Was ist ein Distributed Denial-of-Service-Angriff (DDoS)?

Distributed Denial-of-Service-Angriffe sind eine Art Denial-of-Service-Angriff (DoS-Angriff), eine Kategorie, die alle Cyberangriffe umfasst, die Anwendungen oder Dienste verlangsamen oder stoppen. DDoS-Angriffe sind insofern einzigartig, als sie Angriffsverkehr aus mehreren Quellen gleichzeitig senden. Das macht es potenziell schwieriger, sie zu erkennen und abzuwehren, wodurch aus dem „verteilten“ ein „Distributed Denial-of-Service“ wird.

Laut dem IBM® X-Force Threat Intelligence Index machen DDoS-Angriffe 2 % der Angriffe aus, auf die X-Force reagiert. Die dadurch verursachten Unterbrechungen können jedoch kostspielig sein. Ausfallzeit kann zu Serviceunterbrechungen, Umsatzeinbußen und Reputationsschäden führen. Der IBM Cost of a Data Breach Report stellt fest, dass die Kosten für entgangene Geschäfte aufgrund eines Cyberangriffs im Durchschnitt 1,47 Millionen USD betragen.  

Im Gegensatz zu anderen Cyberangriffen geht es bei DDoS-Angriffen nicht darum, über Sicherheitslücken von Netzwerkressourcen in ein Computersystem einzudringen. Stattdessen werden standardmäßige Netzwerk-Verbindungsprotokolle wie HTTP (Hypertext Transfer Protocol) und TCP (Transmission Control Protocol) eingesetzt, um Endpunkte, Apps und andere Ressourcen mit mehr Datenverkehr zu überfluten, als sie bewältigen können.

Web-Server, Router und andere Netzwerk-Infrastrukturen können nur eine begrenzte Anzahl von Anfragen verarbeiten und eine begrenzte Anzahl von Verbindungen gleichzeitig aufrechterhalten. DDoS-Angriffe verbrauchen die verfügbare Bandbreite einer Ressource, damit sie nicht mehr auf rechtmäßige Verbindungsanfragen und Datenpakete reagieren kann.

Im Großen und Ganzen besteht ein DDoS-Angriff aus zwei Hauptphasen: dem Aufbau eines Botnets und der Durchführung des Angriffs. 

Für einen DDoS-Angriff ist in der Regel ein Botnet erforderlich, ein Netzwerk aus Geräten, die über das Internet verbunden und mit Malware infiziert sind, die es Hackern ermöglicht, die Geräte aus der Ferne zu steuern.

Botnetze können Laptop- und Desktop-Computer, Mobiltelefone, Geräte des Internet der Dinge (IoT) und andere Endgeräte für Verbraucher oder Unternehmen umfassen. Die Eigentümer dieser kompromittierten Geräte wissen normalerweise nicht, dass sie infiziert sind oder für einen DDoS-Angriff missbraucht werden.

Einige Cyberkriminelle bauen ihre eigenen Botnetze auf, verbreiten aktiv Malware und übernehmen Geräte. Andere kaufen oder mieten vorbereitete Botnets von anderen Cyberkriminellen im Dark Web unter einem Modell, das als „Denial-of-Service-as-a-Service“ bezeichnet wird.

Nicht alle DDoS-Angriffe verwenden Botnets. Einige ausnutzen den normalen Betrieb nicht infizierter Geräte für böswillige Zwecke. (Weitere Informationen finden Sie unter „Smurf-Attacken“.) 

Hacker geben den Geräten im Botnet Anweisungen, Verbindungsanfragen oder andere Pakete an die IP-Adresse des Zielservers, -geräts oder -dienstes zu senden.

Die meisten DDoS-Angriffe beruhen auf Brute-Force-Methoden, bei denen eine große Anzahl von Anforderungen gesendet wird, um die gesamte Bandbreite des Ziels zu verbrauchen. Manche DDoS-Angriffe senden eine geringere Anzahl komplizierterer Anfragen, bei denen das Ziel Ressourcen für die Beantwortung aufwenden muss. In beiden Fällen ist das Ergebnis dasselbe: Der Angriffsdatenverkehr überwältigt das Zielsystem, verursacht eine Dienstverweigerung und verhindert, dass rechtmäßiger Datenverkehr darauf zugreift.

