Distributed Denial-of-Service (DDoS)

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff (Distributed Denial-of-Service) ist ein böswilliger Versuch, den normalen Datenverkehr eines Servers, Dienstes oder Netzwerks zu unterbrechen, indem das Ziel oder die umgebende Infrastruktur mit einer enormen Menge an Internetdatenverkehr überflutet wird. DDoS-Angriffe sind effektiv, da sie mehrere kompromittierte Computersysteme als Quellen des Angriffsdatenverkehrs nutzen. Zu den auf diese Weise ausgenutzten Maschinen können Computer und andere vernetzte Ressourcen wie z. B. IoT-Geräte gehören. Allgemein gesprochen ist ein DDoS-Angriff wie ein Verkehrsstau, der die Straße blockiert und so verhindert, dass der normale Verkehr am gewünschten Ziel ankommt.

Wie funktioniert ein DDoS-Angriff?

Bei einem DDoS-Angriff muss ein Angreifer die Kontrolle über ein Netzwerk von Onlinemaschinen erlangen, um einen Angriff durchzuführen. Computer und andere Maschinen (z. B. IoT-Geräte) werden mit Malware infiziert und in Bots (oder Zombies) umgewandelt. Der Angreifer kann dann die Gruppe von Bots, die als Botnet bezeichnet wird, per Fernsteuerung kontrollieren.

Sobald ein Botnet aufgebaut wurde, kann der Angreifer die Maschinen durch das Senden von aktualisierten Anweisungen an jeden Bot über eine Methode der Fernsteuerung steuern. Wenn die IP-Adresse eines Opfers Ziel des Botnets ist, sendet jeder Bot Anfragen an das Ziel. Dies kann die Kapazität des angegriffenen Servers oder Netzwerks überlasten, sodass dem normalen Datenverkehr der Dienst verweigert wird (Denial of Service), d. h. nicht zur Verfügung steht. Da jeder Bot ein legitimes Internetgerät ist, kann es schwierig sein, den Angriffsdatenverkehr vom normalen Datenverkehr zu trennen.

Was sind gängige Typen von DDoS-Angriffen?

Unterschiedliche DDoS-Angriffsvektoren zielen auf unterschiedliche Komponenten einer Netzwerkverbindung. Um zu verstehen, wie verschiedene DDoS-Angriffe funktionieren, ist es notwendig zu wissen, wie eine Netzwerkverbindung hergestellt wird. Eine Netzwerkverbindung im Internet besteht aus vielen verschiedenen Komponenten oder „Ebenen“ (Layers). Wie beim Bau eines Hauses hat jeder Schritt im Modell einen anderen Zweck. Das OSI-Modell ist ein konzeptionelles Framework, das zur Beschreibung der Netzwerkkonnektivität in sieben verschiedenen Ebenen verwendet wird.

Wie wird ein DDoS-Angriff abgewehrt?

Mehr über DDoS erfahren

Bei fast allen DDoS-Angriffen wird ein Zielgerät oder Zielnetzwerk mit Datenverkehr überflutet. Die Angriffe lassen sich in drei Kategorien unterteilen. Ein Angreifer kann einen oder mehrere verschiedene Angriffsvektoren verwenden oder Angriffsvektoren basierend auf Gegenmaßnahmen des Ziels wechseln.

Im modernen Internet hat der DDoS-Datenverkehr viele Formen. Der Datenverkehr kann von unverfälschten Single-Source-Angriffen bis zu komplexen und adaptiven Multi-Vektor-Angriffen reichen. Ein Multi-Vektor-DDoS-Angriff verwendet mehrere Angriffspfade, um ein Ziel auf unterschiedliche Weise zu überlasten und Maßnahmen zur Abwehr des Angriffs auf jedem Angriffspfad abzulenken. Ein Angriff, der mehrere Ebenen des Protokollstacks gleichzeitig ins Visier nimmt, z. B. ein DNS-Amplification-Angriff (mit den Ebenen 3 und 4 als Ziel) in Verbindung mit einem HTTP-Flood-Angriff (mit Ebene 7 als Ziel), ist ein Beispiel für einen Multi-Vektor-DDoS-Angriff.

