Im Jahr 2018 erlebte GitHub eine der größten DDoS-Attacken, die jemals aufgezeichnet wurden. Laut Wired wurden bei dem Angriff 1,35 Terabit Daten pro Sekunde übertragen, was bei GitHub zu Ausfällen führte. Glücklicherweise verfügte das Unternehmen über eine Mitigationsstrategie und leitete den Datenverkehr schnell durch seinen DDoS-Schutzdienst, wodurch der Angriff vereitelt wurde.
Netscout zufolge, dessen Tochterunternehmen Arbor Networks eine Karte erstellt hat, die die täglichen DDoS-Angriffe zeigt, hat das Unternehmen im Jahr 2019 durchschnittlich 23.000 Angriffe pro Tag entdeckt. Sein jährlicher Bedrohungsbericht warnt, dass der Aufstieg des IoT, das in diesem Jahr voraussichtlich 20 Milliarden vernetzte Geräte hervorbringen wird, das Risiko von DDoS-Angriffen stark erhöht, die in Häufigkeit und Intensität zugenommen haben.
Aber wie die Erfahrung von GitHub zeigt, ist es möglich, einen Plan zu haben, der den Schaden mindert und sogar DDoS-Angriffe abwehren kann, wenn sie auftreten. Unternehmen können technische Vorkehrungen treffen, DDoS-Schutzdienste nutzen und klare Geschäftspläne in Erwartung eines Angriffs aufstellen.
Was ist ein verteilter Denial-of-Service-Angriff (DDoS)?
Mehr zum Thema CYBERSECURITYPolizeifunk-Apps werden immer beliebter. There’s Just One Problem.
Wie sieht Denial of Service aus?
Der Dozent Tom Scott erklärt auf Computerphile, dass der bösartige Kern eines DDoS-Angriffs Denial of Service ist, eine Angriffsform, die erstmals in den 1990er Jahren auftrat, als die meisten Menschen mit Computern über eine Einwahlverbindung im Internet surften. Einwahlverbindungen sind langsam – sie erreichen eine Geschwindigkeit von 56.000 Bits pro Sekunde, weniger als 1 Prozent der Geschwindigkeit moderner Breitbandverbindungen. Laut einem Blog-Post von SolarWinds machen diese Geschwindigkeiten das Anschauen von Videos in Echtzeit unmöglich, und selbst das Laden einer einzigen Seite auf einer modernen Website würde im Durchschnitt mehr als eine Minute dauern.
In dem Video von Computerphile erklärt Scott, dass Angreifer, die Zugang zu schnelleren Internetgeschwindigkeiten haben, wie z. B. die Breitbandverbindungen, die für Computer in Unternehmen und Universitäten zur Verfügung stehen, ein Ziel auswählen und eine Flut von Daten darauf schicken würden, so dass das Ziel nicht in der Lage wäre, weitere Verbindungen herzustellen. Der wichtigste Faktor für einen erfolgreichen Angriff war, eine schnellere Internetverbindung als das Ziel zu haben, so dass dem Ziel die Bandbreite für die Bearbeitung anderer Anfragen ausging.
Scott sagt, dass diese Art von Cyberangriff zwar keine Informationen stiehlt oder Systeme dauerhaft schädigt, aber ein Problem für Websites darstellt, die daran gehindert werden, ihre Benutzer zu bedienen, weil die Angreifer alle legitimen Anfragen verdrängen. Für einen Benutzer, der versucht, zu einer Website zu navigieren, die einem Denial-of-Service-Angriff ausgesetzt ist, würde die Seite niemals geladen werden – sie würde für eine lange Zeit hängen bleiben und dann einfach einen Timeout erleiden.
Heutzutage, so Scott, ist diese Art von Denial-of-Service-Flood-Angriff weniger populär, weil es schwierig ist, einen Computer mit genügend Bandbreite zu haben, um eine Website alleine zum Absturz zu bringen. Aber Angreifer sind ziemlich kreativ, und es gibt Varianten von Denial-of-Service-Angriffen, die dieses Problem umgehen.
Eine interessante Variante ist als Slowloris bekannt, die der Ausbilder Mike Pound in einem Computerphile-Video beschreibt. Anstatt so viele Daten wie möglich durch den Computer des Angreifers zu schicken, verlängert der Slowloris-Angriff die Dauer jeder Anfrage auf unbestimmte Zeit, indem er die Art und Weise ausnutzt, wie Webserver und Clients kommunizieren. Diese Methode fesselt die Verbindungen zum Server und monopolisiert schließlich den gesamten Datenverkehr zum Zielserver. Für Angreifer liegt der Vorteil von Slowloris-Angriffen darin, dass sie nicht viel Bandbreite benötigen, aber der Angriff ist nur auf Servern effektiv, die Schwierigkeiten haben, eine große Anzahl gleichzeitiger Verbindungen zu handhaben.
Arten von DDoS-Attacken
DDoS – das steht für Distributed Denial of Service – ist eine der beliebtesten Varianten von Denial-of-Service-Attacken. Cloudflare, ein Unternehmen, das neben anderen Web-Infrastruktur- und Sicherheitsprodukten auch DDoS-Schutzdienste anbietet, erklärt auf seiner Website die Angriffsstrategie. Anstatt den Angriff von einem einzigen Computer aus zu starten, verwenden die Angreifer viele verteilte Maschinen an verschiedenen Standorten, die zusammenarbeiten, um das Ziel zu überwältigen. Bei den verteilten Rechnern handelt es sich oft um Computer oder sogar intelligente Geräte wie Babyphone, die heimlich mit Malware infiziert und in ein Botnet unter der Kontrolle des Angreifers eingegliedert wurden. Der Angreifer ist dann in der Lage, die verteilten Maschinen – oder Bots – zu nutzen, um den Datenverkehr dorthin zu senden, wo er benötigt wird, um jede Art von DDoS-Angriff auszuführen.
Nach Aussage von Cloudflare CTO John Graham-Cumming ist es heutzutage üblich, dass Angreifer mehrere Arten von DDoS in einem einzigen Angriff nutzen: „Es ist einfach ein Versuch, das Netzwerk zu überwältigen, also werden sie versuchen, so viele verschiedene Dinge wie möglich zu senden“, sagte er gegenüber Built In.
Das heißt, die Angriffe neigen dazu, in drei Kategorien zu fallen.
Die erste Art von DDoS-Angriff, bekannt als Application Layer Attack, funktioniert wie Denial-of-Service-Flood-Attacken, nur in einem größeren Maßstab, so die Website von Cloudflare. Bots senden eine Flut von Datenverkehr an ein Ziel und verdrängen andere Benutzer, die versuchen, auf den Zielserver zuzugreifen. Angreifer lenken den Datenverkehr typischerweise auf zeitintensive Endpunkte auf dem Ziel – denken Sie an Anfragen, die große Datenbankabfragen erfordern oder große Dateien generieren. Diese Arten von Endpunkten erfordern nicht viele Ressourcen auf Seiten des Angreifers, um sie zu treffen, aber sie sind bandbreitenintensiv für das Ziel, um darauf zu reagieren. Das bedeutet, dass die Ressourcen des Ziels schnell aufgebraucht sein können.
„Es ist einfach ein Versuch, das Netzwerk zu überwältigen, also werden sie versuchen, so viele verschiedene Dinge wie möglich zu senden.“
Eine andere Art von DDoS-Angriff zielt auf die Art und Weise ab, wie Internetprotokolle – die Regeln, die die Kommunikation von Computern über das Internet erleichtern – funktionieren sollen. Ein von Cloudflare beschriebenes Beispiel ist die SYN-Flood-Attacke, die auf das Transmission Control Protocol (TCP) abzielt. Bei einer normalen TCP-Transaktion stellen der Client und der Server eine Verbindung her, indem sie eine standardisierte Reihe von Nachrichten austauschen, die als „Handshake“ bezeichnet werden, ähnlich wie beim Klettern der Kletterer mit dem Sichernden mit standardisierten Bestätigungen kommuniziert. Dieser Handshake teilt beiden Seiten mit, dass eine Verbindung erfolgreich aufgebaut wurde.
Eine SYN-Flood-Attacke hat einige Ähnlichkeiten mit einer Slowloris-Denial-of-Service-Attacke. Bei diesem Angriff sendet der Angreifer nur den ersten des dreiteiligen Handshakes an den Zielserver. Der Server antwortet daraufhin mit dem zweiten Teil, aber der Angreifer sendet keine abschließende Bestätigung, so dass der Server eine Zeit lang warten muss und nicht in der Lage ist, diese Verbindung zu nutzen, um auf weitere Anfragen zu antworten. Wenn ein Botnet dies tut, vervielfacht sich die Wirkung auf das Ziel.
Die dritte Art von DDoS-Angriff ist der Amplifikationsangriff. Laut Cloudflare nutzen diese Angriffe eine Reihe von Internetprotokollen, um die Größe jeder von einem Angreifer gesendeten Anfrage zu vervielfachen. Der Domain Name System (DNS)-Amplifikationsangriff nutzt beispielsweise das DNS-Protokoll, mit dem Computer normalerweise die IP-Adresse nachschlagen, die einer bestimmten Website-URL entspricht, ein Schritt, der das Navigieren im Internet ermöglicht. Normalerweise senden Clients eine Anfrage mit der gewünschten Website-URL an einen DNS-Server und erhalten eine Antwort mit der entsprechenden IP-Adresse zurück.
Cloudflare erklärt, dass der Angreifer die DNS-Amplifikation durch „Spoofing“ durchführt, indem er vorgaukelt, woher die Anfrage kommt – er lässt den DNS-Server glauben, dass die Anfrage vom Ziel und nicht vom Angreifer gesendet wurde. Die Anfrage bittet den DNS-Server in der Regel um eine große Menge an Daten, die der DNS-Server dann an das Ziel weiterleitet. Der Verstärkungseffekt ergibt sich aus der vergleichsweise geringen Bandbreite, die der Angreifer zum Senden der Anfrage benötigt, im Vergleich zu der Bandbreite, die das Ziel zum Empfangen der Antwort benötigt, sowie aus der Fähigkeit des Angreifers, Anfragen an mehrere DNS-Server zu senden. Wie bei allen verteilten Angriffen wird dies mit der Anzahl der Bots im Botnetz, das den Angriff durchführt, multipliziert.
Die Auswirkungen von DDoS verringern
DDoS-Attacken sind wie andere Cyberangriffe nach dem United States Computer Fraud and Abuse Act illegal, aber das hat Menschen nicht davon abgehalten, sie einzusetzen. Aktivisten haben DDoS als eine Form des Online-Protests genutzt, und das Hacker-Kollektiv Anonymous hat sogar eine Petition eingereicht, um DDoS zu legalisieren, mit dem Argument, dass es eine Form der freien Meinungsäußerung ist, ähnlich wie persönliche Demonstranten den Zugang zu einem Gebäude verweigern. Angriffe auf Online-Spieler sind so weit verbreitet, dass Spielefirmen sogar Anleitungen zu Präventionsstrategien veröffentlichen. Auch Regierungen waren schon Ziel und Täter von DDoS-Angriffen.
Um nicht das nächste Opfer zu werden, können Unternehmen vorbeugende Maßnahmen ergreifen. In dem Pluralsight-Kurs „Ethical Hacking: Denial of Service“ erklärt Kursleiter Troy Hunt, dass DDoS seinen Schaden dadurch anrichtet, dass er alle Netzwerkverbindungen oder die Bandbreite in Anspruch nimmt, die das Unternehmen eigentlich für legitime Nutzer aufwenden sollte. Eine schnelle Skalierung der Server, um mehr Verbindungen und Bandbreite zu bewältigen, kann das Problem entschärfen – kann aber auch teuer werden. Unternehmen, die ihre Websites bei Cloud-Anbietern hosten, haben in der Regel einfachen Zugang zu dieser Option.
Hunt erklärt in seinem Kurs, dass eine andere Strategie für Unternehmen darin besteht, Endpunkte, die ressourcenintensive Funktionen ausführen, hinter einer Art Schutz zu platzieren, der es Bots erschwert, an sie heranzukommen. So können Unternehmen beispielsweise verhindern, dass Bots schnell Server-Ressourcen binden, indem sie Endpunkte mit intensiven Datenbankabfragen oder großen Dateidownloads hinter Anmeldeseiten platzieren. Der allgegenwärtige Test mit seinen wellenförmigen Wörtern oder Bildern, die der Benutzer entziffern muss, ist eine weitere Möglichkeit, ressourcenhungrige Endpunkte vor Bots zu schützen.
Die Art und Weise, wie Unternehmen ihre Websites gestalten, ist laut Hunt ebenfalls wichtig. Die Kodierung einer Website als zusammenhängende Komponenten statt als voneinander abhängiger Monolith würde es ermöglichen, dass andere Bereiche einer Website funktionsfähig bleiben, selbst wenn ein Bereich von einer DDoS-Attacke betroffen ist.
Wie DDoS-Schutzdienste funktionieren
Heute bieten viele Unternehmen DDoS-Schutz als Service an.
Cloudflare ist einer der größten dieser DDoS-Schutzdienste. Es verwendet einige der gleichen Techniken, die einzelne Unternehmen zum Schutz vor DDoS einsetzen, aber laut dem Blog des Unternehmens ist seine größte Waffe ein großes Netzwerk von Servern auf der ganzen Welt, die den Webverkehr im Namen der Kunden abfangen.
Das Netzwerk von Cloudflare sitzt zwischen den Servern eines Kunden und dem Rest des Internets, nimmt eingehende Client-Anfragen entgegen und leitet sie an die Server des Kunden weiter. Als Vermittler kann Cloudflare nach verdächtigen Aktivitäten Ausschau halten und bösartige Anfragen herausfiltern, bevor sie den Kunden erreichen.
Selbst wenn ein DDoS-Angriff auf einen Kunden gerichtet ist, ist Cloudflare in der Lage, den Datenansturm zu absorbieren, indem es ihn über das Netzwerk von Cloudflare verteilt und die Arbeit auf viele Server aufteilt. Auf jedem Server prüft Cloudflare auf jede Art von DDoS-Angriff und filtert die Anfragen entsprechend.
„All diese verschiedenen Arten von Angriffen, was Sie tun wollen, ist, sie aufzuteilen, so dass sie an so viele verschiedene Städte wie möglich gehen“, sagte Graham-Cumming gegenüber Built In. „Innerhalb jedes Rechenzentrums identifiziert man dann, was schlecht ist und beseitigt es. Ob es sich also um eine SYN-Flood, eine ACK-Attacke oder um etwas handelt, das DNS-Verstärkung nutzt, ist in vielerlei Hinsicht dasselbe.“
„Man kann sich buchstäblich das Muster der Daten im Paket ansehen und sagen: ‚Das ist eine SYN-Flood.'“
Es kann für einzelne Unternehmen schwierig sein, mit Angriffen umzugehen, die mehrere Arten von DDoS beinhalten, vor allem weil einige Varianten schwieriger zu erkennen sind als andere. Graham-Cumming sagte, die am schwersten zu erkennenden Arten für Unternehmen seien Angriffe auf der Anwendungsebene, bei denen DDoS-Angriffe abgesehen vom Volumen wie normale Anfragen aussehen können.
Cloudflare geht mit Angriffen auf der Anwendungsebene um, indem es nach Anzeichen für böswillige Absichten analysiert. Ein Teil dieser Analyse wird durch maschinelles Lernen unterstützt, so Graham-Cumming.
„Aufgrund des Umfangs eines Cloud-first-Netzwerks – mit einer so großen Anzahl von Nutzern, die Cloudflare nutzen, und dem Datenverkehr, der durch uns fließt – können wir tatsächlich nach anomalem Verhalten in unserem Netzwerk suchen, was ein Hinweis auf eine Art von Angriff wäre, und dann können wir das nutzen, um andere Nutzer zu schützen“, sagte er. „Es geht mehr darum, den Datenverkehr zu betrachten, die Pakete zu betrachten, die auf uns zukommen, einen Fingerabdruck zu erstellen und zu sagen: ‚Wir wissen, dass dieses Paket tatsächlich an einem DDoS beteiligt ist, weil es einige Merkmale des Pakets selbst aufweist.'“
Die Fingerabdrücke, die Cloudflare entwickelt hat, um Angriffsmuster zu erkennen, sind ziemlich empfindlich, sagte er.
„Man kann sich buchstäblich das Muster der Daten im Paket ansehen und sagen: ‚Das ist eine SYN-Flood'“, sagte Graham-Cummings.
Aber Unternehmen, die DDoS-Schutzdienste nutzen, sollten trotzdem wachsam sein.
„Angreifer versuchen dann, den Dienst zu umgehen“, sagte er. „
Graham-Cumming empfahl Kunden, die DDoS-Schutzdienste nutzen, eine Filterung ihres Datenverkehrs einzurichten – so dass ihre Server nur Datenverkehr akzeptieren, der von der IP-Adresse des Dienstes stammt -, um dieses Problem zu beheben.
Was jedes Unternehmen im Falle eines DDoS-Angriffs braucht
DDoS kann den Ruf eines Unternehmens schädigen, sich negativ auf den Umsatz auswirken und erhebliche Ausgaben zur Behebung des Angriffs erfordern. Hunt erklärt in seinem Pluralsight-Kurs, dass legitime Benutzer und Kunden nicht in der Lage sind, auf die angegriffene Website zuzugreifen, was den normalen Geschäftsbetrieb verhindert und Käufe und Werbeeinnahmen von der Website abschneidet.
DDoS-Angriffe können nicht direkt Informationen von einem Ziel stehlen, aber Angreifer sind dafür bekannt, DDoS zu nutzen, um Unternehmen von gleichzeitigen Cyberangriffen abzulenken – während die Organisation damit beschäftigt ist, den DDoS zu bewältigen, verfolgen die Angreifer ihre wahren Ziele. Und DDoS-Attacken, die über einen längeren Zeitraum andauern, können dazu genutzt werden, ihre Ziele zu erpressen, ähnlich wie bei Ransomware-Attacken.
Hunt erklärt in seinem Kurs, dass der beste Weg, auf eine DDoS-Attacke zu reagieren, darin besteht, bereits einen Plan zu haben, wenn sie stattfindet. Es ist eine gute Idee, eine Unternehmenserklärung vorzubereiten, die im Falle eines Angriffs an die Öffentlichkeit gelangen würde. Unternehmen sollten auch über die Kosten nachdenken, die mit einem DDoS-Angriff auf ihre jeweiligen Websites verbunden sind, und anhand dieser Schätzung festlegen, was sie bereit sind, für die Behebung eines Angriffs zu zahlen.
Der Versuch, mitten in einer Krise eine Kosten-Nutzen-Rechnung aufzustellen, ist keine gute Idee, sagt Hunt, besonders wenn der Angriff das Unternehmen jede Minute Umsatz kostet. Aber mit im Voraus vorbereiteten Strategien auf der Geschäftsseite und technischen Schutzmaßnahmen werden Unternehmen nicht überrascht und können eine DDoS-Attacke überleben.
Mehr über CybersicherheitHier ist, was passiert, nachdem ein Unternehmen gehackt wurde