Hacker verschleiern die Quelle ihrer Angriffe oft durch eine Technik namens IP-Spoofing, bei der für die vom Botnet gesendeten Pakete gefälschte Quell-IP-Adressen verwendet werden. Bei einer bestimmten Form des IP-Spoofings, der sogenannten „Reflection“, geben Hacker vor, der bösartige Datenverkehr käme von der IP-Adresse des Opfers.

DDoS-Angriffe sind nicht immer der primäre Angriff. Manchmal nutzen Hacker sie, um das Opfer von einem anderen Cyberangriff abzulenken. So könnten Angreifer beispielsweise Daten exfiltrieren oder Ransomware in einem Netzwerk bereitstellen, während das Cybersicherheitsteam mit der Abwehr des DDoS-Angriffs beschäftigt ist.

Hacker nutzen DDoS-Angriffe aus allen möglichen Gründen: Erpressung, die Schließung von Organisationen und Institutionen, mit denen sie nicht übereinstimmen, die Unterbindung konkurrierender Unternehmen und sogar Cyberkrieg.

Zu den häufigsten DDoS-Angriffszielen gehören:

• Online-Händler
• Internet Service Provider (ISPs)
• Anbieter von Cloud-Services
• Finanzinstitute
• Anbieter von Software-as-a-Service (SaaS)
• Gaming-Unternehmen
• Regierungsbehörden

DDoS-Angriffe werden basierend auf den verwendeten Taktiken und der Netzwerkarchitektur, auf die sie abzielen, klassifiziert. Zu den häufigsten Arten von DDoS-Angriffen gehören:

• Angriffe auf die Anwendungsschicht
• Protokollangriffe
• Volumetrische Angriffe
• Multi-Vektor-Attacken

Wie der Name schon sagt, zielen diese Art der Angriffe auf die Anwendung eines Netzwerks ab. Im Framework des Open Systems Interconnection-Modells (OSI-Modell) ist diese Schicht die Stelle, an der Benutzer mit Webseiten und Apps interagieren. Angriffe auf die Anwendungsschicht überfluten Webanwendungen mit bösartigen Anfragen, um die Kommunikation zu stören.

Eine der häufigsten Angriffsarten auf die Anwendungsschicht ist der HTTP-Flood-Angriff, bei dem kontinuierlich eine große Anzahl von HTTP-Anfragen von mehreren Geräten an dieselbe Website gesendet wird. Die Website kann die vielen Anfragen nicht mehr bewältigen und wird deutlich langsamer oder stürzt ab. Einen HTTP-Flood-Angriff kann man sich auch so vorstellen, dass Hunderte oder Tausende von Webbrowsern wiederholt dieselbe Webseite aktualisieren.

Protokollangriffe zielen auf die Vermittlungsschicht (3. Schicht) und die Transportschicht (4. Schicht) des OSI-Modells ab. Sie überlasten kritische Netzwerkressourcen wie Firewalls, Lastausgleichsfunktionen und Web-Server mit bösartigen Verbindungsanfragen.

Zwei der häufigsten Arten von Protokollangriffen sind SYN-Flood-Angriffe und Smurf-Angriffe. 

Eine SYN-Flut -Attacke nutzt den TCP-Handshake, einen Prozess, mit dem zwei Geräte eine Verbindung zueinander herstellen. Ein typischer TCP-Handshake besteht aus drei Schritten:

1. Ein Gerät sendet ein Synchronisationspaket (SYN), um die Verbindung zu initiieren.
2. Das andere Gerät antwortet mit einem Synchronisations-/Bestätigungspaket (SYN/ACK), um die Anfrage zu bestätigen.
3. Das ursprüngliche Gerät sendet ein ACK-Paket zurück, um die Verbindung zu abschließen.

Bei einem SYN-Flood-Angriff wird eine große Anzahl von SYN-Paketen mit gefälschten Quell-IP-Adressen an den Zielserver gesendet. Der Server antwortet auf die gefälschten IP-Adressen und wartet auf die letzten ACK-Pakete. Da die Quell-IP-Adressen gefälscht wurden, kommen diese Pakete nie an. Durch die vielen nicht beendeten Verbindungen ist der Server so überlastet, dass er keine rechtmäßigen TCP-Handshakes mehr verarbeiten kann.

Eine Smurf-Attacke nutzt das Internet Control Message Protocol (ICMP), ein Kommunikationsprotokoll zur Bewertung des Status einer Verbindung zwischen zwei Geräten.

