DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen

Ein DDoS-Angriff oder Distributed-Denial-of-Service-Angriff ist eine verteilte Attacke auf Dienste oder Server. Sie findet meist über das öffentliche Internet statt. Der Angriff besteht dabei aus mehreren einzelnen Angriffen der Art „Denial-of-Service (DoS)”. Dabei werden einzelne Ports von Routern, Servern oder Services mit Anfragen so lange geflutet, bis die Dienste oder Rechner nicht mehr oder nur noch stark eingeschränkt verfügbar sind. Wie funktioniert so ein DDoS-Angriff und wie können Sie sich davor schützen?

Das Ziel von DDoS-Attacken ist es eigentlich immer, Server oder Webdienste zum Ausfall zu bringen. Gelingt den Angreifer:innen die Blockade von Servern, Diensten oder Schnittstellen, fordern die Cyber-Kriminellen in der Regel Geldzahlungen (meist in Kryptowährung), um die Blockade zu beenden. In wenigen Fällen stellen sie auch politische Forderungen.

Dabei stehen nicht nur populäre Dienstleister wie Amazon, Yahoo und eBay im Fokus der Angreifer. Häufig sind es auch kleinere Unternehmen, deren Server und Dienstleistungen sie außer Gefecht setzen. Gerade solche IT-Infrastrukturen sind nicht immer optimal geschützt und stellen ein leichtes Angriffsziel dar.

Dabei beobachten Expert:innen verstärkt Angriffe auf Unternehmen und eine Verschärfung der Bedrohungslage. Sowohl die bei DDoS-Attacken verwendete Bandbreite als auch die Komplexität der Vorgehensweise haben im Vergleich zum Vorjahr deutlich zugenommen. Bei der maximal eingesetzten Bandbreite verdoppelte sich das Volumen innerhalb der vergangenen 12 Monate.

Wie der DDoS-Attack-Report von Radware für das Jahr 2021 zeigt, hatte weltweit jedes KMU im ersten Quartal 2021 fast 5.000 bösartige Attacken mit einem Volumen von 2,3 Terabyte pro Monat zu blockieren und abzuwehren. Im zweiten Quartal 2021 stieg die Anzahl der blockierten Angriffe pro Unternehmen um mehr als 30 Prozent, wobei das Datenvolumen durch diese Angriffe im Vergleich zum zweiten Quartal 2020 um mehr als 40 Prozent zunahm.

Die aktuelle Radware-Studie zeigt auch, dass es im zweiten Quartal 2021 zunehmend außergewöhnliche und global organisierte DDoS-Angriffe gab. Was können Unternehmen also tun, um nicht Opfer einer solchen Attacke zu werden – oder zumindest den Schaden zu begrenzen? Der Schutz von Unternehmen vor Cyberattacken hat überall oberste Priorität.

Was sind DDoS-Angriffe?

Wenn Denial of Service-Angriffe aus mehreren, eigentlich voneinander unabhängigen („verteilten”) Quellen konzentriert ein System mit Anfragen fluten, spricht man von einem Distributed-Denial-of-Service oder kurz DDoS-Angriff. Ein DDoS-Angriff besteht somit aus unzähligen einzelnen DoS-Attacken, die im Verbund durch mehrere Rechner oder ganze Rechnersysteme gleichzeitig ausgeführt werden.

 

So funktioniert ein DDoS-Angriff

Potenzielle Ziele für DDoS-Attacken sind Router, Webserver, Mailserver, DNS-Server oder Dienste und Schnittstellen im Netzwerk. Meist befinden sich diese im (öffentlich zugänglichen) Internet und beantworten Systemanfragen der unterschiedlichsten Art wie beispielsweise Webservices, E-Mail-Dienste oder Datenserver.

Zum Start eines DDoS-Angriffs muss eine ganze Reihe von „Attackern” (Angreifern) zur Verfügung stehen. Durch Sicherheitslücken wurden die bis dato harmlosen Systeme mit Schadcode infiziert und dienen nun dazu, auf ein Signal hin am DDoS-Angriff teilzunehmen.

Meist verwenden die Cyber-Kriminellen Bot-Netze, um massenhaft Rechnersysteme für den Angriff zu vereinen und damit selbst Hochleistungsserver in die Knie zu zwingen. Computer oder allgemeiner infizierte Geräte, die an so einem Botnet-Angriff beteiligt sind, bezeichnet man als „Bot“, „Zombie“ oder auch „Slave“. Diese nehmen häufig nicht nur am Angriff selbst teil, sondern sorgen auch für die Verbreitung der Malware.

Über diese Botsysteme ist es den Cyberkriminellen überhaupt erst möglich, DDoS-Attacken zu steuern, um beispielsweise massenhaft Anfragen an andere Rechner zu senden. Ein angegriffenes System, das über keinerlei Schutzvorrichtung gegen solche Attacken verfügt, ist meist innerhalb von Sekunden nicht mehr in der Lage, die Last zu bewältigen. Die Folgen sind ein eingeschränktes Antwortverhalten oder der komplette Ausfall von Systemen. Im Zuge dieser Eliminierung von Systemen folgen häufig nachgelagerte Attacken durch andere Malware, was den Schaden erheblich vergrößert.

DDoS-Angriffe: Diese Arten gibt es

Cyber-Kriminelle nutzen unterschiedliche Arten von DDoS-Angriffen, wobei die Methoden nach den Netzwerkschichten des OSI-Modells (Open Systems Interconnection Modell für Netzwerkprotokolle, kurz OSI-Modell) klassifiziert sind. Das OSI-Modell kennt insgesamt sieben Schichten. Jede Schicht des OSI-Modells repräsentiert einen bestimmten Teil des Netzwerks. Angreifer:innen zielen auf verschiedene Ebenen ab; je nachdem, welche Art von web- oder internetbezogenen Ressourcen sie stören möchten.

Die einfachste Form des Angriffs besteht darin, Systemressourcen oder Netzwerkbandbreiten zu überlasten. Dabei werden die Netzwerk- und die Transportschicht des Netzwerks (Layer 3 und 4) blockiert. Die Angreifer:innen setzen hierbei auf Volumen und Masse der Anfragen, um ihre Ziele zu erreichen. Die Menge des erzeugten Traffics führt dabei zu einer Überlastung der Systeme.

Protokollangriffe hingegen ziehen sich durch mehrere Schichten des OSI-Modells. Über die klassischen Internet-Protokolle (XMPP, https, DNS, SMTP, TCP, UDP usw.) versuchen Angreifer:innen, die Rechenkapazität verschiedener Netzwerkinfrastrukturressourcen wie Router, Server oder Firewalls zu überlasten.

Weit verbreitet ist auch die Blockade auf Anwendungsebene (Layer 7). Die Angriffsmuster von DDoS-Attacken ändern sich jedoch ständig und stehen im Wettbewerb mit immer besseren Schutzmaßnahmen. Diese orientieren sich ebenfalls an aktuellen Angriffsmustern und werden laufend weiterentwickelt.

DDoS-Angriff: So können Unternehmen eine Attacke abwehren

Anbieter, die sich auf die Abwehr von DDoS-Attacken spezialisiert haben, bezeichnet man auch als DDoS-Mitigation-Dienstleister. Mitigation bedeutet „Abschwächung“ – und so bezeichnet DDoS-Mitigation Techniken und Tools, um mit dem Internet verbundene Netzwerke gegen DDoS- und DoS-Angriffe abzuschirmen oder deren Folgen zumindest abzumildern.

Lösungen zur DDoS-Mitigation oder DDoS-Protection arbeiten auf unterschiedlichen Ebenen. Einige sorgen durch Drosselung der verfügbaren Bandbreite für den Schutz der Systeme. Andere DDoS-Schutzlösungen gewährleisten durch Filterung des eingehenden Traffics, dass Botnet-Anfragen blockiert und nur gültige Pakete im Netz beantwortet werden. Je nach Anwendungsfall sind manche Schutzmechanismen permanent aktiv, wobei andere Lösungen sich nur im akuten Angriffsfall aktivieren.

Checkliste beim Vorgehen gegen DDoS-Angriffe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Checkliste für Unternehmen entwickelt, um DDoS-Angriffen wirksam zu begegnen:

  • Berichten Sie den Vorfall entsprechend Ihrer internen Richtlinien zur Eskalation an das Management.
  • Binden Sie den eigenen Internet-Service-Provider (ISP), beziehungsweise Hosting-Provider frühzeitig ein.
  • Schalten Sie Ihre Rechtsabteilung oder Ihren Anwalt ein und stellen Sie Strafanzeige bei der örtlichen Polizei.
  • Für die Presse- und Öffentlichkeitsarbeit müssen Sie Informationen zum Vorfall aufbereiten, um bei möglichen Presseanfragen auskunftsfähig zu sein.
  • Sie sollten Vertragspartner und/oder Kunden zeitnah informieren über die möglichen Einschränkungen bei der Verfügbarkeit von Diensten und eventuelle Datenverluste.
  • Berichten Sie den Vorfall an das BSI: Das BSI ist als zentrale IT-Sicherheitsbehörde bei größeren DDoS-Angriffen an Berichten der Betroffenen interessiert, um die aktuelle IT-Bedrohungslage in Deutschland analysieren zu können. Diese Berichte erfolgen auf freiwilliger Basis und werden vertraulich behandelt.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), www.bsi.bund.de

 

DDoS-Mechanismen und deren Abwehr

DDoS-Schutzanbieter haben eine Palette von Möglichkeiten, um bei akuten Angriffen zu reagieren und Gegenmaßnahmen einzuleiten. Diese zielen darauf ab, die Auswirkungen eines Distributed-Denial-of-Service-Angriffs zu stoppen und möglichen Schaden zu verringern. Eine Möglichkeit ist es, Server und Dienste in die Cloud zu verlegen. Cloud-basierter DDoS-Schutz bietet umfassende Sicherheit in großem Maßstab, auf dem neuesten Stand und mit modernsten Methoden. In der Folge bleiben Ihre Backend-Infrastruktur und internetbasierte Dienste verfügbar, auch wenn es zu einem Angriff kommt.

Einen wirksamen Schutz gegen DDOS-Attacken bietet auch die so genannte DDoS-Mitigation. Diese wird durch Umleitung des Datenverkehrs auf ein sogenanntes Scrubbing-Center realisiert. Hier werden alle Daten bereinigt und erst im unkritischen Zustand an den eigentlichen Ziel-Server weitergeleitet. Durch diese Vorgehensweise lassen sich Webservices und andere IP-Dienste vor Angriffen schützen. Die Umleitung ins Scrubbing-Center kann entweder via DNS oder für ganze IP-Adressbereiche erfolgen.

Eine sehr effektive Möglichkeit bietet außerdem die Auswertung des Datenverkehrs im Backbone des Netzwerkes. Im Angriffsfall lassen sich darüber angreifende IP-Adressen oder auch ganze Subnetze mit Bot-Aktivität sperren. Provider können DDoS-Angriffe jedoch erst abwehren, wenn eine DDoS-Attacke bereits läuft. Das BSI empfiehlt, mit dem Provider entsprechend vorher Methoden und Strategien zu vereinbaren und Notrufnummern auszutauschen, um im Bedarfsfall schnell reagieren zu können. Entsprechende DDoS-Schutzpakete der Provider sollten neben technischen Maßnahmen und Toolkits auch Verfahrensregeln für den Notfall enthalten.

SYN-Flood: DDoS-Attacke auf Protokollebene

Bei den DDoS-Angriffen auf Protokollebene ist die SYN-Flood-Attacke eine der bekanntesten Angriffsarten. Um die Methode zu verstehen, ist es notwendig, sich mit den Netzwerkprotokollen und speziell mit TCP-Verbindungen zu befassen. Das weithin verbreitete Transmission Control Protocol (TCP) ist das Protokoll der Wahl, wenn es darum geht, dass Systeme sich miteinander über das Internet verbinden.

Zum Aufbau einer TCP-Verbindung auf Layer 4 sendet der Client ein Paket. Der Server empfängt das SYN-Paket, notiert den Empfang in einer Verbindungstabelle und schickt ein SYN-ACK-Paket zurück. Der Client sendet dann ein ACK-Paket (von englisch acknowledgement, also als Quittierung) als Empfangsbestätigung an den Server, um den Verbindungsaufbau abzuschließen. Dieser Vorgang wird als „Drei-Wege-Handshake” bezeichnet.

Während eines SYN-Flood-Angriffs sendet der von Malware befallene Client eines Botnetzes massenhaft SYN-Pakete, jedoch niemals eine Bestätigung zum Abschluss des Handshakes. Dadurch wartet der Server auf eine Antwort für diese halboffenen TCP-Verbindungen, wobei er ständig neue Verbindungen durch ankommende Pakete offen halten muss. Nach kurzer Zeit ist es nicht mehr möglich, weitere Verbindungen herzustellen – und die Website ist nicht mehr erreichbar.