Die Bekämpfung eines Multi-Vektor-DDoS-Angriffs erfordert eine Vielzahl von Strategien, um verschiedene Angriffswege abzudecken. Je komplexer der Angriff ist, desto schwieriger ist es, den Angriffsdatenverkehr vom normalen Datenverkehr zu trennen. Das Ziel des Angreifers ist es, sich so gut wie möglich mit dem regulären Datenverkehr zu vermischen, um Gegenmaßnahmen so ineffizient wie möglich zu machen. Versuche einer Abwehr des Angriffs, die eine wahllose Einstellung oder Begrenzung des Datenverkehrs umfassen, können regulären Datenverkehr (Good Traffic) zusammen mit dem Angriffsdatenverkehr (Bad Traffic) abweisen. Der Angriff kann außerdem verändert und angepasst werden, um Gegenmaßnahmen zu umgehen. Wenn es darum geht, einen komplexen Versuch einer Unterbrechung zu vereiteln, bietet eine mehrstufige Lösung den größten Nutzen.

Web Application Firewall (WAF)

Was ist eine Web Application Firewall?

Eine Web Application Firewall (WAF) schützt Webanwendungen, indem sie den HTTP-Datenverkehr zwischen einer Webanwendung und dem Internet filtert und überwacht. Sie schützt Webanwendungen in der Regel vor Angriffen wie Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion, SQL-Injection und mehr. Eine WAF ist eine Schutzmaßnahme der Protokollebene 7 (Layer 7) im OSI-Modell. Sie schützt jedoch nicht vor allen Arten von Angriffen. Diese Methode zur Abwehr von Angriffen ist normalerweise Teil einer Suite von Tools, die zusammen ganzheitlichen Schutz vor verschiedenen Angriffsvektoren bieten.

Durch Implementierung einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet platziert. Während ein Proxy-Server die Identität einer Clientmaschine durch Verwendung eines Vermittlers schützt, ist eine WAF eine Art Reverse Proxy. Sie schützt den Server, da Clients die WAF passieren müssen, bevor sie den Server erreichen.

Eine WAF arbeitet mit einer Reihe von Regeln, die häufig als Richtlinien bezeichnet werden. Diese Richtlinien schützen vor Sicherheitslücken innerhalb der Anwendung, indem sie böswilligen Datenverkehr herausfiltern. Einer der Vorteile einer WAF besteht darin, dass eine Richtlinienänderung schnell und einfach implementiert werden kann, sodass eine schnellere Reaktion auf verschiedene Angriffsvektoren möglich ist. Während eines DDoS-Angriffs kann durch eine Änderung der WAF-Richtlinien schnell eine Durchsatzbegrenzung festgelegt werden.

Was ist der Unterschied zwischen Blacklist- und Whitelist-WAFs?

Mehr über WAF erfahren

Eine WAF, die auf der Basis einer Blacklist (negatives Sicherheitsmodell) arbeitet, schützt vor bekannten Angriffen. Denken Sie bei einer Blacklist-WAF an einen Türsteher eines Clubs, der angewiesen ist, jedem Gast, der nicht dem Dresscode entspricht, den Eintritt zu verweigern. Umgekehrt lässt eine WAF auf der Basis einer Whitelist (positives Sicherheitsmodell) nur den Datenverkehr zu, der zuvor genehmigt wurde. Dies ist mit dem Türsteher bei einer exklusiven Party zu vergleichen, der nur Personen hereinlässt, die auf der Einladungsliste stehen. Sowohl Blacklists als auch Whitelists haben ihre Vor- und Nachteile, weshalb viele WAFs ein Hybrid-Sicherheitsmodell anbieten, das beides nutzt.

Content Delivery Network (CDN)

Was ist ein Content Delivery Network?

Ein Content Delivery Network (CDN) bezeichnet eine geografisch verteilte Gruppe von Servern, die zusammenarbeiten, um eine schnelle Bereitstellung von Internetinhalten zu ermöglichen. Ein CDN erlaubt die schnelle Übertragung von Assets, die für das Laden von Internetinhalten erforderlich sind, darunter HTML-Seiten, JavaScript-Dateien, Stylesheets, Bilder und Videos. Die Popularität von CDN-Services nimmt weiter zu, und heute wird der Großteil des Webdatenverkehrs über CDNs bereitgestellt.

Wie funktioniert ein CDN?

