Europa im Visier: Vermehrtes Auftreten von DDoS-Attacken über Botnetze
„Kaspersky DDoS Intelligence Report“ für das dritte Quartal 2016 erschienen
[datensicherheit.de, 01.11.2016] Laut dem aktuellen „Kaspersky DDoS Intelligence Report“ für das dritte Quartal 2016 haben die über Botnetze ausgeführten DDoS-Attacken (Distributed Denial of Service) in und aus Westeuropa zugenommen.
Deutschland, Frankreich und Italien wieder verstärkt im Visier
Erstmals seit einem Jahr seien Deutschland, Frankreich und Italien wieder unter den zehn am stärksten von Angriffen betroffenen Ländern.
DDoS-Angriffe könnten weitreichende Folgen für betroffene Unternehmen und Internet-Service-Provider haben. Dies habe auch der durch einen DDoS-Angriff mit der Malware „Mirai“ über das Internet der Dinge auf den Internetdienstleister Dyn verursachte Ausfall von Web-Angeboten wie Amazon, Netflix, Twitter, Spotify, AirBnB oder Reddit am 21. Oktober 2016 gezeigt.
Einzelne DDoS-Attacken könnten Schäden in Millionenhöhe verursachen – und acht von zehn Unternehmen würden im Zeitraum eines Jahres sogar mehrfach angegriffen, so eine weitere Studie von KASPERSKY lab.
Internet der Dinge als Basis für DDoS-Angriffe
Die Anzahl der Attacken durch Linux-basierte DDoS-Bots sei weiter angestiegen. 79 Prozent der DDoS-Angriffe würden mittlerweile über Linux-Geräte durchgeführt. Der Einsatz Linux-basierter Geräte aus dem Internet der Dinge für DDoS-Angriffe werde also immer beliebter und sich aller Voraussicht nach durch die Veröffentlichung des „Mirai“-Schadcodes weiter ausbreiten.
Die Infektionsmethode über das Internet der Dinge sei sehr einfach und stütze sich auf menschliche Nachlässigkeit – Hersteller lieferten Geräte mit Standardkonfiguration aus und Nutzer änderten diese nicht, erklärt David Emm, „Principal Security Researcher“ bei KASPRESKY lab. Die Angreifer nutzten Standardanmeldeinformationen, um Zugang zu Online-Geräten wie Heimrouter, IP-Kameras oder digitale Videorekorder zu erhalten. Sobald sich der schädliche Code auf einem Gerät befindet, werde dieses Teil des Botnetzes und diene als Helfer, um das Angriffsziel mit Netzverkehr bzw. Anfragen zu überfluten und damit zu verhindern, dass Webseiten regulär funktionieren.
Emm mahnt: „Jeder, der internetverbundene Geräte nutzt, sollte alle voreingestellten Passwörter ändern. Es sollten einzigartige und komplexe Passwörter verwendet werden – das gilt vor allem für den Heimrouter, der die Tür zum Heimnetzwerk darstellt.“
In 67 Ländern DDoS-Angriffe über Botnetze
Für den „Kaspersky DDoS Intelligence Report“ werden nach Angaben von KASPERSKY lab quartalsweise die Aktivitäten des „DDoS Intelligence System“ ausgewertet:
Im dritten Quartal 2016 seien weltweit in 67 Ländern DDoS-Angriffe über Botnetze zu verzeichnen gewesen.
Die Zunahme der Angriffe in Westeuropa gehe einher mit einer wachsenden Zahl von Command-and-Control-Servern zur Steuerung der Botnetze. Diese Server stünden vor allem in Großbritannien, Frankreich und den Niederlanden.
Die Mehrheit der DDoS-Attacken richte sich allerdings gegen Ressourcen in China. So sei eine chinesische Suchmaschine 19-mal in einem Quartal attackiert worden und auch der mit 184 Stunden längste Angriff im dritten Quartal 2016 sei gegen einen chinesischen Provider gerichtet gewesen.
Deutlich zugenommen hätten Angriffe auf Internet-Ressourcen in den USA, Japan und Russland.
Folgen für betroffene Unternehmen z.T. verheerend
Die Studie „Corporate IT Security Risks“, die von B2B International im Auftrag von KASPERSKY lab im Jahr 2016 durchgeführt worden sei und in 25 Ländern über 4.000 Unternehmen befragt habe, ergänze die Erkenntnisse des aktuellen „Kaspersky DDoS Intelligence Reports“.
Diese Studie zeige, dass unabhängig von der Art der DDoS-Angriffe die Folgen für betroffene Unternehmen verheerend sein könnten. Die durchschnittlichen Folgeschäden eines DDoS-Angriffs betragen demnach etwa 100.000 Euro bei kleineren Unternehmen und reichen bei Großunternehmen bis an die 1,5 Millionen-Euro-Grenze.