HTTP-Flood: Eine DDoS-Attacke auf Anwendungsebene

DDoS-Attacken auf der Anwendungsschicht (Layer 7) basieren auf bereits aufgebauten Verbindungen und haben sich zu einer der häufigsten Angriffsformen entwickelt. Sie zielen darauf ab, die Überlastung einer Webapplikation durch eine Flut von HTTP-Anfragen hervorzurufen – daher auch der Name „HTTP-Flood”.

Attacken auf der Applikationsebene werden häufig nicht sofort bemerkt, da es sich um Standard-URL-Anfragen handelt, die sich wie regulärer Traffic verhalten. Nur entsprechende Layer-7-Schutzmaßnahmen und Zugriffsauswertungen, die automatisch auf ungewöhnliche Auslastung reagieren, bieten hier wirksamen Schutz und können einen Angriff tatsächlich abwehren.

DNS-Amplification: DDoS-Angriff zur Überlastung des Datennetzes

Beim DNS-Amplification-Angriff (engl. „amplification” für Verstärkung) konzentrieren Angreifer:innen gezielt DNS-Datenströme auf den Internetanschluss der Zielsysteme, um diese damit zu blockieren. Sie nutzen dabei den Effekt, dass Namensserver in bestimmten Fällen auf kurze Anfragepakete mit sehr langen Paketen antworten. Je nach DNS-Anfrage sendet der Server unterschiedlich lange Pakete zurück. Solch eine Anfrage kann beispielsweise die nach der Adresse zu einem bestimmten Namen sein. Durch diese Methode ist es möglich, aus einer 60 Bytes umfassende Anfrage eine mehr als 3.000 Bytes lange Antwort provozieren. Das Datenvolumen vergrößert sich also um den Faktor 50.

Bei einem dokumentierten Angriffsfall auf die Antispam-Organisation „spamhaus.org” führte eine 36-Byte-Anfrage zu Antworten von über 3.000 Zeichen, was fast einer Vergrößerung um den Faktor 100 entspricht. Besonders heimtückisch bei dieser Angriffsart ist, dass für Opfer derartiger Angriffe meist nur die IP-Adressen der Nameserver sichtbar sind, nicht aber die des oder der eigentlichen Angreifer:in.

DRDoS: Die Sonderform der DDoS Attacke

Bei einer Distributed-Reflected-Denial-of-Service-Attacke (DRDoS) handelt es sich um eine Sonderform des DoS-Angriffs. Hierbei werden der betroffene Server oder die Website nicht direkt, sondern über einen Dritten angegriffen. Meist handelt es sich dabei reguläre Internetdienste, die durch IP-Spoofing oder andere Techniken manipuliert werden, um Traffic auf das jeweilige Ziel zu leiten.

Beim IP-Spoofing werden einzelne IP-Pakete mit gefälschter Absender-IP-Adresse an das Zielsystem geschickt. Ähnlich dem DoS-Angriff besteht auch hier das Prinzip darin, massenhaft Anfragen zu verschicken, bis sie die betroffenen Systeme blockiert oder lahmgelegt haben.

DDoS-Bedeutung in der Zukunft

DoS-Angriffe sind für Unternehmen weitaus verheerender als noch vor ein paar Jahren. Der Erfolg des Internets der Dinge (IoT) dürfte diesen Trend weiter verstärken. Dabei gibt es wirkungsvolle Schutzlösungen, die DDoS-Gefahren effektiv bannen. Statische, regelbasierte Angriffstaktiken gehören inzwischen der Vergangenheit an. Die Zukunft gehört deshalb Lösungen, die KI-gestützt automatisch und permanent Datenströme analysieren und adaptive Sicherheitsstrategien ableiten.

Die Entwicklung dieser Security-Lösungen steht dabei im ständigen Wettbewerb mit zunehmend ausgefeilteren Angriffsmethoden. Doch wenn Unternehmen und Security-Dienstleister die Abwehrmechanismen ständig an die Bedrohungslage anpassen, lassen sich Sicherheitspannen und damit verbundene Geschäfts- und Reputationsverluste auch in Zukunft vermeiden. Ein vielversprechender Weg zu insgesamt sichereren Systemen ist die Bündelung von Sicherheitsanforderungen und Aktualisierungen in der Cloud. Das entlastet nicht nur die hauseigene IT-Abteilung, sondern hält auch alle verwendeten Systeme automatisch auf dem neuesten Stand.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/ddos-angriffe-was-dahinter-steckt-und-wie-sie-sich-wirksam-vor-attacken-schuetzen/