Ein DDoS-Angriff zielt darauf ab, eine Website, eine Webanwendung, einen Cloud-Dienst oder eine andere Online-Ressource zu deaktivieren oder offline zu nehmen, indem er sie mit sinnlosen Verbindungsanforderungen, gefälschten Paketen oder anderem bösartigen Datenverkehr überflutet.
Bei einem DDoS-Angriff werden Websites mit bösartigem Datenverkehr überflutet, wodurch Anwendungen und andere Dienste für rechtmäßige Benutzer nicht mehr verfügbar sind. Da die Ressource diese große Menge an unerlaubtem Datenverkehr nicht mehr bewältigen kann, verlangsamt sich ihre Reaktion immer mehr oder sie stürzt ganz ab, sodass sie für rechtmäßige Benutzer nicht mehr verfügbar ist.
DDoS-Angriffe gehören zur Kategorie der Denial-of-Service-Angriffe (DoS-Angriffe), die alle Cyberangriffe umfassen, die Anwendungen oder Netzdienste verlangsamen oder stoppen. DDoS-Angriffe sind insofern einzigartig, als sie gleichzeitig von mehreren Quellen aus angreifen – daher werden sie als „verteilt“ („distributed“) bezeichnet.
Zwar sind DDoS-Angriffe schon seit mehr als 20 Jahren ein Mittel von Cyberkriminellen, um den Netzwerkbetrieb zu stören, doch in letzter Zeit nehmen sie an Häufigkeit und Schwere zu. Einem Bericht zufolge stiegen die DDoS-Angriffe im ersten Halbjahr 2022 im Vergleich zum gleichen Zeitraum im Jahr 2021 um 203 Prozent.
Verstärken Sie Ihre Sicherheitsintelligenz
Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.
Im Gegensatz zu anderen Cyberangriffen geht es bei DDoS-Angriffen nicht darum, über Sicherheitslücken von Netzwerkressourcen in ein Computersystem einzudringen. Stattdessen werden standardmäßige Netzwerk-Verbindungsprotokolle wie das HTTP (Hypertext Transfer Protocol) und TCP (Transmission Control Protocol) verwendet, um Endpunkte, Apps und andere Assets mit mehr Datenverkehr zu überfluten, als sie bewältigen können. Web-Server, Router und andere Netzwerk-Infrastrukturen können keine unbegrenzte Anzahl von Anfragen verarbeiten und dabei beliebig viele Verbindungen aufrechterhalten. DDoS-Angriffe verbrauchen die verfügbare Bandbreite einer Ressource, damit sie nicht mehr auf rechtmäßige Verbindungsanfragen und Datenpakete reagieren kann.
Im Großen und Ganzen besteht ein DDoS-Angriff aus drei Phasen.
Phase 1: Auswahl des Ziels
Die Wahl des DDoS-Angriffsziels hängt vom Beweggrund des Angreifers ab, der sehr unterschiedlich sein kann. Manche Hacker wollen mit DDoS-Angriffen Geld von Unternehmen erpressen: Sie fordern ein Lösegeld, um den Angriff zu beenden. Andere Hacker verüben DDoS-Angriffe aus aktivistischen Gründen. Sie greifen Unternehmen und Institutionen an, mit denen sie nicht einverstanden sind. Besonders skrupellose Akteure nutzen DDoS-Angriffe, um Konkurrenzfirmen auszuschalten, und es gibt Staaten, die DDoS-Taktiken in Cyberkriegen einsetzen.
Zu den häufigsten DDoS-Angriffszielen gehören:
Online-Händler:Einzelhändler können durch DDoS-Angriffe erheblichen finanziellen Schaden erleiden, wenn ihr Online-Shop nicht mehr verfügbar ist und für einen bestimmten Zeitraum keine Einkäufe möglich sind.
Cloud-Service-Anbieter: Anbieter von Cloud-Services, wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform, sind beliebte Ziele für DDoS-Angriffe. Da diese Dienste Daten und Apps für andere Unternehmen hosten, können Hacker mit einem einzigen Angriff weitreichende Betriebsunterbrechungen verursachen. Im Jahr 2020 wurde AWS von einem massiven DDoS-Angriff getroffen, bei dem der Anbieter mit bösartigem Datenverkehr zu kämpfen hatte, der mit bis zu 2,3 Terabit pro Sekunde in sein Netzwerk eindrang.
Finanzinstitute: DDoS-Angriffe können Bankdienstleistungen offline schalten und Kunden daran hindern, auf ihre Konten zuzugreifen. Im Jahr 2012 waren sechs große US-Banken Ziel koordinierter DDoS-Angriffe, die wahrscheinlich politisch motiviert waren.
Software-as-a-Service (SaaS)-Anbieter: Wie Cloud-Service-Provider sind auch SaaS-Provider wie Salesforce, GitHub und Oracle attraktive Angriffsziele, da sie es Hackern ermöglichen, den Betrieb mehrerer Unternehmen gleichzeitig zu unterbrechen. Im Jahr 2018 erlitt GitHub den bis dahin größten DDoS-Angriff aller Zeiten.
- Gaming-Unternehmen: DDoS-Angriffe können Online-Spiele unterbrechen, wenn die Server mit Datenverkehr überflutet werden. Diese Angriffe werden oft von verärgerten Spielern mit persönlichen Rachemotiven gestartet – wie im Fall des Mirai-Botnets, das ursprünglich für Minecraft-Server entwickelt wurde.
Phase 2: Erstellung (oder Mieten oder Kaufen) eines Botnets
Für einen DDoS-Angriff ist in der Regel ein Botnet erforderlich, ein Netzwerk aus Geräten, die über das Internet verbunden und mit Malware infiziert sind, damit Hacker die Geräte darüber per Fernzugriff steuern können. Botnets können aus Laptop- und Desktop-Computern, Mobiltelefonen, IoT-Geräten und anderen privaten oder kommerziellen Endgeräten bestehen. Die Eigentümer dieser kompromittierten Geräte sind sich normalerweise nicht bewusst, dass sie infiziert sind oder für einen DDoS-Angriff verwendet werden.
Einige Cyberkriminelle erstellen ihre Botnets selbst, während andere sie kaufen oder mieten, indem sie ein „Denial-of-Service-as-a-Service“-Modell nutzen.
(HINWEIS: Nicht bei allen DDoS-Angriffen werden Botnets eingesetzt; manchmal wird der normale Betrieb nicht infizierter Geräte für böswillige Zwecke ausgenutzt, wie beispielsweise bei „den weiter unten erläuterten Smurf-Angriffen“.)
Phase 3: Starten des Angriffs
Hacker befehlen den Geräten im Botnet, Verbindungsanfragen oder andere Pakete an die IP-Adresse des Zielservers, -geräts oder -dienstes zu senden. Die meisten DDoS-Angriffe beruhen auf Brute-Force-Methoden. Hierbei wird eine große Anzahl von Anfragen gesendet, um die gesamte Zielbandbreite zu verbrauchen. Es gibt aber auch DDoS-Angriffe, die weniger, dafür aber kompliziertere Anfragen senden, bei denen das Ziel viele Ressourcen für die Reaktion aufwenden muss. In beiden Fällen ist das Ergebnis dasselbe: Der Angriffsdatenverkehr überwältigt das Zielsystem, verursacht eine Dienstverweigerung und verhindert, dass rechtmäßiger Datenverkehr auf die Website, Webanwendung, API oder das Netzwerk zugreifen kann.
Hacker verschleiern die Quelle ihrer Angriffe oft durch eine Technik namens IP-Spoofing, bei der für die vom Botnet gesendeten Pakete gefälschte Quell-IP-Adressen verwendet werden. Bei einer bestimmten Form des IP-Spoofings, der sogenannten „Reflection“, sieht es so aus, als ob der bösartige Datenverkehr von der IP-Adresse des angegriffenen Ziels selbst stammt.
DDoS-Angriffsarten werden oft auf der Grundlage des OSI-Referenzmodells (Open Systems Interconnection) benannt oder beschrieben. Das ist ein konzeptionelles Framework, das aus sieben Vermittlungsschichten besteht (und manchmal auch als OSI-7-Schichten-Modell bezeichnet wird).
Angriffe auf die Anwendungsschicht
Wie der Name schon sagt, zielt diese Angriffsart auf die Anwendungsschicht (7. Schicht) des OSI-Modells ab – die Schicht, in der Webseiten als Reaktion auf Benutzeranfragen generiert werden. Angriffe auf die Anwendungsschicht überfluten Webanwendungen mit bösartigen Anfragen, um die Kommunikation zu stören.
Eine der häufigsten Angriffsarten auf die Anwendungsschicht ist der HTTP-Flood-Angriff, bei dem kontinuierlich eine große Anzahl von HTTP-Anfragen von mehreren Geräten an dieselbe Website gesendet wird. Irgendwann kann die Website diese HTTP-Anfragen nicht mehr verarbeiten, wird erheblich langsamer oder stürzt vollständig ab. Einen HTTP-Flood-Angriff kann man sich auch so vorstellen, dass Hunderte oder Tausende von Webbrowsern wiederholt dieselbe Webseite aktualisieren.
Angriffe auf die Anwendungsschicht lassen sich zwar relativ einfach auslösen, aber schwieriger verhindern und eindämmen. Da immer mehr Unternehmen zu Microservices und Container-basierten Anwendungen wechseln, steigt das Risiko, dass Angriffe auf die Anwendungsschicht entscheidende Web- und Cloud-Dienste lahmlegen.
Protokollangriffe
Protokollangriffe zielen auf die Vermittlungsschicht (3. Schicht) und die Transportschicht (4. Schicht) des OSI-Modells ab. Sie überlasten kritische Netzwerkressourcen wie Firewalls, Lastausgleichsfunktionen und Web-Server mit bösartigen Verbindungsanfragen.
Zu den häufigsten Protokollangriffen gehören:
SYN-Flood-Angriffe:Ein SYN-Flood-Angriff setzt den TCP-Handshake ein, mit dem zwei Geräte eine Verbindung zueinander herstellen.
Bei einem typischen TCP-Handshake sendet ein Gerät ein SYN-Paket, um die Verbindung zu initiieren, das andere sendet als Reaktion darauf ein SYN/ACK-Paket, um die Anfrage zu bestätigen, und das erste Gerät sendet ein ACK-Paket zurück, um die Verbindung abzuschließen.
Bei einem SYN-Flood-Angriff wird eine große Anzahl von SYN-Paketen mit gefälschten Quell-IP-Adressen an den Zielserver gesendet. Der Server sendet seine Antwort an die gefälschte IP-Adresse und wartet auf das bestätigende ACK-Paket. Da die Quell-IP-Adresse jedoch gefälscht ist, kommt dieses Paket nie an. Durch die vielen nicht beendeten Verbindungen ist der Server so überlastet, dass er keine rechtmäßigen TCP-Handshakes mehr verarbeiten kann.
Smurf-Angriffe:Ein Smurf-Angriff nutzt das Internet Control Message Protocol (ICMP). Dieses Kommunikationsprotokoll bewertet den Status einer Verbindung zwischen zwei Geräten. Bei einem typischen ICMP-Austausch sendet das eine Gerät eine ICMP-Echoanfrage an das andere Gerät, das mit einer ICMP-Echoantwort reagiert.
Bei einem Smurf-Angriff sendet der Angreifer eine ICMP-Echoanforderung von einer gefälschten IP-Adresse, die wie die IP-Adresse des angegriffenen Ziels aussieht. Diese ICMP-Echoanfrage wird an ein IP-Broadcast-Netzwerk gesendet, das sie an jedes Gerät in einem bestimmten Netzwerk weiterleitet. Jedes Gerät, das die ICMP-Echoanfrage empfängt, das können Hunderte oder Tausende sein, antwortet mit einer ICMP-Echoantwort an die IP-Adresse des angegriffenen Ziels und überflutet das Gerät so mit mehr Informationen, als es verarbeiten kann. Im Gegensatz zu vielen anderen Arten von DDoS-Angriffen funktionieren Smurf-Angriffe auch ohne Botnet.
Volumetrische Angriffe
Volumetrische DDoS-Angriffe verbrauchen die gesamte verfügbare Bandbreite innerhalb des angegriffenen Netzwerks oder zwischen dem angegriffenen Service und dem Rest des Internets. So verhindern sie, dass sich rechtmäßige Benutzer mit den Netzwerkressourcen verbinden können. Selbst im Vergleich zu anderen Arten von DDoS-Angriffen überfluten volumetrische Angriffe die betroffenen Netzwerke und Ressourcen häufig mit sehr großen Datenmengen. Volumetrische Angriffe können DDoS-Schutzmaßnahmen überlasten, wie beispielsweise Scrubbing Centers, in denen bösartiger Datenverkehr aus dem rechtmäßigen herausgefiltert werden soll.
Zu den häufigsten Arten von volumetrischen Angriffen gehören:
UDP-Floods:Bei diesen Angriffen werden gefälschte Pakete des User Datagram Protocol (UDP) an die Ports eines Zielhosts gesendet, damit er nach einer Anwendung zum Empfang dieser Pakete sucht. Da es sich um gefälschte UDP-Pakete handelt, wird der Zielhost keine solche Anwendung finden und muss eine ICMP-„Destination Unreachable“-Meldung zurücksenden. Da er auf einen unablässigen Strom solcher gefälschter UDP-Pakete reagieren muss, werden seine Ressourcen aufgebraucht und er kann nicht mehr auf rechtmäßige Pakete reagieren.
ICMP-Floods: Diese Art von Angriff wird auch als „Ping-Flood-Angriff“ bezeichnet. Er bombardiert Ziele mit ICMP-Echoanfragen von mehreren gefälschten IP-Adressen. Da der Zielserver auf alle diese Anfragen reagieren muss, wird er überlastet und kann keine rechtmäßigen ICMP-Echoanfragen mehr verarbeiten. Bei ICMP-Floods muss der Angreifer also eine große Anzahl von ICMP-Anfragen von seinem Botnet an das angegriffene Ziel senden, während bei Smurf-Angriffen Netzwerkgeräte dazu gebracht werden, dies zu tun.
DNS-Verstärkungsangriffe: Hier sendet der Angreifer mehrere Anfragen zur Suche im DNS (Domain Name System) an einen oder mehrere öffentliche DNS-Server. Dabei wird eine gefälschte IP-Adresse des angegriffenen Ziels verwendet und jeweils eine große Menge von Informationen vom DNS-Server angefragt. Der DNS-Server reagiert dann auf die Anfragen, indem er die IP-Adresse des angegriffenen Ziels mit großen Datenmengen überflutet.
Multi-Vektor-Attacken
Wie der Name schon sagt, nutzen Multi-Vektor-Angriffe mehrere Übertragungswege, um maximalen Schaden anzurichten und DDoS-Abwehrmaßnahmen zu umgehen. Es ist möglich, mehrere Vektoren gleichzeitig zu nutzen oder mitten im Angriff zwischen den Vektoren zu wechseln, wenn einer von ihnen abgewehrt wurde. So kann ein Angriff beispielsweise mit einem Smurf-Angriff beginnen, aber, sobald die Netzwerkgeräte keinen bösartigen Datenverkehr mehr senden können, mit einem UDP-Flood-Angriff vom Botnet fortgesetzt werden.
DDoS-Bedrohungen können auch mit anderen Arten von Cyberangriffen kombiniert werden. Beispielsweise kann dem Opfer eines Ransomware-Angriffs mit einem DDoS-Angriff gedroht werden, um es unter Druck zu setzen, falls das Lösegeld nicht gezahlt wird.
DDoS-Angriffe gibt es schon sehr lange. Sie erfreuen sich aber immer größerer Beliebtheit bei Cyberkriminellen, weil ...
- Zu ihrer Ausführung sind nur wenige oder gar keine Kenntnisse erforderlich.Cyberkriminelle können direkt einsatzbereite Botnets von anderen Hackern anmieten, um so ohne viel Vorbereitung oder Planung einen DDoS-Angriff zu starten.
- Sie sind schwer zu entdecken.Da Botnets größtenteils aus privaten und kommerziellen Geräten bestehen, erschwert dies die Unterscheidung zwischen bösartigem Datenverkehr und echten Benutzern. Darüber hinaus können die Symptome von DDoS-Angriffen – langsame Leistung sowie vorübergehend nicht verfügbare Websites und Anwendungen – auch durch plötzliche Spitzen im rechtmäßigen Datenverkehr verursacht werden. Das macht es schwierig, DDoS-Angriffe in einem frühen Stadium zu erkennen.
- Sie sind schwer abzuwehren.Da DDoS-Angriffe verteilte Angriffe sind, können Unternehmen sie nicht einfach abwehren, indem sie eine einzelne Datenverkehrsquelle abschalten. Standard-Netzsicherheitskontrollen, die DDoS-Angriffe verhindern sollen, wie z. B. Durchsatzratenbegrenzung, können auch den Betrieb für legitime Benutzer verlangsamen.
- Es gibt mehr potenzielle Botnet-Geräte als je zuvor.Das immer größer werdende Internet der Dinge (IoT) eröffnet Hackern zahlreiche neue Möglichkeiten, um Geräte in Bots zu verwandeln. Internetfähige Geräte, Werkzeuge und Apparate, auch Betriebstechnik wie Medizinprodukte und Fertigungssysteme, werden oft mit universellen Standardeinstellungen und schwachen oder sogar fehlenden Sicherheitsmaßnahmen verkauft und betrieben, was sie besonders anfällig für Malware-Infektionen macht. Da diese Geräte oft passiv oder sporadisch genutzt werden, erkennen ihre Betreiber nicht unbedingt, wenn sie Opfer eines Cyberangriffs werden.
DDoS-Angriffe werden immer ausgefeilter, da Tools mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML) zum Einsatz kommen. Dadurch haben adaptive DDoS-Angriffe zugenommen. Hier werden mithilfe von KI und ML die anfälligsten Komponenten eines Systems gesucht, um dann je nach Abwehrmaßnahmen des Cybersicherheitsteams automatisch die Angriffsvektoren bzw. -strategien zu wechseln.
Ein DDoS-Angriff zielt darauf ab, den Systembetrieb zu stören bzw. zu unterbrechen, was hohe Kosten für das Unternehmen verursachen kann. Laut dem IBM-Bericht „Kosten einer Datenschutzverletzung 2022“ kosten durch einen Cyberangriff verursachte Servicestörungen, Systemausfälle und andere Geschäftsunterbrechungen das angegriffene Unternehmen im Durchschnitt 1,42 Mio. USD. Im Jahr 2021 kostete ein DDoS-Angriff einen VoIP-Anbieter fast 12 Millionen USD.
Der größte DDoS-Angriff aller Zeiten, der 3,47 Terabit bösartigen Datenverkehr pro Sekunde erzeugte, richtete sich im November 2021 gegen einen Microsoft Azure-Kunden. Die Angreifer nutzten ein Botnet mit 10.000 Geräten aus der ganzen Welt, um das Opfer mit 340 Millionen Paketen pro Sekunde zu bombardieren.
DDoS-Angriffe wurden auch schon gegen Regierungen eingesetzt, etwa gegen die belgische Regierung im Jahr 2021. Hacker haben einen von der Regierung betriebenen Internetdienstanbieter (ISP) ins Visier genommen, um die Internetverbindungen von mehr als 200 Regierungsbehörden, Universitäten und Forschungsinstituten zu unterbrechen.
Immer mehr Hacker nutzen DDoS nicht als primäre Angriffsmethode, sondern um das Opfer von einem ernsteren Cyberverbrechen abzulenken, z. B. um Daten auszulesen oder Ransomware in einem Netz zu installieren, während das Cybersicherheitsteam mit der Abwehr des DDoS-Angriffs beschäftigt ist.
Maßnahmen zu Abwehr und Schutz vor DDoS-Angriffen basieren in der Regel darauf, bösartigen Datenverkehr schnellstmöglich umzuleiten, etwa durch Scrubbing Centers oder Lastausgleichsfunktionen. Dazu können Unternehmen, die sich besser gegen DDoS-Angriffe verteidigen wollen, Technologien zur Erkennung und zum Abfangen von bösartigem Datenverkehr einsetzen, z. B Folgende:
- Web Application Firewalls. Die meisten Unternehmen nutzen heute Peripherie- und Web Application Firewalls (WAFs), um ihre Netzwerke und Anwendungen vor bösartigen Aktivitäten zu schützen. Während Standard-Firewalls individuelle Ports schützen, stellen WAFs sicher, dass Anfragen erst an Web-Server weitergeleitet werden, wenn sie sicher sind. Die WAF weiß, welche Arten von Anfragen legitim sind und welche nicht, sodass sie bösartigen Datenverkehr blockieren und Angriffe auf der Anwendungsebene verhindern kann.
Content Delivery Network (CDN): Ein CDN besteht aus verteilten Servern, mit denen Benutzer schneller und zuverlässiger auf Online-Dienste zugreifen können. Ein CDN sorgt dafür, dass Benutzeranfragen nicht zum Ursprungsserver des Dienstes zurückgeleitet, sondern an einen geografisch näher gelegenen CDN-Server weitergeleitet werden, der die Inhalte bereitstellt. CDNs können zum Schutz vor DDoS-Angriffen beitragen, weil sie die gesamte Datenverkehrskapazität eines Dienstes erhöhen. Wird ein CDN-Server durch einen DDoS-Angriff lahmgelegt, kann der Datenverkehr an andere verfügbare Serverressourcen im Netzwerk weitergeleitet werden.
- SIEM (Security Information and Event Management): SIEM-Systeme bieten eine Reihe von Funktionen zur frühzeitigen Erkennung von DDoS-Angriffen und anderen Cyberattacken, wie beispielsweise die Protokollverwaltung und Einblicke in das Netzwerk. Mit einer SIEM-Lösung können die von lokalen oder cloudbasierten Sicherheitstools generierten Sicherheitsdaten an einem zentralen Ort verwaltet werden. SIEMs überwachen die angeschlossenen Geräte und Anwendungen auf Sicherheitsvorfälle und ungewöhnliches Verhalten, z. B. zu hohe Pings oder nicht rechtmäßige Verbindungsanforderungen. Das SIEM markiert diese Anomalien, damit entsprechende Maßnahmen ergriffen werden können.
- Technologien zur Erkennung und Abwehr von Angriffen. Lösungen für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR) nutzen fortschrittliche Analysen und KI, um die Netzinfrastruktur zu überwachen und Anzeichen für eine Bedrohung zu erkennen (z. B. anormale Muster im Datenverkehr, die auf DDoS-Angriffe hindeuten), und Automatisierungsfunktionen, um in Echtzeit auf Angriffe zu reagieren (z. B. durch Beenden verdächtiger Netzverbindungen).