Bei einem typischen ICMP-Austausch sendet das eine Gerät eine ICMP-Echoanfrage an das andere Gerät, das mit einer ICMP-Echoantwort reagiert.

Bei einem Smurf-Angriff sendet der Angreifer eine ICMP-Echoanforderung von einer gefälschten IP-Adresse, die wie die IP-Adresse des angegriffenen Ziels aussieht. Diese ICMP-Echoanfrage wird an ein IP-Broadcast-Netzwerk gesendet, das die Anfrage an jedes Gerät in einem Netzwerk weiterleitet.

Jedes Gerät, das die ICMP-Echoanfrage empfängt, antwortet mit einer ICMP-Echoantwort an die IP-Adresse des angegriffenen Ziels. Die schiere Menge an Antworten ist mehr, als das Gerät des Opfers bewältigen kann. Im Gegensatz zu vielen anderen Arten von DDoS-Angriffen funktionieren Smurf-Angriffe auch ohne Botnet.

Volumetrische DDoS-Angriffe verbrauchen die gesamte verfügbare Bandbreite innerhalb des angegriffenen Netzwerks oder zwischen dem angegriffenen Service und dem Rest des Internets, wodurch eine Verbindung legitimer Benutzer zu Netzwerkressourcen verhindert wird.

Volumetrische Angriffe überfluten Netzwerke und Ressourcen häufig mit hohen Datenmengen, selbst im Vergleich zu anderen Arten von DDoS-Angriffen. Volumetrische Angriffe können DDoS-Schutzmaßnahmen überlasten, wie beispielsweise Scrubbing Centers, die darauf ausgelegt sind, bösartigen Datenverkehr aus legitimen Traffic herauszufiltern.

Zu den gängigen Arten von volumetrischen Angriffen gehören UDP-Floods, ICMP-Floods und DNS-Amplification-Angriffe.

UDP-Überflutungen senden gefälschte Pakete des User Datagram Protocol (UDP) an die Ports eines Zielhosts, wodurch dieser nach einer Anwendung sucht, um diese Pakete zu empfangen. Da die UDP-Pakete gefälscht sind, gibt es keine Anwendung, die sie empfangen kann, und der Host muss eine ICMP-„Ziel nicht erreichbar“-Meldung zurücksenden.

Die Ressourcen des Hosts sind durch die Reaktion auf den ständigen Strom gefälschter UDP-Pakete gebunden, sodass er nicht mehr auf legitime Pakete reagieren kann.

ICMP-Floods, auch „Ping-Flood-Angriffe“ genannt, bombardieren Ziele mit ICMP-Echo-Anfragen von mehreren gefälschten IP-Adressen. Da der Zielserver auf alle diese Anfragen reagieren muss, wird er überlastet und kann keine rechtmäßigen ICMP-Echoanfragen mehr verarbeiten.

ICMP-Floods unterscheiden sich von Smurf-Angriffen dadurch, dass die Angreifer eine große Anzahl von ICMP-Anfragen aus ihren Botnetzen senden. Bei einem Smurf-Angriff bringen Hacker Netzwerkgeräte dazu, ICMP-Antworten an die IP-Adresse des Opfers zu senden.

Bei einem DNS-Amplification-Angriff sendet der Angreifer mehrere Domain Name System (DNS) -Anfragen an einen oder mehrere öffentliche DNS-Server. Dabei wird eine gefälschte IP-Adresse des angegriffenen Ziels verwendet und jeweils eine große Menge von Informationen vom DNS-Server angefragt. Der DNS-Server antwortet auf die Anfragen, indem er die IP-Adresse des Opfers mit großen Datenmengen überflutet.

Wie der Name schon sagt, nutzen Multi-Vektor-Angriffe nicht nur eine einzelne Quelle, sondern mehrere Angriffsvektoren, um maximale Schäden anzurichten und die Bekämpfung von DDoS-Angriffen zu erschweren.

Es ist möglich, mehrere Vektoren gleichzeitig zu nutzen oder mitten im Angriff zwischen den Vektoren zu wechseln, wenn einer von ihnen abgewehrt wurde. So kann ein Angriff beispielsweise mit einem Smurf-Angriff beginnen, aber, sobald die Netzwerkgeräte keinen bösartigen Datenverkehr mehr senden können, mit einem UDP-Flood-Angriff vom Botnet fortgesetzt werden.

DDoS-Bedrohungen könnten ebenfalls mit anderen Cyberbedrohungen kombiniert werden. Beispielsweise können Ransomware- Angreifer ihr Opfer unter Druck setzen, indem sie mit einem DDoS-Angriff drohen, falls das Lösegeld nicht gezahlt wird.

DDoS-Angriffe sind aus vielen Gründen nach wie vor eine gängige Taktik von Cyberkriminellen.

Ein Cyberkrimineller muss nicht einmal mehr wissen, wie man programmiert, um einen DDoS-Angriff zu starten. Cybercrime-Marktplätze florieren im Dark Web, wo Bedrohungsakteure Botnetze, Malware und andere Tools für die Durchführung von DDoS-Angriffen kaufen und verkaufen können.

Cyberkriminelle können direkt einsatzbereite Botnets von anderen Hackern anmieten, um so ohne viel Vorbereitung oder Planung einen DDoS-Angriff zu starten.

Da Botnets größtenteils aus privaten und kommerziellen Geräten bestehen, erschwert dies die Unterscheidung zwischen bösartigem Datenverkehr und echten Benutzern.

Darüber hinaus können die Symptome von DDoS-Angriffen (langsame Leistung sowie vorübergehend nicht verfügbare Websites und Anwendungen) durch plötzliche Spitzen im rechtmäßigen Datenverkehr verursacht werden. Das macht es schwierig, DDoS-Angriffe frühzeitig zu erkennen.

Da DDoS-Angriffe dezentral und verteilt sind, kann eine Organisation sie nicht durch bloßes Ausschalten einer einzelnen Quelle abwehren. Standard-Netzsicherheitskontrollen, die DDoS-Angriffe verhindern sollen, wie z. B. Durchsatzratenbegrenzung, können auch den Betrieb für legitime Benutzer verlangsamen.

Das Internet der Dinge (IoT) ist für Hacker eine reiche Quelle, um Geräte in Bots zu verwandeln.

Internetfähige Geräte, einschließlich Betriebstechnologie (OT) wie Geräte für das Gesundheitswesen und Fertigungssysteme, werden mit universellen Standardeinstellungen und schwachen oder nicht vorhandenen Sicherheitsmaßnahmen verkauft und betrieben, was sie anfällig für Malware-Infektionen macht.

Da diese IoT-Geräte oft passiv oder nur selten genutzt werden, ist es für ihre Besitzer nicht immer leicht zu bemerken, wenn sie kompromittiert wurden.

DDoS-Angriffe werden immer ausgefeilter, da Tools mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML) zum Einsatz kommen. Adaptive DDoS-Angriffe nutzen KI und ML, um die anfälligsten Aspekte von Systemen zu finden und die Angriffsvektoren und -strategien automatisch in Reaktion auf die Bemühungen eines Cybersicherheitsteams zu ändern.

Je früher ein DDoS-Angriff erkannt werden kann, desto früher können Abwehr- und Abhilfemaßnahmen beginnen. Zu den Anzeichen dafür, dass ein Angriff im Gange ist, gehören:

• Eine Website oder ein Dienst wird unerwartet langsamer oder ist vollständig nicht verfügbar.
  
  
• Ungewöhnlich viel Datenverkehr kommt von einer einzelnen IP-Adresse oder einem Bereich von IP-Adressen.
  
  
• Der Datenverkehr von vielen ähnlichen Profilen, z. B. von einem bestimmten Gerätetyp oder einem bestimmten Standort, nimmt plötzlich zu.
  
  
•  Ein plötzlicher Anstieg von Anfragen für eine einzelne Aktion, ein Endgerät oder eine Seite.
  
  
• Spitzen im Verkehrsaufkommen zu einer ungewöhnlichen Tageszeit, an einem ungewöhnlichen Wochentag oder in einem regelmäßigen Rhythmus, z. B. alle fünf Minuten.
  
  
• Unerklärliche Fehler oder Timeouts.
  
  
•  Dienste, die dasselbe Netz gleichzeitig nutzen, werden langsamer.

Viele dieser Verhaltensweisen können durch andere Faktoren verursacht werden. Wenn jedoch zunächst nach DDoS-Angriffen gesucht wird, kann dies Zeit sparen und den Schaden im Falle eines DDoS-Angriffs mindern.

