor dem sie sich in Acht nehmen müssen – aufgrund seiner zunehmenden Verbreitung handelt es sich um Distributed Denial of Service (DDoS)-Angriffe. Doch was ist ein Denial-of-Service-Angriff, wie funktioniert er und gibt es Möglichkeiten, ihn zu verhindern?
DDoS-Angriffe (Distributed Denial-of-Service)
Was ist ein DDoS-Angriff? Bei dieser Art von Angriff nutzen Kriminelle die Kapazitätsbeschränkungen aus, die für jede Netzwerkressource besteht, wie z. B. die Infrastruktur, in der die Seite eines Unternehmens gehostet wird. Für einen DDoS-Angriff werden mehrere Anfragen an die angegriffene Webressource gesendet, um ihre Kapazität zur Verarbeitung von Anfragen zu überlasten und so die Verfügbarkeit der Seite zu stören. Zu den typischen Zielen von DDoS-Angriffen zählen E-Commerce-Sites und alle Organisationen, die Onlinedienste anbieten.
Wie funktioniert das Ganze?
Um DDoS-Angriffe zu verstehen, ist es wichtig zu lernen, wie diese Angriffe funktionieren. Netzwerkressourcen, wie z. B. Webserver, können nur eine bestimmte Anzahl von Anfragen gleichzeitig verarbeiten. Zusätzlich zur Kapazitätsgrenze des Servers ist auch die Bandbreite der Server-Internetverbindung beschränkt. Wenn also die Anzahl von Anfragen die Kapazitätsgrenze einer der Infrastrukturkomponenten überschreitet, leidet die Servicequalität wie folgt:
Normalerweise besteht das Ziel des Angreifers bei jedem DDoS-Angriff darin, den Server der Webressource zu überlasten, den normalen Betrieb zu verhindern und so einen vollständigen Denial-of-Service-Angriff auszulösen. Der Angreifer kann auch Zahlungen verlangen, um die Attacke einzustellen. In manchen Fällen soll durch DDoS-Angriffe auch das Unternehmen der Konkurrenz in Verruf gebracht und geschädigt werden.
Um den Angriff auszuführen, übernimmt der Angreifer die Kontrolle über ein Netzwerk oder Gerät, indem er es mit Malware infiziert und so ein Botnetz erstellt. Anschließend leiten sie den Angriff ein, indem sie den Bots spezifische Anweisungen senden. Im Gegenzug beginnt das Botnetz, über die IP-Adresse des Zielservers Anfragen an diesen zu senden, wodurch dieser überlastet wird und es zu einer Dienstverweigerung seines regulären Datenverkehrs kommt.
Beispiele für DDoS-Angriffe: Welche verschiedenen Arten von Angriffen gibt es?
Wenn Sie lernen, was DDoS bedeutet und wie diese Angriffe funktionieren, können Sie sie bereits verhindern. Wichtig ist aber auch, dass Sie verstehen, dass es unterschiedliche Arten von DDoS-Angriffen gibt. Voraussetzung hierfür ist zunächst, dass die Art und Weise der Herstellung von Netzwerkverbindungen beschrieben wird.
Das von der Internationalen Organisation für Normung entwickelte Open Systems Interconnection (OSI)-Modell definiert sieben verschiedene Schichten, aus denen Internet-Netzwerkverbindungen bestehen. Dazu gehören die physische Schicht, die Datenverbindungsschicht, die Netzwerkschicht, die Transportschicht, die Sitzungsschicht, die Präsentationsschicht und die Anwendungsschicht.
Die vielen Beispiele für DDoS-Angriffe unterscheiden sich darin, auf welche Verbindungsschicht sie abzielen. Nachfolgend finden Sie einige der häufigsten Beispiele.
Angriffe auf der Programmebene
Diese Angriffe werden manchmal als Layer-7-Angriffe bezeichnet (da sie auf die 7. (Anwendungs-)Schicht des OSI-Modells abzielen) und erschöpfen die Ressourcen des Zielservers mithilfe von DDoS-Websites. In der 7. Schicht generiert ein Server Webseiten als Antwort auf eine HTTP-Anfrage. Angreifer führen zahlreiche HTTP-Anfragen aus und überlasten den Zielserver, während dieser darauf reagiert, indem er die zahlreichen Dateien lädt und die Datenbankabfragen ausführt, die zum Erstellen einer Webseite erforderlich sind.
HTTP-Flood
Stellen Sie sich diese DDoS-Angriffe so vor, als würden Sie einen Webbrowser auf vielen Computern mehrmals aktualisieren. Dies führt zu einer „Flut“ von HTTP-Anfragen und erzwingt einen Denial-of-Service-Angriff. Die Implementierung dieser Angriffe kann einfach sein – mithilfe einer URL mit einem engen Bereich von IP-Adressen – oder komplex, mithilfe einer Reihe von IP-Adressen und zufälligen URLs.
Protokollangriffe
Diese DDoS-Angriffe werden oft als State-Exhaustion-Angriffe bezeichnet und nutzen Schwachstellen in der 3. und 4. Schicht des OSI-Modells (der Netzwerk- und Transportschicht) aus. Diese Angriffe führen zu einer Dienstverweigerung, indem sie die Serverressourcen oder die Ressourcen der Netzwerkausrüstung, wie etwa Firewalls , überlasten. Es gibt verschiedene Arten von Protokollangriffen, darunter auch SYN-Floods. Diese nutzen den TCP-Handshake (Transmission Control Protocol), der es zwei Personen ermöglicht, eine Netzwerkverbindung herzustellen, indem sie eine unüberschaubare Anzahl von TCP-„Initial Connection Requests“ von gefälschten IP-Adressen senden.
