DDoS (Distributed Denial of Service)

DDoS ist ein Versuch, die für ein Netzwerk, eine Anwendung oder einen Dienst verfügbaren Ressourcen zu erschöpfen, damit die eigentlichen Benutzer keinen Zugriff mehr auf den befallenen Dienst erhalten.

Beginnend im Jahr 2010, und nicht zuletzt durch den Aufstieg des Hacktivismus getrieben, haben wir eine Renaissance in DDoS-Attacken erlebt, die zu Innovationen in den Bereichen Werkzeuge, Ziele und Techniken geführt hat. Heute wird die Definition eines DDoS-Attacke noch komplizierter. Cyber-Kriminelle nutzen eine Kombination aus sehr hochvolumigen Angriffen, zusammen mit subtileren und schwer zu entdeckenden Infiltrationen, die sowohl auf Anwendungen als auch auf bestehende Netzwerk- Sicherheitsinfrastruktur wie Firewalls und IPS zielen.

Was sind die verschiedenen Arten von DDoS Attacken?

Verteilte Denial-of-Service-Attacken variieren erheblich, und es gibt Tausende von verschiedenen Möglichkeiten, um einen Angriff durchführen zu können (Angriffsvektoren), aber ein Angriffsvektor wird in der Regel in eine von drei großen Kategorien fallen:

Volumetrische Attacken
TCP State-Exhaustion Attacken
Angriffe auf Anwendungsschicht

Volumetrische Angriffe

Volumetrische Attacken versuchen, die Bandbreite entweder innerhalb des Ziel-Netzwerks/-Service oder zwischen dem Ziel-Netzwerk/Service und dem Rest des Internets zu verbrauchen. Bei diesen Angriffen geht es einfach darum, Staus zu verursachen.

TCP State-Exhaustion Attacken

TCP State-Exhaustion Attacken versuchen, die Verbindungs-Statustabellen zu verbrauchen, die in vielen Infrastrukturkomponenten wie Load-Balancer, Firewalls und den Applikationsservern selbst vorhanden sind. Selbst hochleistungsfähige Geräte, die in der Lage sind, Millionen von Verbindungen aufrecht zu halten, können durch diese Angriffe gestört werden.

Anwendungsschicht-Angriffe

Anwendungsschicht-Angriffe zielen auf einen Aspekt einer Anwendung oder eines Services bei Layer-7. Dies ist die zerstörerischste Art von Angriffen, da sie sehr effektiv sein können, mit nur einer angreifenden Maschine, die eine niedrige Verkehrsrate erzeugt (Dies macht es sehr schwierig, diese Angriffe proaktiv zu erkennen und zu entschärfen). In den letzten drei oder vier Jahren waren die Angriffe auf die Anwendungsschicht weit verbreitet, und einfache Überflutungsangriffe der Anwendungsschicht (HTTP GET flood etc.) waren einige der häufigsten Denial-of-Service-Attacken, die in freier Wildbahn gesehen wurden.

Die raffinierten Angreifer von heute vermischen volumetrische, Status-Exhaustion- und Anwendungsschicht-Angriffe gegen Infrastrukturgeräte in einem einzigen, nachhaltigen Angriff. Diese Cyber-Attacken sind populär, weil man sich schwer gegen sie verteidigen kann und sie häufig sehr effektiv sind.

Das Problem ist jedoch noch nicht zu Ende. Laut Frost & Sullivan werden DDoS-Attacken „zunehmend als Ablenkungstaktik für gezielte anhaltende Angriffe genutzt“. Angreifer nutzen DDoS-Werkzeuge, um das Netzwerk und die Sicherheitsteams abzulenken und gleichzeitig zu versuchen, fortgeschrittene, persistente Bedrohungen wie Malware in das Netzwerk einzuschleusen, mit dem Ziel, IP und/oder kritische Kunden- oder Finanzinformationen zu stehlen.

DDoS-Attacke – Glossar

Warum sind DDoS-Attacken so gefährlich?

DDoS stellt eine erhebliche Bedrohung für die Geschäftskontinuität dar. Da die Organisationen stärker vom Internet und webbasierten Anwendungen und Dienstleistungen abhängig geworden sind, ist deren Verfügbarkeit ebenso wichtig wie die Elektrizität.

DDoS ist nicht nur eine Bedrohung für Einzelhändler, Finanzdienstleister und Gaming-Unternehmen mit einem offensichtlichen Bedarf an Verfügbarkeit. DDoS-Attacken zielen auch auf die missionskritischen Unternehmensanwendungen ab, auf die Ihre Organisation angewiesen ist, um den täglichen Betrieb zu verwalten, wie E-Mail, Salesforce Automation, CRM und viele andere. Darüber hinaus verfügen andere Branchen wie Herstellung, Pharma und das Gesundheitswesen über interne Web-Eigenschaften, auf die sich die Lieferkette und andere Geschäftspartner für den täglichen Geschäftsbetrieb verlassen. All das sind Ziele für die ausgeklügelten Cyberangreifer von heute.

HTTP Flooding-Angriffe konzentrieren sich auf die Website

Was sind die Folgen eines erfolgreichen DDoS-Angriffs?

Wenn eine öffentliche Website oder Anwendung nicht verfügbar ist, kann dies zu wütenden Kunden, verlorenen Einnahmen und Schäden für die Marke führen. Wenn geschäftskritische Anwendungen nicht mehr verfügbar sind, kommen Betrieb und Produktivität zum Erliegen. Interne Websites, auf die Partner angewiesen sind, bedeuten Lieferketten- und Produktionsstörungen.

