Was ist Distributed Denial-of-Service (DDoS)-Schutz?

Während der IBM® X-Force Threat Intelligence Index berichtet, dass DDoS-Angriffe nur 2 % der Angriffe ausmachen, auf die X-Force reagiert, können die durch diese Angriffe verursachten Störungen kostspielig sein. Tatsächlich weist der IBM Cost of a Data Breach Report darauf hin, dass die Kosten für entgangene Geschäfte aufgrund eines Cyberangriffs im Durchschnitt 1,47 Millionen USD betragen.

Durch die Implementierung starker DDoS-Schutzmaßnahmen können Sie die Systemverfügbarkeit gewährleisten, Ausfallzeiten und Betriebsunterbrechungen verhindern und den Ruf Ihres Unternehmens schützen.

Die Prävention von DDoS-Angriffen beginnt damit, zu verstehen, worauf sie in der Regel abzielen. Der Datenverkehr bei DDoS-Angriffen konzentriert sich in der Regel auf eine der drei Schichten des OSI-Netzwerkmodells (Open Systems Interconnection):

• Die Anwendungsschicht (Schicht 7) ist die oberste Schicht, in der benutzerseitige Anwendungen mit einem Netzwerk interagieren.
• Die Transportschicht (Schicht 4) ist die Schicht, auf der Daten zu und von einzelnen Anwendungen übertragen werden.
• Die Netzwerkschicht (Schicht 3), die Datenadressierung, Routing und Weiterleitungsprozesse für Geräte übernimmt, die über verschiedene Netzwerke hinweg interagieren. 

Angriffe auf die Anwendungsschicht zielen auf die Anwendungsschicht eines Netzwerks ab. Ein Beispiel hierfür ist ein HTTP-Flood-Angriff, bei dem ein Angreifer eine überwältigende Anzahl von HTTP-Anfragen von mehreren Geräten an dieselbe Website sendet, um diese zum Absturz zu bringen. DNS-Abfrageflut-Angriff Domain Name System (DNS)-Server werden mit Anfragen nach gefälschten Websites überlastet.

Protokollangriffe zielen auf die Netzwerk- und Transportschichten ab. Beispiele hierfür sind SYN-Flood-Angriffe, die den TCP-Handshake – einen Prozess, bei dem zwei Geräte eine Verbindung miteinander herstellen – ausnutzen, um Server mit gefälschten Paketen zu überlasten. Smurf-Angriffe nutzen das Internet Control Message Protocol (ICMP) aus und überfluten das Gerät des Opfers mit Hunderten oder Tausenden von ICMP-Echo-Antworten.

Volumetrische Angriffe verbrauchen die gesamte verfügbare Bandbreite innerhalb des angegriffenen Netzwerks oder zwischen dem angegriffenen Service und dem Rest des Internets, wodurch eine Verbindung legitimer Benutzer zu Netzwerkressourcen verhindert wird. 

Beispiele hierfür sind UDP-Floods, bei denen gefälschte UDP-Pakete (User Datagram Protocol) an die Ports eines Zielhosts gesendet werden. Die Ressourcen des Hosts werden in einem vergeblichen Versuch gebunden, eine Anwendung zu finden, die diese gefälschten Pakete empfängt. ICMP-Floods, auch „Ping-Flood-Angriffe“ genannt, bombardieren Ziele mit ICMP-Echo-Anfragen von mehreren gefälschten IP-Adressen.

Multivektor-Angriffe nutzen mehrere Angriffsvektoren oder Knotenpunkte statt einer einzigen Quelle, um den Schaden zu maximieren und DDoS-Abwehrmaßnahmen zu vereiteln.

Es ist möglich, mehrere Vektoren gleichzeitig zu nutzen oder mitten im Angriff zwischen den Vektoren zu wechseln, wenn einer von ihnen abgewehrt wurde. So kann ein Angriff beispielsweise mit einem Smurf-Angriff beginnen, aber, sobald die Netzwerkgeräte keinen bösartigen Datenverkehr mehr senden können, mit einem UDP-Flood-Angriff vom Botnet fortgesetzt werden.

Natürlich. Laut dem US Federal Bureau of Investigation (FBI) ist die Teilnahme an Distributed Denial-of-Service-Angriffen (DDoS) und DDoS-for-Hire-Services illegal. Das FBI und andere Strafverfolgungsbehörden untersuchen DDoS-Angriffe als Cyberkriminalität.“ Folgende Strafen sind möglich:

• Beschlagnahmung von Computern und anderen elektronischen Geräten
• Festnahme und strafrechtliche Verfolgung
• Erhebliche Haftstrafen
• Geldstrafen

DDoS-Sicherheitslösungen und -dienste basieren häufig auf automatischen Erkennungs- und Reaktionsfunktionen, mit denen Unternehmen ungewöhnliche Muster oder verdächtige Spitzen im Netzwerkverkehr in Echtzeit erkennen und darauf reagieren können. Wenn ungewöhnliche Aktivitäten erkannt werden, blockieren viele DDoS-Schutzlösungen sofort bösartigen Datenverkehr oder schließen Schwachstellen, die Angreifer ausnutzen könnten.

Zu den gängigen Tools und Techniken zur Verhinderung und Eindämmung von DDoS-Angriffen gehören:

Ein „Black Hole“ – auch als „Nullroute“ bezeichnet – ist ein Teil eines Netzwerks, in dem eingehender Datenverkehr gelöscht wird, ohne verarbeitet oder gespeichert zu werden. Blackhole-Routing bedeutet, dass eingehender Datenverkehr zu einem Blackhole umgeleitet wird, wenn ein DDoS-Angriff vermutet wird.

Der Nachteil ist, dass das Blackhole-Routing die Guten zusammen mit den Schlechten verwerfen kann. Gültiger und vielleicht wertvoller Datenverkehr kann auch weggeworfen werden, was das Routing von Blackholes zu einem einfachen, aber stumpfen Instrument im Angesicht eines Angriffs macht.

Tools zur Identifizierung und Verwaltung von Bots helfen bei der Bekämpfung von DDoS-Bedrohungen, indem sie bösartigen Datenverkehr von Bots identifizieren.

Einige Bots – wie beispielsweise die Bots, die Google zum Indizieren von Seiten in Suchergebnissen verwendet – sind harmlos. Einige werden jedoch für böswillige Zwecke verwendet. Beispielsweise werden viele DDoS-Angriffe mithilfe von Botnets durchgeführt. Botnets sind Botnets sind Netzwerke von Bots, die Cyberkriminelle erstellen, indem sie Laptops und Desktop-Computer, Mobiltelefone, Internet of Things (IoT)-Geräte und andere Verbraucher- oder gewerbliche Endgeräte übernehmen.

Bot-Management-Software wird häufig eingesetzt, um unerwünschten oder bösartigen Internet-Bot-Verkehr zu blockieren und gleichzeitig nützlichen Bots den Zugriff auf Webressourcen zu ermöglichen. Viele dieser Tools verwenden künstliche Intelligenz (KI) und maschinelles Lernen (ML), um Bots von menschlichen Besuchern zu unterscheiden. Bot-Management-Software kann potenziell schädliche Bots mit CAPTCHA-Tests oder anderen Herausforderungen blockieren und Bots, die das System überlasten könnten, automatisch einschränken oder ablehnen. 

Ein CDN ist ein Netzwerk verteilter Server, mit dem Benutzer schneller und zuverlässiger auf Online-Dienste zugreifen können. Mit einem CDN werden die Anfragen der Benutzer nicht an den Ursprungsserver des Dienstes zurückgesendet. Stattdessen werden Anfragen an einen geografisch näher gelegenen CDN-Server weitergeleitet, der den Inhalt bereitstellt.

CDNs können DDoS-Abwehrmaßnahmen unterstützen, indem sie die Gesamtkapazität eines Dienstes für den Datenverkehr erhöhen. Wenn ein CDN-Server durch einen DDoS-Angriff offline genommen wird, kann der Benutzerverkehr an andere verfügbare Serverressourcen im Netzwerk weitergeleitet werden.

Endpoint Detection and Response (EDR), Netzwerkerkennung und -reaktion (NDR), Benutzer- und Entitätsverhaltensanalyse (UEBA) und ähnliche Tools können die Netzwerkinfrastruktur und Verkehrsmuster auf Anzeichen von Kompromittierung überwachen. Sie arbeiten häufig mit Basismodellen des normalen Netzwerkverhaltens und identifizieren Abweichungen vom Modell, die auf bösartigen Datenverkehr hindeuten könnten.

Wenn diese Systeme mögliche DDoS-Signale erkennen, wie zum Beispiel ungewöhnliche Verkehrsmuster, können sie in Echtzeit auf Zwischenfälle reagieren, wie zum Beispiel das Beenden verdächtiger Netzwerkverbindungen.

Geräte-Fingerabdrücke verwenden Informationen, die über Software und Hardware gesammelt wurden, um die Identität bestimmter Computergeräte zu bestimmen. Einige DDoS-Schutztools, wie beispielsweise Bot-Managementsysteme, verwenden Datenbanken mit Fingerabdrücken, um bekannte Bots zu identifizieren oder Geräte mit nachgewiesener oder vermuteter böswilliger Absicht herauszufiltern.

Beim Load Balancing wird der Netzwerkverkehr auf mehrere Server verteilt, um die Verfügbarkeit von Anwendungen zu optimieren. Load Balancing kann zur Abwehr von DDoS-Angriffen beitragen, indem er den Datenverkehr automatisch von überlasteten Servern wegleitet.

Unternehmen können hardware- oder softwarebasierte Load Balancer installieren, um den Datenverkehr zu verarbeiten. Sie können auch Anycast-Netzwerke nutzen, wodurch eine einzelne IP-Adresse mehreren Servern oder Knoten an mehreren Standorten zugewiesen werden kann, sodass der Datenverkehr auf diese Server verteilt werden kann. Normalerweise wird eine Anfrage an den optimalen Server gesendet. Wenn der Datenverkehr zunimmt, wird die Last verteilt, sodass die Server weniger überlastet werden können.

Diese Anwendungen können physische Geräte oder virtuelle Maschinen sein, die im Netzwerk eines Unternehmens installiert sind. Sie überwachen den eingehenden Datenverkehr, erkennen verdächtige Muster und blockieren oder begrenzen potenziell gefährlichen Datenverkehr.

Da diese Geräte lokal installiert sind, müssen sie keinen Datenverkehr zur Überprüfung oder Bereinigung an einen cloudbasierten Service senden. On-Premises-DDoS-Schutzgeräte können für Unternehmen nützlich sein, die geringe Latenzzeiten benötigen, wie beispielsweise Konferenz- und Gaming-Plattformen. 

Die Protokollfilterung analysiert den Netzwerkverkehr anhand des normalen Verhaltens gängiger Kommunikationsprotokolle wie TCP, DNS und HTTPS. Wenn der Datenverkehr, der ein bestimmtes Protokoll verwendet, von der Norm dieses Protokolls abweicht, können Protokollfilter-Tools ihn markieren oder blockieren.

Beispielsweise verwenden DNS-Amplification-Angriffe gefälschte IP-Adressen und bösartige DNS-Anfragen, um die Geräte der Opfer mit großen Datenmengen zu überfluten. Protokollfilterung kann dabei helfen, diese ungewöhnlichen DNS-Anfragen zu erkennen und zu blockieren, bevor sie Schaden anrichten können. 

Ratenbegrenzung bedeutet, die Anzahl der eingehenden Anfragen zu begrenzen, die ein Server während eines bestimmten Zeitraums annehmen darf. Der Service kann auch für legitime Benutzer langsamer werden, aber der Server ist nicht überlastet. 

Scrubbing Center sind spezialisierte Netzwerke oder Sicherheitsdienste,, die mithilfe von Techniken wie der Authentifizierung von Datenverkehr und der Erkennung von Anomalien bösartigen Datenverkehr aus dem legitimen Datenverkehr herausfiltern können. Scrubbing Center blockieren bösartigen Datenverkehr, während der legitime Datenverkehr sein Ziel erreichen kann.

Während Standard-Firewalls Netzwerke auf Ebene der Ports schützen, helfen WAFs dabei, sicherzustellen, dass Anfragen erst an Web-Server weitergeleitet werden, wenn sie sicher sind. Eine WAF kann bestimmen, welche Arten von Anfragen rechtmäßig sind und welche nicht, sodass sie bösartigen Datenverkehr blockieren und Angriffe auf der Anwendungsebene verhindern kann.