Die höchsten Kosten (etwa 20 Prozent) entstünden bei mittleren und großen Unternehmen durch ein schlechteres Rating bei Versicherungen in Folge der Angriffe. Überstunden der Angestellten seien dagegen bei Unternehmen mit unter 100 Mitarbeitern der größte Kostenfaktor (17 Prozent). Daneben würden Kosten für die Wiederherstellung der Reputation, den Ausbau der IT-Infrastruktur und Software, Mitarbeiterschulungen sowie Kompensationen für Kunden entstehen.
DDoS-Attacken generell zu spät entdeckt
Acht von zehn Unternehmen würden im Zeitraum eines Jahres mehrfach angegriffen. 39 Prozent der DDoS-Angriffe seien nur von kurzer Dauer, doch 21 Prozent der befragten Unternehmen blieben den Attacken mindestens eine Woche oder sogar monatelang ausgesetzt.
DDoS-Attacken würden generell zu spät entdeckt: 27 Prozent der Unternehmen seien erst durch Hinweise von Kunden auf die Angriffe aufmerksam geworden; in 46 Prozent der Fälle seien es Dritte, die Alarm schlügen.
Würden aber DDoS-Angriffe in den ersten 24 Stunden also solche erkannt, wären die Schäden im Schnitt nur halb so hoch wie bei einer späteren Enttarnung.
Weitere Informationen zum Thema:
datensicherheit.de, 01.11.2016
DDoS-Attacken: Nur ein Drittel deutscher Unternehmen ausreichend vorbereitet
datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge
datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke
datensicherheit.de, 03.05.2016
DDoS-Attacken: Anstieg um das Vierfache im ersten Quartal 2016
Wie man DDoS-Angriffe auf meinen Servern abschwächt und wie sie funktionieren
Denial-of-Service-Angriffe (DoS) sind eine der beliebtesten Methoden der Angreifer, um nutzlose Websites, verschiedene im Internet bereitgestellte Dienste und auch direkte Server zu rendern. Wir haben auch eine gefährlichere und schwer zu stoppende Variante, DDoS-Angriffe (Distributed Denial of Service). In diesem Tutorial werden wir darüber sprechen, wie Die Abwehr von DoS- und DDoS-Angriffen funktioniert um uns vor solchen populären Angriffen zu schützen.
Das erste, was wir tun werden, ist zu diskutieren, was ein DDoS-Angriff ist, wie lange er normalerweise dauert und einige Mythen im Zusammenhang mit dieser Art von Angriff, die so beliebt ist und von Cyberkriminellen verwendet wird. Später werden wir die Minderung dieser DDoS mit verschiedenen derzeit existierenden Techniken im Detail diskutieren.
Was ist ein DoS-Angriff, Dauer, Mythen und Unterschiede zu DDoS?
Denial-of-Service-Angriffe (DoS) Ziel ist es, Firewalls, Onlinedienste und Websites zu stören oder zu schwächen. Dazu senden sie kontinuierlich Millionen von Anfragen, sättigen Systeme mit böswilligem Datenverkehr oder senden Anfragen, die nicht rechtmäßig gestellt wurden. Der Unterschied in Bezug auf DDoS-Angriffe (Distributed Denial of Service) besteht darin, dass bei letzteren der Angriff von Tausenden von Computern gleichzeitig und nicht nur von einem von ihnen ausgeführt wird.
Der erste Schritt für einen DDoS-Angreifer ist zu Holen Sie sich eine Armee von kompromittierten Maschinen oder Bots . Der nächste Schritt ist zu Verwalten Sie dieses Netzwerk von Geräten dass sie kontrollieren von einem entfernten Ort aus fokussieren ihr Angriff auf ein einzelnes Ziel . Diese kompromittierten Maschinen werden als Botnets bezeichnet und können verwendet werden, um wirklich schädliche DDoS-Angriffe auszuführen.
Eine der am häufigsten verwendeten Techniken zur Durchführung eines DDoS-Angriffs ist die Bandbreitensättigung bei großem Verkehrsaufkommen. Sie können dies auch tun, indem sie Systemressourcen mit halboffenen Verbindungsanforderungen sättigen oder Webanwendungsserver mit umfangreichen Anforderungen für zufällige Informationen blockieren.
DDoS-Angriffe sind bis heute ein Problem. Es ist jedoch zu beachten, dass DDoS Ransom Notes der Vergangenheit angehören. Falls Sie es nicht wissen, sind dies die Art, in der die Opfer dieser Organisation oder Firma einen Lösegeldschein erhalten. Darin werden Sie aufgefordert, eine Zahlung an den Cyberkriminellen zu leisten, damit dieser keine DDoS-Angriffe gegen Ihr Unternehmen ausführt.