Eine erfolgreiche DDoS-Kampagne bedeutet auch, dass Ihre Organisation mehr Angriffe „eingeladen“ hat. Man kann davon ausgehen, dass die Angriffe so lange weitergehen, bis robuste DDoS-Abwehrkräfte eingesetzt werden.

SVN Flood-Angriffe, grüne und graue Pfeile, zielen auf Geräte

Was sind Ihre DDoS-Schutzoptionen?

Angesichts der hohen Bekanntheit der DDoS-Angriffe und ihrer potenziell verheerenden Folgen haben viele Sicherheitsanbieter plötzlich begonnen, DDoS-Schutzlösungen anzubieten. Wenn so viel von Ihrer Entscheidung abhängt, ist es wichtig, die Stärken und Schwächen Ihrer Optionen zu verstehen.

Anzeichen eines Slow-Read-Angriffs – verschlungene Pfeile von links

Bestehende Infrastrukturlösungen

(Firewalls, Einbruchmelde-/Schutzsysteme, Anwendungsbereitstellungskontrollen/Lastverteiler)

IPS-Geräte, Firewalls und andere Sicherheitsprodukte sind wesentliche Elemente einer geschichteten Verteidigungsstrategie, aber sie sind darauf ausgelegt, Sicherheitsprobleme zu lösen, die sich grundlegend von dedizierten DDoS-Erkennungs- und Minderungsprodukten unterscheiden. IPS-Geräte zum Beispiel blockieren Einbruchsversuche, die Datendiebstahl verursachen. Eine Firewall fungiert währenddessen als Policy Enforcer, um unerlaubten Zugriff auf Daten zu verhindern. Während solche Sicherheitsprodukte effektiv „Netzwerkintegrität und -Vertraulichkeit“ behandeln, versäumen sie es, ein grundsätzliches Anliegen in Bezug auf DDoS-Angriffe — die „Netzverfügbarkeit“ — anzusprechen. Darüber hinaus sind IPS-Geräte und Firewalls zustandsorientierte Inline-Lösungen, was bedeutet, dass sie anfällig für DDoS-Attacken sind und oft selbst zu deren Zielen werden.

Ähnlich wie IDS/IPS und Firewalls haben ADCs und Lastverteiler weder eine breitere Sichtbarkeit des Netzwerkverkehrs noch integrierte Gefahrenerkennung und sie sind ebenfalls zustandsorientierte Geräte, die anfällig für Status-Überlastungsangriffe sind. Die Zunahme von volumetrischen Status-Überlastungsbedrohungen und gemischten Angriffen auf Anwendungsebene macht ADC und Lastverteiler zu einer begrenzten und einseitigen Lösung für Kunden, die den allerbesten DDoS-Schutz benötigen.

Slow Post-Angriffe CDN Netzwerk-Timer

Content Delivery Networks (CDN)

Die Wahrheit ist, dass CDN zwar die Symptome eines DDoS-Angriffs angeht, aber diese großen Datenmengen einfach aufnimmt. Es lässt alle Informationen herein und durch. Alle sind willkommen. Dagegen gibt es drei Vorbehalte. Der erste ist, dass eine Bandbreite zur Verfügung stehen muss, um diesen großvolumigen Verkehr aufzunehmen, und einige dieser volumetrischen Angriffe überschreiten 300 Gbps, und es ist ein Preis für all diese Kapazitätsfähigkeit zu zahlen. Zweitens gibt es Möglichkeiten, das CDN zu umgehen. Nicht jede Website oder jeder Vermögenswert wird ein CDN nutzen. Drittens kann ein CDN nicht vor einem Anwendungs-basierten Angriff schützen. Lassen Sie also die CDN tun, wofür sie bestimmt sind.

Web-Anwendungs-Firewalls schützen vor Angriffen

Web-Anwendungs-Firewall (WAF)

Eine WAF ist ein Stateful-Pack-Processing-Gerät, mit dem webbasierte Anwendungsangriffe gestoppt werden können. Daher werden nicht alle Typen von DDoS-Attacken wie TCP-State-Exhaustion-Angriffe gestoppt. Jede Art von Flooding-Angriff durch Reflexion oder Verstärkung unter Verwendung zahlreicher Quellen würde eine WAF überfordern und die gesamte Lösung unbrauchbar machen. Insgesamt ergänzen sich diese beiden Technologien, um Organisationen vor Angriffen zu schützen, eine WAF schützt jedoch nicht vor den umfangreichen Vektoren von DDoS-Attacken.

Was ist der Ansatz zum DDoS-Schutz von NETSCOUT?

Seit mehr als einem Jahrzehnt schützt die Arbor DDoS-Lösung von NETSCOUT die größten und anspruchsvollsten Netzwerke der Welt vor DDoS-Angriffen. Wir sind der festen Überzeugung, dass der beste Weg, Ihre Ressourcen vor modernen DDoS-Attacken zu schützen, in einem mehrschichtigen Einsatz von eigens dafür gebauten DDoS-Schadensminderungslösungen liegt.

Nur mit eng verzahnten, mehrschichtigen Abwehrmaßnahmen können Sie Ihre Organisation ausreichend vor dem gesamten DDoS-Angriffsspektrum schützen.

Die Kunden von NETSCOUT genießen einen erheblichen Wettbewerbsvorteil, da sie über unsere Produkte sowohl einen Mikro-Blick auf ihr eigenes Netzwerk erhalten, kombiniert mit einem Makro-Blick auf den globalen Internet-Verkehr, über NETSCOUT Cyber Threat Horizon, eine Schnittstelle zu unserer ATLAS-Gefahrenerkennung und DDoS-Angriffs-Map.