DDoS-Schutzlösungen helfen bei der Erkennung von Datenverkehrsanomalien und bestimmen, ob sie harmlos oder bösartig sind. Schließlich kann eine plötzliche Flut von Anfragen das Ergebnis einer erfolgreichen Marketingkampagne sein, und das Blockieren dieser Anfragen kann eine Katastrophe für das Unternehmen bedeuten.

Bei Maßnahmen zur DDoS-Abwehr werden in der Regel schädlicher Datenverkehr so schnell wie möglich umgeleitet. 

Zu den üblichen Maßnahmen zur DDoS-Prävention und -Abwehr gehören:

Während Standard-Firewalls Netzwerke auf Ebene der Ports schützen, helfen WAFs dabei, sicherzustellen, dass Anfragen erst an Web-Server weitergeleitet werden, wenn sie sicher sind. Eine WAF kann bestimmen, welche Arten von Anfragen rechtmäßig sind und welche nicht, sodass sie bösartigen Datenverkehr blockieren und Angriffe auf der Anwendungsebene verhindern kann.

Ein CDN ist ein Netzwerk verteilter Server, mit dem Benutzer schneller und zuverlässiger auf Online-Dienste zugreifen können. Ein CDN sorgt dafür, dass Benutzeranfragen nicht zum Ursprungsserver des Dienstes zurückgeleitet, Stattdessen werden Anfragen an einen geografisch näher gelegenen CDN-Server weitergeleitet, der den Inhalt bereitstellt.

CDNs können zum Schutz vor DDoS-Angriffen beitragen, weil sie die gesamte Datenverkehrskapazität eines Dienstes erhöhen. Wird ein CDN-Server durch einen DDoS-Angriff lahmgelegt, kann der Datenverkehr an andere verfügbare Serverressourcen im Netzwerk weitergeleitet werden.

Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und andere Tools können die Netzwerkinfrastruktur auf Indikatoren für eine Gefährdung überwachen. Wenn diese Systeme mögliche DDoS-Signale erkennen, wie zum Beispiel ungewöhnliche Verkehrsmuster, können sie in Echtzeit auf Zwischenfälle reagieren, wie zum Beispiel das Beenden verdächtiger Netzwerkverbindungen.

Ein „schwarzes Loch“ ist ein Teil eines Netzwerks, in dem eingehender Datenverkehr gelöscht wird, ohne verarbeitet oder gespeichert zu werden. Blackhole-Routing bedeutet, dass eingehender Datenverkehr zu einem Blackhole umgeleitet wird, wenn ein DDoS-Angriff vermutet wird.

Der Nachteil ist, dass das Blackhole-Routing die Guten zusammen mit den Schlechten verwerfen kann. Gültiger und vielleicht wertvoller Datenverkehr kann auch weggeworfen werden, was das Routing von Blackholes zu einem einfachen, aber stumpfen Instrument im Angesicht eines Angriffs macht.

Ratenbegrenzung bedeutet, die Anzahl der eingehenden Anfragen zu begrenzen, die ein Server während eines bestimmten Zeitraums annehmen darf. Der Service kann auch für legitime Benutzer langsamer werden, aber der Server ist nicht überlastet. 

Beim Load Balancing wird der Netzwerkverkehr auf mehrere Server verteilt, um die Verfügbarkeit von Anwendungen zu optimieren. Load Balancing kann zur Abwehr von DDoS-Angriffen beitragen, indem er den Datenverkehr automatisch von überlasteten Servern wegleitet.

Unternehmen können hardware- oder softwarebasierte Load Balancer installieren, um den Datenverkehr zu verarbeiten. Sie können auch Anycast-Netzwerke nutzen, wodurch eine einzelne IP-Adresse mehreren Servern oder Knoten an mehreren Standorten zugewiesen werden kann, sodass der Datenverkehr auf diese Server verteilt werden kann. Normalerweise wird eine Anfrage an den optimalen Server gesendet. Wenn der Datenverkehr zunimmt, wird die Last verteilt, sodass die Server weniger überlastet werden können.

Scrubbing Center sind spezialisierte Netzwerke oder Dienste, die mithilfe von Techniken wie der Authentifizierung von Datenverkehr und der Erkennung von Anomalien bösartigen Datenverkehr aus dem legitimen Datenverkehr herausfiltern können. Scrubbing Center blockieren bösartigen Datenverkehr, während der legitime Datenverkehr sein Ziel erreichen kann.