Hinzu kommt die Überzeugung, dass unser Internetprovider (ISP) und Cloud-Service-Provider uns vor solchen Angriffen schützen. Obwohl dies teilweise zutrifft, reichen die Lösungen und Abwehrmechanismen nicht immer aus. Ein weiterer zu berücksichtigender Faktor ist, dass der aktuelle Trend darin besteht, dass DDoS-Angriffe immer länger andauern. Von Zeit zu Zeit stellen wir fest, dass ein Angriff manchmal zwischen 5 und 6 Tagen dauern kann. Dies ist zweifellos ein Nachteil für die Organisationen, Unternehmen und Opfer, die darunter leiden. In diesem Artikel haben wir bereits über die gesprochen Mythen über DDoS-Angriffe , etwas Wesentliches, um wirklich zu wissen, was diese Art von Angriff kann und was nicht.
Einführung in DDoS Attack Mitigation
Wir könnten definieren DDoS-Minderung wie die Praxis des Blockierens und Absorbierens böswilliger Spitzen im Netzwerkverkehr und der Verwendung von Anwendungen, die durch DDoS-Angriffe verursacht werden . Ihr Ziel ist es, den legitimen Datenverkehr ungehindert fließen zu lassen und die tägliche Arbeit dieser Organisation so wenig wie möglich zu beeinträchtigen.
DDoS-Minderungsstrategien und -technologien sollen den Geschäftsrisiken entgegenwirken, die durch die verschiedenen Arten von DDoS-Angriffen entstehen, die sich gegen ein Unternehmen fortsetzen können. Diese Strategien und Technologien sollen ein optimales Funktionieren der Unternehmensressourcen gewährleisten, die Cyberkriminelle lähmen wollen.
Mit der DDoS-Minderung können wir schneller auf DDoS-Angriffe reagieren. In diesem Sinne verwenden Kriminelle diese Art von Angriff häufig als Rauchschutz. Daher versuchen sie, andere Arten von Angriffen zu tarnen, z. B. Exfiltration, Ausnutzung von Sicherheitsverletzungen usw. Wenn wir darauf vorbereitet sind, haben wir mehr Zeit und Ressourcen, um dieses mögliche Informationsleck zu verhindern.
Strategien zur Implementierung der DDoS-Minderung
Wenn wir Maßnahmen ergreifen, die zur Abschwächungskapazität von DDoS beitragen, um die Auswirkungen dieser Angriffe zu verringern, können wir verschiedene Strategien anwenden. Wenn die DDoS-Minderung effektiv sein soll, muss unser erster Schritt darin bestehen, eine solide Infrastruktur aufzubauen.
Der beste Weg, um zu beginnen, besteht darin, die Bandbreitenfähigkeiten zu stärken und dann eine sichere Segmentierung der Netzwerke und Rechenzentren unseres Unternehmens durchzuführen. Außerdem müssen wir über eine Technik zum Einrichten von Replikation und Failover verfügen, ohne zu vergessen, Anwendungen und Protokolle für die Ausfallsicherheit zu konfigurieren. Wir dürfen auch nicht vergessen, die Verfügbarkeit und Leistung durch Ressourcen wie Content Delivery Networks (CDN) zu verbessern.
Eine robustere Architektur und CDN-Dienste allein reichen jedoch nicht aus, um die heutigen DDoS-Angriffe zu stoppen. In diesem Sinne sollte beachtet werden, dass sie mehr Schutzschichten für eine wirksame DDoS-Minderung benötigen. Bei immer größeren Angriffsvolumina, die sogar 1 TBps erreichen können, und einer langen Dauer, die sogar 5 Tage überschreiten kann, müssen neue Maßnahmen ergriffen werden.
Aus diesem Grund muss eine effektive DDoS-Minderung eine Methode bereitstellen, um fehlerhaften Datenverkehr so schnell wie möglich zu beseitigen, ohne legitimen Datenverkehr, Verbindungsanforderungen oder Anwendungstransaktionen zu beeinträchtigen. So können Organisationen so schnell wie möglich zur Normalität zurückkehren.
In dieser Hinsicht müssen Unternehmen ihre DDoS-Minderungsstrategien durch eine effektive Planung der Reaktion auf Vorfälle stärken. Daher sollten sie sich auf folgende Punkte vorbereiten:
Vorbereitung von Antwortbüchern für zahlreiche Angriffsszenarien, denen das Unternehmen ausgesetzt sein kann. Wir müssen regelmäßig die Fähigkeiten unseres Unternehmens testen, um unsere Abwehrkräfte gegen Angriffe zu verbessern und abzusichern.
