Was ist ein Distributed Denial of Service (DDoS)-Angriff und wie funktioniert er?
Es gibt zwar verschiedene Arten von DDoS-Angriffen , aber sie alle verwenden Spam, der von einem Netzwerk infizierter Geräte verschickt wird, und versuchen, die normale Funktionalität einer Website zu stören, indem sie diese mit Datenverkehr überfluten.
Ein DDoS-Angriff (Distributed Denial of Service) ist ein bösartiger Cyberangriff, der darauf abzielt, Websites oder Server zum Absturz zu bringen, indem er sie mit Datenverkehr überflutet . Der plötzliche Ansturm von Datenverkehr überfordert die Infrastruktur der angegriffenen Website, was in der Regel zu deren Ausfall führt. Normale Benutzer der Website oder des Dienstes können nicht darauf zugreifen, bis der DDoS-Angriff behoben ist.
Was bedeutet DDoS?
DDoS steht für „Distributed Denial of Service“. Ein DDoS-Angriff ist in der Regel über ein großes Netzwerk infizierter Geräte verteilt (distributed) und zielt darauf ab, den regulären Benutzern der angegriffenen Website oder des angegriffenen Dienstes den Dienst zu verweigern (denial of service).
Wie funktioniert ein DDoS-Angriff?
Die meisten DDoS-Angriffe werden über Botnets durchgeführt – große Netzwerke aus mit Malware infizierten Computern, intelligenten IoT-Geräten und anderen internetfähigen Geräten, die von Hackern kontrolliert werden. Der Angreifer weist die Geräte im Botnet an, massenhaft Verbindungsanfragen an die IP-Adresse einer Ziel-Website oder eines Servers zu senden.
Das Endergebnis eines erfolgreichen DDoS-Angriffs ist, dass die angegriffene Website oder der angegriffene Dienst keine regulären Besucher mehr bedienen kann. Jeder, der versucht, die Website zu besuchen oder den Dienst während eines DDoS-Angriffs zu nutzen, kann keine Verbindung herstellen.
DDoS-Angriffe werden von einer Vielzahl von Geräten aus durchgeführt.
Stellen Sie sich einen DDoS-Angriff wie eine mittelalterliche Burgbelagerung vor. Die Armee der Zombie-Computer des Angreifers sind die feindlichen Soldaten, die die Burg des Zielservers von allen Seiten umzingeln. Während der Belagerung kann die Burg nicht wie gewohnt weiterarbeiten – stattdessen wird die Zugbrücke hochgezogen und die Tore werden fest verschlossen.
Häufige Arten von DDoS-Angriffen
Obwohl alle DDoS-Angriffe das gleiche Ziel haben, können die verwendeten Techniken variieren. Verschiedene Arten von DDoS-Angriffen verwenden unterschiedliche Methoden, um auf verschiedene Schichten des OSI-Modells (Open Systems Interconnection) abzuzielen, dem Framework, das die Netzwerkverbindungen im Internet regelt.
Angriffe auf der Anwendungsebene Die häufigste Form des DDoS-Angriffs sind Angriffe auf der Anwendungsebene, bei denen riesige Mengen an HTTP-Anfragen generiert werden, die die Reaktionsfähigkeit des Zielservers schnell erschöpfen. Es ist schwierig, zwischen legitimen und bösartigen HTTP-Anfragen zu unterscheiden, sodass diese Angriffe schwer abzuwehren sind. Die siebte und letzte Schicht des OSI-Modells ist die Anwendungsschicht, zu der Software wie Webanwendungen, mit dem Internet verbundene Anwendungen und Cloud-Dienste gehören, mit denen Menschen interagieren, wenn sie das Internet nutzen. Angriffe auf der Anwendungsebene werden auch als Layer-7-Angriffe bezeichnet.
Protokoll-Angriffe Protokollangriffe nutzen Schwachstellen in den Protokollen oder Verfahren aus, die die Internetkommunikation steuern. Sie können entweder auf der dritten (Netzwerk-) Schicht oder der vierten (Transport-) Schicht des OSI-Modells auftreten. Da es sich bei Internetprotokollen um globale Standards handelt, dauert die Aktualisierung eines Protokolls zur Behebung einer Schwachstelle sehr lange. TCP-Verbindungsangriffe oder SYN-Floods manipulieren die TCP-Handshakes, mit denen viele Internet-Kommunikationen eingeleitet werden. Die Angreifer senden gefälschte TCP-Anfragen mit gefälschten IP-Adressen. Das Ziel antwortet und wartet dann auf die gefälschte IP-Adresse, um den Handshake zu bestätigen. Die unvollständigen Handshakes häufen sich schließlich und überwältigen den Zielserver.
Volumetrische Angriffe Volumetrische Angriffe versuchen, die gesamte verfügbare Bandbreite des Ziels zu verbrauchen. Diese Angriffe führen zu einer übermäßigen Überlastung, indem sie Datenanforderungen verstärken, um massive Mengen an Datenverkehr an einen Zielserver zu senden. DNS-Amplifikationsangriffe leiten DNS-Anfragen an die IP-Adresse des Opfers um. Der Angreifer sendet gespoofte DNS-Anfragen mit der IP-Adresse des Opfers, woraufhin die DNS-Server stattdessen an das Opfer antworten und dabei dessen Bandbreite völlig überlasten.
So erkennen Sie einen DDoS-Angriff
Wenn Sie das Opfer eines DDoS-Angriffs sind, werden Sie einen plötzlichen Ansturm von eingehendem Datenverkehr bemerken, kurz bevor Ihr Server unter dem Druck zusammenbricht. Wenn Sie eine Website besuchen, die von einem DDoS-Angriff betroffen ist, wird sie extrem langsam geladen oder Sie erhalten die Fehlermeldung 503 „Service Unavailable“. Wahrscheinlich können Sie die Website nicht mehr nutzen, bis der Angriff vorüber ist oder abgewehrt wurde.
Wenn Ihr Computer in einem Botnet verwendet wird, um einen DDoS-Angriff auszuführen, treten bei Ihnen möglicherweise folgende Warnzeichen auf:
Plötzlicher Leistungsabfall
Häufige Fehlermeldungen
Systemabstürze
Stark reduzierte Internetgeschwindigkeit
Mit einem kostenlosen Anti-Malware-Tool können Sie verhindern, dass Botnets Ihre Geräte infizieren. Erkennen und blockieren Sie eingehende Malware, da Sie mit Avast One alles Bösartige, das sich bereits auf Ihren Geräten befindet, scannen und entfernen können.
Beispiele für DDoS-Angriffe
2021 Im September 2021 kam es bei dem kanadischen VoIP (Voice over Internet Protocol)-Anbieter zu einem Erpressungsversuch in Höhe von 4,2 Millionen Dollar per DDoS-Angriff. Die Angreifer belagerten die Website und verlangten eine hohe Lösegeldzahlung, um den Angriff zu beenden. Es dauerte fast zwei Wochen, bis der Internet-Provider seine Infrastruktur aktualisiert und den Service für seine Kunden wiederhergestellt hatte. Aufgrund der anhaltenden DDoS-Angriffe arbeiten alle unsere Ressourcen noch immer daran, unsere Website und Sprachserver zu stabilisieren. Wir sind uns der Bedeutung der Auswirkungen auf den Betrieb unserer Kunden bewusst und möchten Ihnen versichern, dass wir alle Anstrengungen unternehmen, um unseren Service wiederherzustellen. – (@voipms) 22. September 2021
Yandex-Angriff 2021 Ebenfalls im September 2021 brach das Mēris-Botnet den Rekord für die meisten Anfragen pro Sekunde (RPS), als es das russische Internetunternehmen Yandex mit sagenhaften 21,8 Millionen RPS angriff. Bei dem DDoS-Rekordangriff kam eine Technik zum Einsatz, die als HTTP-Pipelining bekannt ist und bei der Bots Ströme von HTTP-Anfragen absetzen, ohne auf die Fertigstellung der einzelnen Anfragen zu warten. Das Mēris-Botnet setzte Router-Hacking-Malware ein, um Router der Marke MikroTik zu kompromittieren. Da Router und IoT-Geräte in der Regel schwächer gesichert sind als Computer und Smartphones, sind sie ein attraktives Ziel für Botnet-Ersteller. Erfahren Sie, wie Sie Router-Hacking verhindern können, damit Ihr Router nicht von dieser Art von Botnet infiziert wird.
Angriff auf Cloudflare 2021 Nur wenige Monate vor dem Angriff auf Yandex griff das Mēris-Botnet den Cloud-Service-Anbieter Cloudflare mit einem weiteren massiven DDoS-Angriff an. Der Angriff belief sich auf 17,2 Millionen RPS – etwa zwei Drittel der typischen RPS-Arbeitslast von Cloudflare . Der Angriff war der größte volumetrische DDoS-Angriff, der zu diesem Zeitpunkt jemals aufgezeichnet wurde.
Github-Angriff 2018 Drei Jahre vor dem Auftauchen des Mēris-Botnets überflutete ein DDoS-Angriff die Programmier-Website GitHub mit einer rekordverdächtigen Datenmenge von 1,35 TB pro Sekunde. Bei diesem Angriff wurden DNS-Verstärkungsmethoden verwendet, um andere Server dazu zu bringen, sich mit Github zu verbinden.
Wie Sie feststellen können, stammen alle Beispiele für DDoS-Angriffe bis auf eines aus dem Jahr 2021 – das liegt daran, dass DDoS-Angriffe sowohl in ihrem Umfang als auch in ihrer Häufigkeit zunehmen. Zusammen mit Ransomware stellen sie eine der größten Bedrohungen für die Cybersicherheit der letzten Jahre dar.
Ransomware und DDoS-Angriffe sind zwei der größten aktuellen Bedrohungen durch Cyberkriminalität.
Ist DDoS illegal?
DDoS-Angriffe sind in den meisten Ländern, die über Gesetze zur Cyberkriminalität verfügen, illegal. Der Computer Fraud and Abuse Act (CFAA) in den USA unterstützt Gefängnisstrafen für DDoS-Angreifer. Im Vereinigten Königreich deckt der Computer Misuse Act DDoS-Angriffe sowie eine breite Palette anderer Cyberkriminalität ab.
Im September 2021 verurteilte ein Geschworenengericht in Kalifornien einen Cyberkriminellen, der zwei gewinnorientierte Websites betrieben hatte, über die andere ihre eigenen DDoS-Angriffe starten konnten. Aus den Dokumenten des neuntägigen Gerichtsverfahren ging hervor, dass über die Websites mehr als 200.000 Angriffe durchgeführt worden waren.
Gründe für DDoS-Angriffe
Erpressung Hacker können DDoS-Angriffe nutzen, um ein Unternehmen zur Zahlung eines Lösegelds zu bewegen. Einige Hacker beginnen mit DDoS-Angriffen und verlangen dann eine Zahlung, um einen umfassenden Angriff zu verhindern. Andere beginnen sofort mit dem Angriff und versprechen, erst aufzuhören, wenn das Opfer ein Lösegeld zahlt.
Politik Manchmal nutzen Regierungen (angeblich) DDoS-Angriffe, um abweichende Meinungen zum Schweigen zu bringen, die Kommunikation der Opposition zu behindern oder sogar ein anderes Land ins Visier zu nehmen. Alternativ können auch „hacktivistische“ Gruppen DDoS-Angriffe gegen Regierungs- oder Unternehmenswebsites einsetzen.
Sabotage von Unternehmen DDoS ist ein attraktives, wenn auch unethisches Instrument für Unternehmen, die sich einen Vorteil gegenüber einem Konkurrenten verschaffen wollen. Schon wenige Minuten Ausfallzeit können erheblichen finanziellen und rufschädigenden Schaden anrichten. DDoS-Angriffe können dazu führen, dass Benutzer zu vermeintlich zuverlässigeren Optionen wechseln.
Als Ablenkung DDoS-Angriffe sind Großereignisse, die sofortige und konzentrierte Aufmerksamkeit erfordern – ideal, um den Fokus des Opfers von anderen potenziellen Schwachstellen abzulenken. Hacker können DDoS als Ablenkungsmanöver einsetzen, um die Opfer abzulenken, während sie ihren Hauptangriff durchführen, z. B. einen Finanz- oder Datenraub.
Als Test DDoS-Angriffe können Hackern Aufschluss darüber geben, wie stark die Sicherheitsinfrastruktur eines Ziels ist. Unternehmen setzen DDoS-Angriffe manchmal aus dem gleichen Grund gegen sich selbst ein: um ihr Netzwerk einem Stresstest zu unterziehen und potenzielle Schwachstellen zu identifizieren.
Als Bewährungsprobe für die eigenen Fähigkeiten Ein erfolgreicher DDoS-Angriff gegen ein bedeutendes Ziel ist keine kleine Leistung. Einige Hacker führen DDoS-Angriffe nur zur persönlichen Befriedigung aus und um ihre Glaubwürdigkeit als Hacker zu beweisen. Es gibt keinen besseren Weg, ein Botnetz vorzuführen, als mit einem verheerenden DDoS-Angriff.
DDoS-Schutz: So können Sie DDoS-Angriffe stoppen
Es ist zwar unwahrscheinlich, dass Sie Ziel eines DDoS-Angriffs werden, aber Sie können verhindern, dass Ihre Geräte als Teil eines Botnets für einen solchen Angriff verwendet werden. Nutzen Sie zuverlässige Antivirus-Software und befolgen Sie die folgenden klugen Internet-Sicherheitsgewohnheiten, um Hacker von Ihren Geräten fernzuhalten.
So wehren Sie sich gegen DDoS-Angriffe
Wenn Sie ein Unternehmen führen oder ein Netzwerk verwalten, müssen Sie sich möglicherweise gegen DDoS-Angriffe auf Ihre Server schützen. Da DDoS-Angriffe von mehreren Vektoren gleichzeitig ausgeführt werden, kann es schwierig sein, den bösartigen Datenverkehr von authentischen Quellen zu trennen.
Avast Business Hub ist eine All-in-One-Cybersicherheitslösung für Unternehmen, die Ihr Netzwerk sicher macht. Sie können Bedrohungen und Angriffe von einem zentralen Dashboard aus erkennen und darauf reagieren, Ihre gesamte Software aktualisieren, aus der Ferne auf jedes Gerät zugreifen und vieles mehr.
Mit Avast Business Hub können Sie Ihr gesamtes Netzwerk von einem einfach zu bedienenden Dashboard aus überwachen.
Sichern Sie Ihre Geräte mit einer weltweit führenden Cybersicherheitslösung
Wenn Sie verhindern wollen, dass Ihre Geräte infiziert und für einen DDoS-Angriff verwendet werden, müssen Sie Hacker und ihre Botnet-Malware fernhalten.
Avast One erkennt und blockiert Malware, Phishing-E-Mails und andere Techniken, die Cyberkriminelle einsetzen, um die Kontrolle über Ihr Gerät zu erlangen. Stärken Sie Ihre Unabhängigkeit und Sicherheit mit der Antiviruslösung, der über 400 Millionen Menschen auf der ganzen Welt vertrauen.
DDoS-Angriffsabwehr-Service
Bei dem Radware Notfallteam (ERT) handelt es sich um eine Gruppe von Sicherheitsexperten, die rund um die Uhr Support- und Entschärfungsdienste für Kunden bereitstellt, die mit einer breiten Palette von DDoS-Angriffen auf Anwendungs- und Netzwerkebene konfrontiert sind. Das ERT verfügt über erfahrene Sicherheitsingenieure, die sofortige Hilfe und spezielle Abwehrtechniken für Organisationen bereitstellen, die von Denial-of-Service- (DoS) oder Distributed Denial-of-Service (DDoS)-Angriffen oder Malware-Ausbrüchen betroffen sind. Das ERT ergänzt die Fähigkeit einer Organisation, mit Cyberangriffen umzugehen, indem es sowohl Sicherheitskompetenz als auch Echtzeit-Bedrohungsinformationen bereitstellt.
Das Team befasst sich mit der Entschärfung eines breiten Spektrums von Sicherheitsereignissen, einschließlich Malware-Ausbrüchen, Applikations-Exploits, DDoS-Angriffen und DoS-Angriffen. Radwares ERT-Sicherheitsanalysten und -ingenieure bekämpfen täglich gängige und neu auftretende Angriffe und bieten ihren Kunden branchenführende Fachkenntnisse, Best Practices und ein umfassendes Wissen über Bedrohungen, Angriffstools, Informationen und Technologien zur Angriffsabwehr. Das ERT bietet das erforderliche Fachwissen und den Service bei länger andauernden, komplexen Angriffen und hilft bei der raschen Wiederherstellung des Betriebs, indem es DDoS-Angriffe schnell entschärft.
Gesundheitswesen im Fokus von DDoS-Attacken
Besorgniserregender Anstieg von Cyber-Angriffen Gesundheitswesen im Fokus von DDoS-Attacken
Die wachsende Zahl von DDoS-Angriffen auf Deutschlands Gesundheitswesen ist nicht überraschend, da auch zentraleuropäische Nachbarländer den gleichen Trend verzeichnen. Was auffällt, ist, dass der Grad an Komplexität und die Bedrohlichkeit von Cyber-Attacken deutlich zugenommen hat.
Durch den schnellen Wandel von Technologien und der Verlagerung von Daten und Apps in digitale Umgebungen finden Cyber-Kriminelle mehr Ansatzpunkte für Angriffe (Bild: Alex –
Die schiere Zahl der DDoS-Angriffe und die Rate, mit der diese Zahl wächst, sind alarmierend.
Warum ist das Gesundheitswesen so stark von Cyber-Angriffen betroffen?
Die Motivation für DDoS-Angriffe auf Gesundheitsdienste ist unterschiedlich, jedoch verzeichnen wir neben dem Anstieg von politisch motivierten Angriffen im Zusammenhang mit der Corona-Pandemie auch vermehrt kriminell organisierte Erpressungsversuche, weil ein bedeutender prozentualer Anteil des Bruttoinlandsprodukts auf den medizinischen Sektor entfallen. Ransomware- und DDoS-Angriffe stellen hier eine ernstzunehmende Bedrohung für Patienten und Dienstleister dar. Gelingt es Angreifern, kritische Systeme durch Ransomware zu verschlüsseln oder IT-Systeme und medizinische Services durch DDoS-Angriffe zum Erliegen zu bringen, ist schlimmstenfalls das Leben von Personen in Gefahr, was enormen Druck ausübt.
Immer mehr Prozesse im Gesundheitswesen werden digitalisiert. Die Abhängigkeit dieser digitalen Services macht Kliniken und Unternehmen im Gesundheitswesen anfälliger für Distributed-Denial-of-Service-Angriffe (DDoS). (© Netscout)
Durch den schnellen Wandel von Technologien und der Verlagerung von Daten und Apps in digitale Umgebungen finden Cyber-Kriminelle mehr Ansatzpunkte für Angriffe vor. Auch der zunehmende Einsatz von IoT-Technologie bietet eine breite Angriffsfläche, da IoT-Geräte vielfach ohne Gedanken an IT-Sicherheit entwickelt und gebaut werden, und somit anfällig für Missbrauch durch Cyber-Kriminelle sind.
Nutzer sind wiederum darauf angewiesen, dass diese digitalen Services und IT-Ressourcen störungsfrei zur Verfügung stehen. Beispiele sind hier die Verarbeitung von Echtzeitdaten bei Diagnose und Behandlungen oder Augmented-Reality-Visualisierungen, um Patienten eine Diagnose oder Behandlung besser verständlich zu machen.
Laut dem Netscout Threat Intelligence Report zum ersten Halbjahr 2021 stieg die Zahl der DDoS-Angriffe weltweit im Vergleich zu 2020 um fast elf Prozent auf 5,4 Millionen. In Deutschland registrierte der Report einen komplexen DDoS-Angriff, bei dem 31 unterschiedliche Angriffsvektoren zum Einsatz kamen, so viel wie in keinem anderen Fall. Das Ziel der Angreifer: Die betroffenen Organisationen sollen zahlen, um vor weiteren Attacken verschont zu bleiben.
Wie sich Unternehmen im Gesundheitswesen schützen können
DDoS-Angriffe setzen Unternehmen dem Risiko aus, große Teile ihrer Online-Dienste und -Systeme zu zerstören oder lahmzulegen. Hinzu kommt, dass die anfallenden Kosten, wenn man Opfer eines DDoS-Angriffs wird, erheblich sind. Wie eine Bitkom-Studie vom August 2021 zeigt, stehen DDoS-Attacken auf der Liste der jährlichen Gesamtschäden an zweiter Stelle.
Maßgeschneiderte Lösungen
Eine Patentlösung für die Abwehr von DDoS-Attacken gibt es nicht. Vielmehr ist es angebracht, ein individuelles Schutzkonzept zu entwickeln. Es sollte die Eigenheiten des Netzwerks und die speziellen Anforderungen des Unternehmens berücksichtigen.
Wirkungsvolle Sicherheitskonzepte gegen moderne DDoS-Angriffe zeichnen sich heute dadurch aus, dass sie auf Basis von Best-Current-Practices-Empfehlungen hybrid konzipiert sind, sprich wie ein Schutzschild, das ein On-Premise-DDoS-Protection-System im eigenen Rechenzentrum mit einem cloudbasierten DDoS-Abwehr-Service kombiniert.
Diese Verteidigungsstrategie schafft die Möglichkeit, dass Unternehmen alle Arten von DDoS-Angriffen, also auch Attacken die im verschlüsselten Datenverkehr eingebettet sind oder die sich zum Beispiel gegen Session haltende Systeme wie NextGen Firewalls oder LoadBalancer richten, zunächst am Rand des eigenen Netzwerkes erkennen und abwehren.
Im Falle von volumetrischen DDoS-Angriffen erfolgt dann ein Re-Routing zu einem Cloud-DdoS Service Provider, der dann diese Art der Angriffe abschwächt und einen gereinigten Datenverkehr zurück ins eigene Rechenzentrum ermöglicht.
Änderungen der IT-Infrastruktur dokumentieren
Änderungen der IT-Infrastruktur sollten dokumentiert werden – das klingt trivial, bleibt jedoch häufig im Tagesgeschäft „auf der Strecke“. Eine wirkungsvolle DDoS-Abwehr setzt voraus, dass alle Modifikationen an Servern, Anwendungen, Services und IT-Sicherheitssystemen mit Zugang zum Internet dokumentiert und in die Verteidigungsstrategie integriert werden.
Testen, testen, testen
Die Vorkehrungen gegen DDoS-Angriffe müssen regelmäßig auf ihre Wirksamkeit getestet werden, und das unter realitätsnahen Bedingungen. Das gilt für alle Server, Services sowie Netzwerk- und Storage-Komponenten. Denn in der Praxis kommt es häufig vor, dass beispielsweise ein Web-Server, auf denen extern zugegriffen wird, gut abgeschirmt ist. Das gilt aber nicht für ebenso wichtige Systeme wie DNS- und Anwendungsserver. Tests machen solche Defizite transparent.
Fazit: Vorbeugen ist Pflicht
Es ist davon auszugehen, dass sich die Zahl der DDoS-Angriffe weiter erhöht. Zu denken gibt, dass mittlerweile immer mehr Attacken auftreten, die mehrere Methoden kombinieren: DDoS, den Diebstahl von verwertbaren Daten und das Verschlüsseln von Unternehmensinformationen – Stichwort „Ransomware“. Daher ist es wichtiger denn je, eine effektive DDoS-Abwehr aufzubauen.
*Der Autor, Karl Heuser, ist Account Manager Security DACH bei Netscout.
(ID:47910511)