Überlastungsangriffe
Diese Beispiele für DDoS-Angriffe führen zu einem Denial-of-Service-Angriff, indem sie die gesamte verfügbare Bandbreite auf einem Zielserver nutzen, indem sie riesige Datenmengen senden, um einen Anstieg des Datenverkehrs auf dem Server zu verursachen.
DNS-Verstärkung
Dabei handelt es sich um einen reflexionsbasierten Angriff, bei dem von einer gefälschten IP-Adresse (der des Zielservers) eine Anfrage an einen DNS-Server gesendet wird, die den DNS-Server dazu veranlasst, das Ziel zurückzurufen, um die Anfrage zu überprüfen. Diese Aktion wird durch die Verwendung eines Botnetzes verstärkt, wodurch die Ressourcen des Zielservers schnell überlastet werden.
Identifizieren eines DDoS-Angriffs
DDoS-Angriffe können schwer zu erkennen sein, da sie herkömmliche Serviceprobleme imitieren können und immer ausgefeilter werden. Es gibt jedoch bestimmte Anzeichen, die darauf hindeuten können, dass ein System oder Netzwerk Opfer eines DDoS-Angriffs geworden ist. Zum Beispiel:
- Ein plötzlicher Anstieg des Datenverkehrs von einer unbekannten IP-Adresse
- Eine Flut von Datenverkehr von zahlreichen Benutzern, die bestimmte Gemeinsamkeiten aufweisen, wie z. B. Geolokalisierung oder Webbrowser-Version
- Ein unerklärlicher Anstieg der Anfragen für eine einzelne Seite
- Ungewöhnliche Verkehrsmuster
- Langsame Netzwerkleistung
- Ein Dienst oder eine Website, die plötzlich ohne Grund offline geht
Prävention und Abwehr von DDoS-Angriffen
Obwohl es schwierig sein kann, DDoS-Angriffe zu erkennen, können verschiedene Maßnahmen ergriffen werden, um diese Art von Cyberangriffen zu verhindern und im Falle eines Angriffs etwaige Schäden zu minimieren. Für Benutzer, die sich fragen, wie sie DDoS-Angriffe verhindern können, besteht der Schlüssel darin, einen Aktionsplan zur Sicherung der Systeme und zur Schadensminderung im Falle eines Angriffs zu erstellen. Generell ist es sinnvoll, für Unternehmen eine Lösung wie den DDoS-Schutz von Kaspersky zu implementieren, der bösartigen Datenverkehr kontinuierlich analysiert und umleitet. Darüber hinaus können die folgenden allgemeinen Ratschläge dazu beitragen, Ihre Abwehrkräfte weiter zu stärken:
- Bewerten Sie die aktuelle Systemkonfiguration – einschließlich Software, Geräten, Servern und Netzwerken –, um Sicherheitsrisiken und potenzielle Bedrohungen zu identifizieren, und implementieren Sie dann Maßnahmen zu deren Reduzierung; führen Sie regelmäßige Risikobewertungen durch.
- Halten Sie sämtliche Software und Technologie auf dem neuesten Stand, um sicherzustellen, dass die aktuellsten Sicherheitspatches ausgeführt werden.
- Entwickeln Sie eine praktikable Strategie zur Prävention, Erkennung und Eindämmung von DDoS-Angriffen.
- Stellen Sie sicher, dass alle am Angriffspräventionsplan Beteiligten die Bedeutung eines DDoS-Angriffs und die ihnen zugewiesenen Rollen verstehen.
Im Falle eines Angriffs können die folgenden Maßnahmen eine gewisse Schadensbegrenzung bieten:
- Anycast-Netzwerke: Die Verwendung eines Anycast-Netzwerks zur Umverteilung des Datenverkehrs kann dazu beitragen, die Servernutzbarkeit aufrechtzuerhalten, während das Problem behoben wird, und stellt sicher, dass der Server nicht vollständig heruntergefahren werden muss.
- Black Hole Routing: In diesem Szenario leitet ein Netzwerkadministrator des ISP den gesamten Datenverkehr vom Zielserver in eine Black Hole Route (Ziel-IP-Adresse) um, wodurch er aus dem Netzwerk entfernt und seine Integrität gewahrt wird. Dies kann jedoch ein extremer Schritt sein, da dadurch auch legitimer Datenverkehr blockiert wird.
- Ratenbegrenzung: Dadurch wird begrenzt, wie viele Anfragen ein Server gleichzeitig annehmen kann. Obwohl es allein nicht besonders effektiv ist, kann es als Teil einer umfassenderen Strategie nützlich sein.
- Firewalls: Organisationen können Web Application Firewalls (WAF) als Reverse-Proxy zum Schutz ihrer Server verwenden. WAFs können mit Regeln zum Filtern des Datenverkehrs eingerichtet werden und Administratoren können diese in Echtzeit ändern, wenn sie einen DDoS-Angriff vermuten.
Verwandte Artikel und Links:
- Was ist ein Trojaner-Virus? Arten und wie man ihn entfernt
- So verhindern Sie, dass DDoS-Angriffe Ihre nächste Gaming-Session ruinieren
Verwandte Produkte und Services:
