Ein DDoS-Angriff zielt darauf ab, eine Website, eine Webanwendung, einen Cloud-Dienst oder eine andere Online-Ressource zu deaktivieren oder offline zu nehmen, indem er sie mit sinnlosen Verbindungsanforderungen, gefälschten Paketen oder anderem bösartigen Datenverkehr überflutet. Da die Ressource nicht in der Lage ist, diese große Menge an schädlichem Datenverkehr zu bewältigen, arbeitet sie immer langsamer oder stürzt ganz ab, sodass sie für legitime Benutzer nicht mehr verfügbar ist.
DDoS-Angriffe gehören zur Kategorie der Denial-of-Service-Angriffe (DoS-Angriffe), die alle Cyberangriffe umfassen, die Anwendungen oder Netzdienste verlangsamen oder stoppen. DDoS-Angriffe sind insofern einzigartig, als sie Angriffsdatenverkehr gleichzeitig von mehreren Quellen aus senden – deshalb werden Sie als „verteilte“ („distributed“) Angriffe bezeichnet.
Cyberkriminelle nutzen DDoS-Angriffe schon seit mehr als 20 Jahren, um den Netzbetrieb zu stören, doch in letzter Zeit treten sie immer häufiger auf und haben immer schwerwiegendere Folgen. Einem Bericht zufolge stieg die Anzahl der DDoS-Angriffe in der ersten Jahreshälfte 2022 im Vergleich zum gleichen Vorjahreszeitraum um 203 Prozent (Link befindet sich außerhalb von ibm.com).
Im Gegensatz zu anderen Cyberangriffen nutzen DDoS-Angriffe keine Sicherheitslücken in Netzressourcen aus, um in Computersysteme einzudringen. Stattdessen verwenden sie Standard-Netzverbindungsprotokolle wie das Hypertext Transfer Protocol (HTTP) und das Transmission Control Protocol (TCP), um Endpunkte, Apps und andere Assets mit mehr Datenverkehr zu überfluten, als sie bewältigen können. Web-Server, Router und andere Netzinfrastrukturen können nur eine begrenzte Anzahl von Anforderungen verarbeiten und gleichzeitig eine begrenzte Anzahl von Verbindungen aufrechterhalten. Indem sie die verfügbare Bandbreite einer Ressource verbrauchen, verhindern DDoS-Angriffe, dass diese Ressource auf legitime Verbindungsanforderungen und Pakete reagieren kann.
Im Großen und Ganzen besteht ein DDoS-Angriff aus drei Phasen.
Die Wahl des DDoS-Angriffsziels hängt von der Motivation des Angreifers ab, die sehr unterschiedlich sein kann. Manche Hacker nutzen DDoS-Angriffe, um Geld von Organisationen zu erpressen. Sie fordern ein Lösegeld, um den Angriff zu beenden. Andere Hacker verüben DDoS-Angriffe aus aktivistischen Gründen und greifen Organisationen und Institutionen an, mit denen sie nicht einverstanden sind. Besonders skrupellose Akteure setzen DDoS-Angriffe ein, um konkurrierende Unternehmen auszuschalten, und manche Nationalstaaten verwenden DDoS-Taktiken in Cyberkriegen.
Zu den häufigsten DDoS-Angriffszielen gehören:
Online-Einzelhändler. DDoS-Angriffe können Einzelhändlern erheblichen finanziellen Schaden zufügen, da sie ihre Online-Shops offline nehmen können und es Kunden für einen bestimmten Zeitraum unmöglich machen, dort einzukaufen.
Cloud-Service-Provider.Cloud-Service-Provider wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform sind beliebte Ziele für DDoS-Angriffe. Da diese Dienste Daten und Apps für andere Unternehmen hosten, können Hacker mit einem einzigen Angriff weitreichende Betriebsunterbrechungen verursachen. Im Jahr 2020 wurde AWS Opfer eines massiven DDoS-Angriffs (Link befindet sich außerhalb von ibm.com), bei dem der Anbieter mit schädlichem Datenverkehr zu kämpfen hatte, der eine Geschwindigkeit von bis zu 2,3 Terabit pro Sekunde erreichte.
Finanzinstitute. DDoS-Angriffe können Bankdienstleistungen offline schalten und Kunden daran hindern, auf ihre Konten zuzugreifen. Im Jahr 2012 waren sechs große US-Banken Ziel koordinierter DDoS-Angriffe, die wahrscheinlich politisch motiviert waren (Link befindet sich außerhalb von ibm.com).
Software-as-a-Service (SaaS)-Anbieter. Wie Cloud-Service-Provider sind auch SaaS-Provider wie Salesforce, GitHub und Oracle attraktive Angriffsziele, da sie es Hackern erlauben, den Betrieb mehrerer Organisationen gleichzeitig zu unterbrechen. Im Jahr 2018 wurde GitHub Opfer des damals größten DDoS-Angriffs aller Zeiten (Link befindet sich außerhalb von ibm.com).
- Gaming-Unternehmen. DDoS-Angriffe können Online-Spiele stören, indem sie ihre Server mit Datenverkehr überfluten. Diese Angriffe werden oft von verärgerten Spielern mit persönlichen Rachemotiven gestartet, wie im Fall des Mirai-Botnets, das ursprünglich für Minecraft-Server entwickelt wurde (Link befindet sich außerhalb von ibm.com).
Für einen DDoS-Angriff ist in der Regel ein Botnet erforderlich – ein Netz aus mit dem Internet verbundenen Geräten, die mit Malware infiziert sind. Diese ermöglicht es Hackern, die Geräte aus der Ferne zu steuern. Botnets können Laptop- und Desktop-Computer, Mobiltelefone, IoT-Geräte und andere private oder kommerzielle Endgeräte umfassen. Die Besitzer dieser Geräte sind sich in der Regel nicht bewusst, dass sie infiziert sind oder für einen DDoS-Angriff verwendet werden.
Einige Cyberkriminelle erstellen ihre Botnets selbst, während andere sie kaufen oder mieten, indem sie ein „Denial-of-Service-as-a-Service“-Modell nutzen.
(HINWEIS: Nicht alle DDoS-Angriffe nutzen Botnets; einige nutzen den normalen Betrieb nicht infizierter Geräte für böswillige Zwecke aus. Siehe „Smurf-Attacken“ weiter unten.)
Hacker befehlen den Geräten im Botnet, Verbindungsanforderungen oder andere Pakete an die IP-Adresse des Zielservers, -geräts oder -dienstes zu senden. Die meisten DDoS-Angriffe beruhen auf Brute-Force-Methoden, bei denen eine große Anzahl von Anfragen gesendet wird, um die gesamte Bandbreite des Ziels zu verbrauchen. Manche DDoS-Angriffe senden aber auch eine kleinere Anzahl komplizierterer Anfragen, bei denen das Ziel viele Ressourcen für die Reaktion darauf aufwenden muss. In beiden Fällen ist das Ergebnis dasselbe: Der Angriffsdatenverkehr überwältigt das Zielsystem, verursacht eine Dienstverweigerung und verhindert, dass legitimer Datenverkehr auf die Website, Webanwendung, API oder das Netz zugreifen kann.
Hacker verschleiern die Quelle ihrer Angriffe oft durch IP-Spoofing, eine Technik, bei der Cyberkriminelle gefälschte Quell-IP-Adressen für Pakete verwenden, die vom Botnet gesendet werden. Bei einer Form des IP-Spoofings, der sogenannten „Reflection“, lassen Hacker es so aussehen, als ob der bösartige Datenverkehr von der IP-Adresse des Opfers stammt.
DDoS-Angriffsarten werden oft auf der Grundlage des OSI-Referenzmodells (Open Systems Interconnection) benannt oder beschrieben. Das ist ein konzeptionelles Framework, das aus sieben Vermittlungsschichten besteht (und manchmal auch als OSI-7-Schichten-Modell bezeichnet wird).
Wie der Name schon sagt, zielen diese Art der Angriffe auf die Anwendungsschicht (Schicht 7) des OSI-Modells ab – die Schicht, auf der Webseiten als Antwort auf Benutzeranforderungen generiert werden. Angriffe auf die Anwendungsschicht unterbrechen Webanwendungen, indem sie mit bösartigen Anforderungen überschwemmt werden.
Eine der häufigsten Angriffsarten auf die Anwendungsschicht ist die HTTP-Flood-Attacke, bei der ein Angreifer kontinuierlich eine große Anzahl von HTTP-Anforderungen von mehreren Geräten an dieselbe Website sendet. Die Website kann dann nicht mit allen HTTP-Anforderungen Schritt halten und wird erheblich langsamer oder stürzt vollständig ab. HTTP-Flood-Attacken ähneln dem wiederholten Aktualisieren einer bestimmten Webseite durch Hunderte oder Tausende von Webbrowsern.
Angriffe auf die Anwendungsschicht lassen sich relativ einfach starten, können jedoch schwierig zu verhindern und einzudämmen sein. Da immer mehr Unternehmen auf Microservices und Container-basierte Anwendungen umsteigen, steigt das Risiko, dass Angriffe auf die Anwendungsschicht kritische Web- und Cloud-Dienste lahmlegen.
Protokollangriffe zielen auf die Vermittlungsschicht (Schicht 3) und die Transportschicht (Schicht 4) des OSI-Modells ab. Sie überlasten kritische Netzressourcen wie Firewalls, Lastausgleichsfunktionen und Web-Server mit schädlichen Verbindungsanforderungen.
Zu den häufigsten Protokollangriffen gehören:
SYN-Flood-Attacken. Eine SYN-Flood-Attacke nutzt den TCP-Handshake, also den Prozess, mit dem zwei Geräte eine Verbindung zueinander herstellen.
Bei einem typischen TCP-Handshake sendet ein Gerät ein SYN-Paket, um die Verbindung zu initiieren, das andere sendet als Reaktion darauf ein SYN/ACK-Paket, um die Anfrage zu bestätigen, und das erste Gerät sendet ein ACK-Paket zurück, um die Verbindung abzuschließen.
Bei einer SYN-Flood-Attacke sendet der Angreifer dem Zielserver eine große Anzahl von SYN-Paketen mit gefälschten Quell-IP-Adressen. Der Server sendet seine Antwort an die gefälschte IP-Adresse und wartet auf das letzte ACK-Paket. Da die Quell-IP-Adresse gefälscht ist, kommen diese Pakete nie an. Der Server ist dann durch die große Anzahl nicht beendeter Verbindungen ausgelastet, sodass er für legitime TCP-Handshakes nicht mehr verfügbar ist.
Smurf-Attacken. Eine Smurf-Attacke nutzt das Internet Control Message Protocol (ICMP), ein Kommunikationsprotokoll zur Bewertung des Status einer Verbindung zwischen zwei Geräten. Bei einem typischen ICMP-Austausch sendet ein Gerät eine ICMP-Echoanforderung an ein anderes Gerät, das mit einer ICMP-Echoantwort reagiert.
Bei einer Smurf-Attacke sendet der Angreifer eine ICMP-Echoanforderung von einer gefälschten IP-Adresse, die der IP-Adresse des Opfers entspricht. Diese ICMP-Echoanforderung wird an ein IP-Broadcastnetz gesendet, das die Anforderung an jedes Gerät in einem bestimmten Netz weiterleitet. Jedes Gerät, das die ICMP-Echoanforderung empfängt – möglicherweise Hunderte oder Tausende von Geräten – antwortet mit einer ICMP-Echoantwort an die IP-Adresse des Opfers und überflutet das Gerät mit mehr Informationen, als es verarbeiten kann. Im Gegensatz zu vielen anderen Arten von DDoS-Angriffen erfordern Smurf-Attacken nicht unbedingt ein Botnet.
Volumetrische DDoS-Angriffe verbrauchen die gesamte verfügbare Bandbreite innerhalb eines Zielnetzes oder zwischen einem Zieldienst und dem Rest des Internets und verhindern so, dass legitime Benutzer eine Verbindung zu den Netzressourcen herstellen können. Volumetrische Angriffe überschwemmen Netze und Ressourcen oft mit sehr hohen Datenmengen, mehr als andere Arten von DDoS-Angriffen. Volumetrische Angriffe überfordern DDoS-Schutzmaßnahmen wie Scrubbing Centers, die dafür gedacht sind, schädlichen Datenverkehr aus dem legitimen Datenverkehr herauszufiltern.
Zu den häufigsten Arten von volumetrischen Angriffen gehören:
UDP-Floods. Diese Angriffe senden gefälschte UDP-Pakete (User Datagram Protocol) an die Ports eines Zielhosts und fordern den Host auf, nach einer Anwendung zu suchen, die diese Pakete empfangen kann. Da die UDP-Pakete gefälscht sind, gibt es keine solche Anwendung, und der Host muss eine ICMP-„Destination Unreachable“-Meldung an den Absender zurücksenden. Die Ressourcen des Hosts werden aufgebraucht, weil er auf den ständigen Strom gefälschter UDP-Pakete reagieren muss, sodass er nicht mehr auf legitime Pakete reagieren kann.
ICMP-Floods. Diese auch als „Ping-Flood-Attacken“ bezeichnete Angriffe bombardieren die Ziele mit ICMP-Echoanforderungen von mehreren gefälschten IP-Adressen. Der Zielserver muss auf all diese Anforderungen reagieren und wird dann überlastet, sodass er keine legitimen ICMP-Echoanfragen mehr verarbeiten kann. ICMP-Floods unterscheiden sich insofern von Smurf-Attacken, als die Angreifer eine große Anzahl von ICMP-Anforderungen von ihren Botnets aus senden, anstatt Netzgeräte dazu zu bringen, ICMP-Anforderungen an die IP-Adresse des Opfers zu senden.
DNS-Verstärkungsangriffe. Hier sendet der Angreifer mehrere Domain-Name-System- bzw. DNS-Suchanfragen an einen oder mehrere öffentliche DNS-Server. Diese Suchanfragen verwenden eine gefälschte IP-Adresse des Opfers und fordern die DNS-Server auf, eine große Menge an Informationen pro Anfrage zurückzugeben. Der DNS-Server antwortet dann auf die Anfragen, indem er die IP-Adresse des Opfers mit großen Datenmengen überflutet.
Wie der Name schon sagt, nutzen Multi-Vektor-Attacken mehrere Angriffsvektoren, um maximalen Schaden anzurichten und DDoS-Abwehrmaßnahmen zu umgehen. Angreifer können mehrere Vektoren gleichzeitig nutzen oder mitten im Angriff zwischen den Vektoren wechseln, wenn ein Vektor abgewehrt wird. So können Hacker beispielsweise mit einer Smurf-Attacke beginnen, und sobald der aus den Netzgeräten stammende Datenverkehr lahmgelegt wurde, können sie eine UDP-Flood von ihrem Botnet aus starten.
DDoS-Sicherheitsbedrohungen können auch zusammen mit anderen Cyberangriffen eingesetzt werden. Beispielsweise können Ransomware-Angreifer ihre Opfer unter Druck setzen, indem sie mit einem DDoS-Angriff drohen, wenn das Lösegeld nicht gezahlt wird.
DDoS-Angriffe gibt es schon sehr lange. Sie erfreuen sich aber immer größerer Beliebtheit bei Cyberkriminellen, weil ...
- Ihre Ausführung nur wenige oder gar keine Kenntnisse erfordert. Indem sie gebrauchsfertige Botnets von anderen Hackern anmieten, können Cyberkriminelle ohne viel Vorbereitung oder Planung DDoS-Angriffe selbst starten.
- Sie schwer zu erkennen sind. Da Botnets größtenteils private und kommerzielle Geräte sind, kann es für Unternehmen schwierig sein, bösartigen Datenverkehr von realen Benutzern zu unterscheiden. Darüber hinaus können die Symptome von DDoS-Angriffen – langsamer Service und vorübergehend nicht verfügbare Websites und Anwendungen – auch durch plötzliche Spitzen im legitimen Datenverkehr verursacht werden. Das macht es schwierig, DDoS-Angriffe in einem frühen Stadium zu erkennen.
- Sie schwer abzuwehren sind. Da DDoS-Angriffe verteilte Angriffe sind, können Unternehmen sie nicht einfach abwehren, indem sie eine einzelne Datenverkehrsquelle abschalten. Standard-Netzsicherheitskontrollen, die DDoS-Angriffe verhindern sollen, wie z. B. Durchsatzratenbegrenzung, können auch den Betrieb für legitime Benutzer verlangsamen.
- Es mehr potenzielle Botnet-Geräte als je zuvor gibt. Der Aufstieg des Internets der Dinge (IoT) hat Hackern zahlreiche neue Möglichkeiten eröffnet, Geräte in Bots zu verwandeln. Internetfähige Geräte, Tools und Gadgets – einschließlich Betriebstechnologie (OT) wie Geräte für das Gesundheitswesen und Fertigungssysteme – werden oft mit universellen Standardeinstellungen und schwachen oder nicht vorhandenen Sicherheitsmaßnahmen verkauft und betrieben, was sie besonders anfällig für Malware-Infektionen macht. Für die Besitzer dieser Geräte kann es schwierig sein, zu bemerken, dass sie Opfer eines Cyberangriffs sind, da IoT- und OT-Geräte oft passiv oder nur selten genutzt werden.
DDoS-Angriffe werden immer ausgefeilter, da Hacker Tools für künstliche Intelligenz (KI) und maschinelles Lernen (ML) einsetzen, um ihre Angriffe zu steuern. Dies hat zu einem Anstieg adaptiver DDoS-Angriffe geführt, bei denen KI und ML eingesetzt werden, um die anfälligsten Aspekte von Systemen zu finden und die Angriffsvektoren und -strategien als Reaktion auf die Bemühungen eines Cybersicherheitsteams automatisch zu ändern.
Der Zweck eines DDoS-Angriffs besteht darin, den Systembetrieb zu stören, was für Unternehmen hohe Kosten verursachen kann. Laut dem IBM-Bericht „Cost of a Data Breach 2022“ kosten Serviceunterbrechungen, Systemausfälle und andere Geschäftsunterbrechungen, die durch einen Cyberangriff verursacht werden, Unternehmen im Durchschnitt 1,42 Millionen US-Dollar. Im Jahr 2021 kostete ein DDoS-Angriff einen VoIP-Anbieter fast 12 Millionen US-Dollar (Link befindet sich außerhalb von ibm.com).
Der bisher größte DDoS-Angriff, der 3,47 Terabit schädlichen Datenverkehr pro Sekunde erzeugte, richtete sich im November 2021 gegen einen Microsoft Azure-Kunden (Link befindet sich außerhalb von ibm.com). Die Angreifer nutzten ein Botnet mit 10.000 Geräten aus der ganzen Welt, um das Opfer mit 340 Millionen Paketen pro Sekunde zu bombardieren.
DDoS-Angriffe wurden auch schon gegen Regierungen eingesetzt, etwa auf die belgische Regierung im Jahr 2021 (Link befindet sich außerhalb von ibm.com). Hacker hatten es auf einen staatlichen Internet-Service-Provider (ISP) abgesehen, um die Internetverbindungen von mehr als 200 Regierungsbehörden, Universitäten und Forschungsinstituten zu unterbrechen.
Immer mehr Hacker nutzen DDoS nicht als primäre Angriffsmethode, sondern um das Opfer von einem ernsteren Cyberverbrechen abzulenken, z. B. um Daten auszulesen oder Ransomware in einem Netz zu installieren, während das Cybersicherheitsteam mit der Abwehr des DDoS-Angriffs beschäftigt ist.
Maßnahmen zum Schutz vor DDoS-Angriffen und zu ihrer Entschärfung basieren in der Regel darauf, schädlichen Datenverkehr so schnell wie möglich umzuleiten, etwa durch den Einsatz von Scrubbing-Centers oder Lastausgleichsfunktionen. Zu diesem Zweck können Unternehmen, die ihre Verteidigungsmaßnahmen gegen DDoS-Angriffe stärken wollen, Technologien einsetzen, die schädlichen Datenverkehr erkennen und abfangen können, z. B:
- Web Application Firewalls. Die meisten Unternehmen nutzen heute Perimeter und Web Application Firewalls (WAFs), um ihre Netze und Anwendungen vor bösartigen Aktivitäten zu schützen. Während Standard-Firewalls auf Port-Ebene schützen, stellen WAFs sicher, dass Anfragen sicher sind, bevor sie an Web-Server weitergeleitet werden. Die WAF weiß, welche Arten von Anfragen legitim sind und welche nicht, sodass sie bösartigen Datenverkehr blockieren und Angriffe auf der Anwendungsebene verhindern kann.
Netz zur Bereitstellung von Inhalten (Content Delivery Network; CDN). Ein CDN ist ein Netz aus verteilten Servern, mit denen Benutzer schneller und zuverlässiger auf Online-Dienste zugreifen können. Wenn ein CDN vorhanden ist, werden Benutzeranforderungen nicht zum Ursprungsserver des Dienstes zurückgeleitet. Stattdessen werden sie an einen geografisch näher gelegenen CDN-Server weitergeleitet, der die Inhalte bereitstellt. CDNs können zum Schutz vor DDoS-Angriffen beitragen, indem sie die Gesamtkapazität eines Dienstes für den Datenverkehr erhöhen. Für den Fall, dass ein CDN-Server durch einen DDoS-Angriff lahmgelegt wird, kann der Benutzerverkehr an andere verfügbare Serverressourcen im Netz weitergeleitet werden.
- SIEM (Security Information and Event Management). SIEM-Systeme bieten eine Reihe von Funktionen zur frühzeitigen Erkennung von DDoS-Angriffen und anderen Cyberattacken, einschließlich Protokollverwaltung und Netzerkenntnisse. SIEM-Lösungen bieten eine zentrale Verwaltung von Sicherheitsdaten, die von lokalen und Cloud-basierten Sicherheitstools generiert werden. SIEMs können verbundene Geräte und Anwendungen auf Sicherheitsvorfälle und ungewöhnliches Verhalten überwachen, z. B. zu hohe Pings oder nicht legitime Verbindungsanforderungen. Das SIEM markiert diese Anomalien dann, damit das Cybersicherheitsteam entsprechende Maßnahmen ergreifen kann.
- Technologien zur Erkennung und Abwehr von Angriffen. Lösungen für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR) nutzen fortschrittliche Analysen und KI, um die Netzinfrastruktur zu überwachen und Anzeichen für eine Bedrohung zu erkennen (z. B. abnormale Datenverkehrsmuster, die auf DDoS-Angriffe hindeuten), und Automatisierungsfunktionen, um in Echtzeit auf Angriffe zu reagieren (z. B. durch Beenden verdächtiger Netzverbindungen).
Erkennen Sie verdeckte Sicherheitsbedrohungen in Ihrem Netz, bevor es zu spät ist. IBM® Security QRadar Network Detection and Response (NDR) unterstützt Ihre Sicherheitsteams durch die Analyse von Netzwerkaktivitäten in Echtzeit. Die Lösung kombiniert einen umfassenden Überblick mit hochwertigen Daten und Analysen, um fundierte Erkenntnisse zu liefern und Reaktionen zu ermöglichen.
Mit einem Incident Response Retainer-Abonnement von IBM Security erhalten Sie den Schutz, den Ihr Unternehmen benötigt, um Sicherheitsverletzungen besser abwehren zu können. Wenn Sie mit unserem erstklassigen Reaktionsteam zusammenarbeiten, haben Sie vertrauenswürdige Partner an Ihrer Seite, die Ihnen dabei helfen, die Reaktionszeit auf einen Vorfall verkürzen, seine Auswirkungen minimieren und sich schneller davon erholen zu können, bevor ein Verdacht auf einen Cybersicherheitsvorfall entsteht.
Kombinieren Sie Fachwissen mit Sicherheitsbedrohungsdaten, um Ihre Sicherheitsbedrohungsanalyse zu verbessern und Ihre Plattform zur Abwehr von Cyberbedrohungen zu automatisieren.