Im Kern ist ein CDN ein Netzwerk von Servern, die miteinander verbunden sind und das Ziel haben, Inhalte so schnell, kostengünstig, zuverlässig und sicher wie möglich bereitzustellen. Um die Geschwindigkeit und Konnektivität zu verbessern, platziert ein CDN Server an den Knotenpunkten zwischen verschiedenen Netzwerken. Diese Internetknoten (Internet Exchange Points, IXPs) sind die Hauptstandorte, an denen verschiedene Internet-Provider eine Verbindung herstellen, um sich gegenseitig Zugriff auf Datenverkehr, der aus ihren verschiedenen Netzwerken stammt, zu ermöglichen. Durch die Anbindung an diese extrem schnellen und vernetzten Standorte ist ein CDN-Anbieter in der Lage, Kosten und Antwortzeiten bei der schnellen Datenbereitstellung zu reduzieren.

Wie verbessert ein CDN die Website-Ladezeiten?

Mehr über CDN erfahren

Wenn Websites Inhalte zu langsam laden, geben die Benutzer schnell auf. Da ein CDN global verteilt ist, wird die Distanz zwischen Nutzern und Websiteressourcen geringer. Anstatt eine Verbindung zum Ursprungsserver einer Website herstellen zu müssen, können Benutzer über ein CDN eine Verbindung zu einem geografisch nähergelegenen Rechenzentrum herstellen. Eine kürzere Übertragungszeit bedeutet schnelleren Service.

Domain Name System (DNS)

Was ist DNS?

Das Domain Name System (DNS) ist das Telefonbuch des Internets. Der Zugriff auf Informationen erfolgt online über Domänennamen wie nytimes.com oder espn.com. Web-Browser interagieren über IP-Adressen (Internet Protocol). Das DNS übersetzt Domänennamen in IP-Adressen, damit Browser Internetressourcen laden können.

Jedes mit dem Internet verbundene Gerät verfügt über eine eindeutige IP-Adresse, die von anderen Maschinen verwendet wird, um das Gerät zu finden. Bei DNS-Servern entfällt die Notwendigkeit, IP-Adressen wie 192.168.1.1 (in IPv4) oder komplexere neuere alphanumerische IP-Adressen wie 2400:cb00:2048:1:c629:d7a2 (in IPv6) zu speichern.

Wie funktioniert das DNS?

Bei der DNS-Auflösung wird ein Hostname (z. B. www.ibm.com) in eine computerfreundliche IP-Adresse (z. B. 192.168.1.1) konvertiert. Jedem Gerät im Internet wird eine IP-Adresse zugewiesen, die erforderlich ist, um das Gerät im Internet zu finden – genauso wie eine Straßenadresse verwendet wird, um ein bestimmtes Haus zu finden. Wenn ein Benutzer eine Webseite laden möchte, muss eine Übersetzung zwischen der Eingabe des Benutzers in seinem Web-Browser (example.com) und der maschinenfreundlichen Adresse erfolgen, die notwendig ist, um die Webseite example.com zu finden.

Um den Prozess hinter der DNS-Auflösung zu verstehen, ist es wichtig, die verschiedenen Hardwarekomponenten zu kennen, die eine DNS-Abfrage durchlaufen muss. Für den Web-Browser findet die DNS-Suche „hinter den Kulissen“ statt und erfordert keine Interaktion vom Computer des Benutzers, abgesehen von der ursprünglichen Anfrage.

Was ist ein DNS-Resolver?

Mehr über DNS erfahren

Der DNS-Resolver ist der erste Stopp in der DNS-Suche. Er ist für den Umgang mit dem Client verantwortlich, der die erste Anfrage gestellt hat. Der Resolver startet die Folge von Abfragen, die letztendlich dazu führt, dass eine URL in die erforderliche IP-Adresse übersetzt wird.

Hinweis: Eine typische nicht zwischengespeicherte DNS-Suche umfasst sowohl rekursive als auch iterative Abfragen.

Es ist wichtig, zwischen einer rekursiven DNS-Abfrage und einem rekursiven DNS-Resolver zu unterscheiden. Die Abfrage bezieht sich auf die Anfrage an einen DNS-Resolver zur Auflösung der Abfrage. Ein rekursiver DNS-Resolver ist der Computer, der eine rekursive Abfrage akzeptiert und die Antwort verarbeitet, indem er die erforderlichen Anfragen stellt.

Legen Sie los

Bereit loszulegen? Mit unserem Portal und der API ist ein schnelleres und sichereres Internet nur wenige Klicks entfernt.