KI- und ML-Tools ermöglichen adaptive DDoS-Abwehrmaßnahmen, mit denen Unternehmen DDoS-Angriffe bekämpfen und gleichzeitig Störungen für legitime Nutzer minimieren können. Durch die Analyse und Auswertung des Datenverkehrs können KI- und ML-Tools ihre Erkennungssysteme optimieren, um Fehlalarme zu reduzieren, die fälschlicherweise gültigen Datenverkehr blockieren und Geschäftsmöglichkeiten beeinträchtigen würden.

Wobei: wahrscheinlich eher nicht. DDoS-Angriffe werden oft von Botnetzen gestartet, die aus Hunderten oder Tausenden von gekaperten Geräten unschuldiger Nutzer bestehen. Der Hacker, der das Botnetz steuert, fälscht in der Regel die IP-Adressen der Geräte, sodass es sehr zeitaufwendig sein kann, sie alle aufzuspüren, und höchstwahrscheinlich nicht zum wahren Täter führt.

Allerdings können unter bestimmten Umständen und mit ausreichenden Ressourcen einige DDoS-Angriffe zurückverfolgt werden. Mithilfe fortschrittlicher forensischer Analysen in Zusammenarbeit mit Internetdienstanbietern (ISPs) und Strafverfolgungsbehörden können Unternehmen möglicherweise ihre Angreifer identifizieren. Dieses Ergebnis ist eher bei Mehrfachangreifern zu erwarten, die möglicherweise Hinweise in den Mustern ihrer Angriffe hinterlassen. 

In den meisten Fällen ist dies nicht der Fall. Bei kleinen oder einfachen Angriffen kann eine herkömmliche Netzwerk-Firewall einen gewissen Schutz bieten, doch groß angelegte oder komplexe Angriffe würden diese Abwehrmaßnahmen umgehen.

Das Problem besteht darin, dass die meisten Firewalls bösartigen Datenverkehr, der als normaler Datenverkehr getarnt ist, nicht erkennen und stoppen können. Beispielsweise senden HTTP-GET-Angriffe mehrere Anfragen für Dateien von einem Zielserver, die für herkömmliche Netzwerksicherheitstools wahrscheinlich normal erscheinen. 

Webanwendungs-Firewalls (WAFs) arbeiten jedoch auf einer anderen Netzwerkebene als herkömmliche Firewalls und können, wie bereits erwähnt, zur Abwehr von DDoS-Angriffen eingesetzt werden. 

DDoS-Angriffe können Anwendungen, Websites, Server und andere Ressourcen eines Unternehmens offline nehmen, den Service für Benutzer unterbrechen und erhebliche Kosten in Form von Geschäftseinbußen und Reputationsschäden verursachen.

DDoS-Angriffe können Unternehmen außerdem daran hindern, ihre Service Level Agreements (SLAs) einzuhalten, was zu Kundenabwanderung führen kann. Wenn die Systeme eines Unternehmens nicht auf Abruf verfügbar sind, entscheiden sich Benutzer möglicherweise, ihre Geschäfte woanders zu tätigen.

Diese Cyberbedrohungen zielen zunehmend auf entscheidende Infrastrukturen wie Finanzdienstleistungen und öffentliche Dienstprogramme ab. Eine kürzlich durchgeführte Studie ergab, dass die DDoS-Angriffe auf entscheidende Infrastrukturen in den letzten vier Jahren um 55 % zugenommen haben.

Darüber hinaus dienen DDoS-Angriffe häufig als Deckung für noch schädlichere Cyberangriffe. Beispielsweise starten Hacker manchmal einen DDoS-Angriff, um das Opfer abzulenken, damit sie Ransomware in einem Netzwerk installieren können, während das Cybersicherheitsteam mit dem DDoS-Angriff beschäftigt ist.

DDoS-Abwehrlösungen und DDoS-Schutzdienste können Unternehmen dabei helfen, viele dieser Angriffe vollständig zu stoppen und Ausfälle in wichtigen Bereichen und Diensten zu verhindern. Wenn sie einen Angriff nicht stoppen können, können sie die Ausfallzeiten erheblich reduzieren und so die Geschäftskontinuität sicherstellen.

Moderne DDoS-Schutzlösungen können sowohl lokale als auch cloudbasierte Ressourcen schützen, sodass Unternehmen ihre Ressourcen unabhängig von ihrem Standort schützen können.