Distributed-Denial-of-Service-Attacke: Die unterschätzte Gefahr aus dem Internet!

Die Anzahl und die Wucht vielversprechender Distributed-Denial-of-Service-Attacken nehmen von Jahr zu Jahr zu. Parallel entfachen sie zusätzlich zu großen Ausfallzeiten einen gesamtwirtschaftlichen Schadensfall in Milliardenhöhe. Vor diesem Hintergrund ist die Implementierung geeigneter IT-Schutzmaßnahmen zur Abwehr von Distributed-Denial-of-Service-Attacken heutzutage wichtiger denn je. Erfahren Sie in den folgenden Kapiteln wie eine Distributed-Denial-of-Service-Attacke verläuft, warum sie nicht verkannt werden darf und mit welchen IT-Schutzmaßnahmen Sie sich selbst und Ihr Unternehmen intelligent, schnell und effizient davor schützen können.

Egal ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder Virtual und Augmented Reality: Digitale Technologien sind aus dem Geschäftsleben nicht mehr wegzudenken. Sie ändern vorhandene Arbeitsformen, gestalten Wertschöpfungsprozesse und setzen unerwartete Wachstumspotenziale frei. Mehr sogar: Der Gebrauch digitaler Technologien entscheidet inzwischen im zunehmenden Maße über die Konkurrenzfähigkeit, die Robustheit und die jeweilige Zukunftsfähigkeit eines Betriebs.

Dennoch verhelfen digitale Technologien nicht nur Betriebe zu Höhenflügen – auch Internetkriminelle profitieren von den vielfältigen Optionen immer fortschrittlicherer Angriffsmethoden.

In den vergangenen Jahren ist hier vor allem der Trend zu Distributed-Denial-of-Service-Attacken explodiert. Bei einer Distributed-Denial-of-Service-Attacke handelt es sich um eine ganz besondere Angriffsform, die sich vom herkömmlichen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke sowie andere Netzwerkressourcen eines Betriebs mit einer großen Anzahl simultaner Verbindungsanfragen oder inkorrekten Paketen zu überlasten und auf diese Weise zu verlangsamen oder sogar ganz lahmzulegen. Oftmals nutzen die Bedrohungsakteure hierzu kompromittierte Computer und Endgeräte, welche sie per Fernbedienung zu solch einem Botnetz vereinen und anschließend auf ein Zielsystem sowie dessen Dienste richten. Hierbei kann die Multiplikation der Angriffsquelle, also die Dimension des Botnetzes, die Effektivität der Distributed-Denial-of-Service-Attacke bestärken und dazu beitragen die Identität der Bedrohungsakteure zu verheimlichen.

Distributed-Denial-of-Service-Attacken auf dem Vormarsch!

Distributed-Denial-of-Service-Attacken sind keine neue Gefahr. Vor knapp 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde plötzlich von 114 Computern attackiert, die mit einer Malware namens Trin00 infiziert waren.

Seither kennt die Dynamik der Distributed-Denial-of-Service-Attacken wesentlich nur die Richtung nach droben, wie auch die nachfolgenden Beispiele aus jüngster Vergangenheit zeigen:

• Auf diese Weise wehrte Microsoft, laut seinem DDoS-Jahresbericht, in der Jahreshälfte von 2021 nahezu 360.000 DDoS-Attacken gegen die Logistik ab. Darunter eine Attacke mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.

• Der IT-Sicherheitsdienst Cloudflare schildert im Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgeblockt zu haben, bei welcher Internetkriminelle über 17 Millionen Nachfragen pro Sekunde verschickten.

• Die Firma Netscout registrierte im Jahre 2020 zum ersten Mal über 10 Millionen Distributed-Denial-of-Service-Attacken pro Jahr. Im ersten Halbjahr 2021 wurden daraufhin fast 5,4 Millionen Distributed-Denial-of-Service-Attacken vernommen. Dies ist ein Zuwachs von 11 Prozent gegenüberliegend des gleichen Zeitraums 2020.

• Außerdem beweist der DDoS-Report 2021 (siehe PDF) von Imperva, dass bei etwa 12 % jeglicher Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen verwickelt waren.

Arten von DDoS-Angriffen:

Generell können sich Distributed-Denial-of-Service-Attacken gegen alle der 7 Schichten im Rahmen des OSI-Modells für Netzwerkverbindungen ausrichten. Die drei Schlüsselarten sind:

1. Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Form von Distributed-Denial-of-Service-Attacken. Bei jener Angriffsart wird die vorhandene Palette durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. So wird verhindert, dass legitime Verbindungsanfragen eintreffen. Zu der Fraktion zählen beispielsweise UDP -Flood-Attacken.

• UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff senden Angreifer eine gewaltige Anzahl von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um sie dadurch zu überlasten, solange bis sie nicht mehr erwidern.

2.     Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken zielen darauf ab, die Ressourcen und den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überlasten und zu verbrauchen. Am gängigsten sind in dem Zusammenhang sogenannte HTTP Flood-Attacken.

• HTTP-Flood-Attacken: Bei der leichtesten DDoS-Angriffsvariante zur Ressourcenüberlastung überfluten Bedrohungsakteure den Webserver eines Zielsystems mit einer Masse von HTTP-Requests. Zu diesem Sinn und Zweck muss dieser lediglich irgendwelche Seiten des Zielprojekts aufrufen, bis der Webserver unter der Last an Anfragen zerbricht.

3.     Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken zielen auf Protokolle der Netzwerk- oder Transportschicht ab und nutzen Schwachpunkte in diesen Protokollen, um das Zielsystem mit unvollständigen oder fehlerhaften Verbindungsanfragen zu überfordern. Zu den gängigsten protokollbasierten Distributed-Denial-of-Service-Attacken gehören:

• die ICMP-Flood-Attacke: Bei einer ICMP-Flood-Attacke (ICMP = Internet Control Message Protocol) überfluten die Bedrohungsakteure den Webserver mit unzähligen ICMP-Anfragen. Bei diesem Angriff wird versucht, die Kompetenz des Webservers, auf Anfragen zu antworten, zu behindern und damit gültige Anfragen zu blockieren.
   
• die SYN-Flood-Attacke: Bei diesem Angriffsmuster versuchen die Bedrohungsakteure durch das wiederholte Senden von Synchronisationspaketen, knapp SYN-Paketen, alle verfügbaren Ports auf einem Zielservercomputer zu überfordern, so dass das Zielgerät lediglich schleichend oder gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe gelingen unter Verwertung des Handshake-Prozesses der TCP-Verbindung.

4.     Multivektorangriffe: Bei Multivektorangriffen werden verschiedene Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken kombiniert, um ein Zielsystem und dessen Dienste ganz zu überwältigen wie auch es zum Absturz zu zwingen. Kombinierte Multivektorangriffe sind besonders schwierig abzuwehren und verlangen daher eine durchdachte wie auch vielseitige Abwehrstrategie.

So verhindern Sie Distributed-Denial-of-Service-Attacken!

Da Distributed-Denial-of-Service-Attacken sehr komplex sind, sollten Betriebe auf unterschiedlichen Arten IT-Abwehrmaßnahmen implementieren.

Erfolgversprechende Ansätze enthalten meist folgende Aspekte:

• Identifikation kritischer IP-Adressen sowie das Schließen bekannter Sicherheitslücken
• Web Application Firewalls: Im Gegensatz zu konventionellen Firewalls untersuchen Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind dadurch in der Position Attacken auf Anwendungsebene zu entdecken
• IP-Sperrlisten: IP-Sperrlisten ermöglichen es, kritische IP-Adressen zu erkennen und Datenpakete geradewegs zu verwerfen. Jene Sicherheitsmaßnahme lässt sich per Hand umsetzen oder durch flexibel erzeugte Sperrlisten über die Firewall automatisieren.
• Filterung: Mit dem Ziel, gefährliche Datenpakete herauszufiltern, ist es machbar, Grenzwerte für Datenmengen in dem bestimmten Zeitraum zu bestimmen. Hierbei ist jedoch zu beachten, dass Proxys mitunter dazu leiten, dass viele Clients mit derselben IP-Adresse beim Webserver angemeldet und eventuell unbegründet blockiert werden.
• SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau in den Fokus. Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Daten über SYN-Pakete nicht mehr ausschließlich auf dem Webserver gesichert, sondern in Form von Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so allerdings Rechenkapazität, belasten hingegen nicht den Speicher des Zielsystems.
• Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überanstrengung ist eine Lastenverteilung auf mehrere Systeme, wie diese durch Load-Balancing ermöglicht wird. Im Zuge dessen wird die Hardware-Auslastung bereitgestellter Services auf mehrere physische Geräte verteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem bestimmten Maß erwischen.

Überlassen Sie bei der Abwehr von Distributed-Denial-of-Service-Attacken nichts dem Zufall!

Distributed-Denial-of-Service-Attacken nehmen zu und können zukünftig noch großvolumiger und umfassender stattfinden. Mit dem Ziel, große Betriebsunterbrechungsschäden und teils unkalkulierbaren Reputationsverlust zu verhindern, ist es höchste Zeit, dass Unternehmen eine verbesserte Sensibilität zu Distributed-Denial-of-Service-Attacken erzeugen und umfassende IT-Schutzmaßnahmen zur Prävention und Mitigation einführen. Mit dem Ziel, die Unternehmen bei der Recherche und Selektion zu stützen hat das Bundesamt für Sicherheit in der EDV, knapp BSI, eine Erleichterung zur Kennung qualifizierter Überwachungsunternehmen für die Verteidigung von Distributed Denial-of-Service-Attacken publiziert.

Möchten auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten sowie Dienste mit leistungsfähigen DDoS-Sicherheitslösungen schützen? Sind sie auf der Suche nach einem qualifizierten Sicherheitsdienstleister oder haben weitere Fragen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an!