Technologie und Services, die wir zur DDoS-Minderung verwenden können
Der Administrator eines Netzwerks oder das Sicherheitsteam eines Unternehmens sucht normalerweise nach Technologie oder Diensten, um die Schadensbegrenzungsfunktionen von DDoS auszuführen. Mithilfe dieser Informationen können sie automatisch feststellen, ob es sich um legitimen Datenverkehr oder um tatsächliche DDoS-Angriffe handelt.
Die meisten DDoS-Minderungsstrategien basieren auf Verkehrsanalyse . Diese Methode besteht aus der Überwachung des Verkehrs 24 Stunden am Tag, 7 Tage die Woche. Ziel ist es, Bedrohungen zu erkennen und die ersten Anzeichen von DDoS-Aktivitäten zu erkennen, bevor Probleme mit nicht verwaltbaren Datenmengen auftreten, die sich auf die Leistung des Unternehmensnetzwerks auswirken. Auf der anderen Seite wenden sich Unternehmen, die nicht über das Personal verfügen, um diesen Cloud-Service abzudecken, häufig an Managed Service Provider, um diese Rolle zu übernehmen. Ihre eigene DDoS-Minderung kann jedoch die Kosten für Ausfallzeiten minimieren, da diese sofort und ausschließlich für sie eingesetzt werden können.
Die Überwachung wird auch häufig von unterstützt Anomalieerkennungstechnologie . Mithilfe ihrer Bedrohungsdatenquellen verfolgen sie die neuesten Kompromissindikatoren (IOC) im Zusammenhang mit den neuesten DDoS-Angriffstaktiken. Die Experten geben ihre Antwort dann manuell oder mit automatisierten Technologien.
Business und DDoS Mitigation
Unternehmen verwenden häufig eine Kombination lokaler Lösungen wie DDoS-Minderungs-Appliances, Firewalls und Unified Threat Management-Appliances, um DDoS-Aktivitäten zu blockieren. Es ist jedoch zu beachten, dass dies eine erhebliche Anpassung der Geräte erfordert und dass die Hardware auch das Verkehrsaufkommen begrenzt, das sie aufnehmen kann.
Unternehmen, die keine eigene Ausrüstung oder Infrastruktur haben, um diese Aufgabe auszuführen, wenden sich an Cloud-basierte DDoS-Minderungslösungen oder Unternehmen mit verwalteten Sicherheitslösungen. Seine Funktionsweise basiert auf der Überwachung und Erkennung von Anomalien, über die wir bereits gesprochen haben. Auf diese Weise leitet die DDoS-Minderungsinfrastruktur diesen Datenverkehr über ein Cloud-basiertes Filtersystem um, bevor böswilliger Datenverkehr oder böswillige Aktivitäten erkannt werden, bevor sie den Datenverkehr überquert Rand des Netzwerks und lässt nur legitimen Verkehr durch. Die Tätigkeit des Unternehmens wird wie gewohnt fortgesetzt.
Während die erste Reaktion auf den Angriff durch Technologie automatisiert wird, erfordert eine effektive DDoS-Minderung auch ein gut ausgebildetes Team, um Änderungen an Szenarien im laufenden Betrieb vorzunehmen. Wenn ein Unternehmen ein eigenes besitzt, ist dies ein Mehrwert für die Sicherheit desselben.
Was ist ein DDoS-Angriff – und wie kannst du ihn verhindern?
Was ist ein DDoS-Angriff – und wie kannst du ihn effektiv verhindern?
Ins Visier von Hackern und anderen zwielichtigen Gestalten zu geraten, ist eine Horrorvorstellung für jeden Webseitenbetreiber. Leider wird es heute immer leichter und günstiger, Dienste in Anspruch zu nehmen, um Webseiten für den normalen Besucherverkehr unzugänglich zu machen. Speziell DDoS-Angriffe nehmen immer mehr zu. Hier lernst du, welche Gefahren für deine Seite bestehen und wie du dich dagegen wappnen kannst.
Jeder Besitzer einer Webseite muss sich der Gefahr durch einen DDoS-Angriff bewusst sein. Die Abkürzung steht für „Distributed Denial of Service” und wird auch als „verteilter Netzwerkangriff” bezeichnet. Hierbei werden der Server und andere Netzwerksysteme einer Webseite gezielt durch Anfragen vieler Geräte überlastet und in die Knie gezwungen.
Attacken dieser Art sind leider eine weit verbreitete Bedrohung. Je bekannter deine Webseite ist, desto größer ist die Wahrscheinlichkeit, dass jemand deinen Umsatz oder Ruf durch einen DDoS-Angriff zu schädigen versucht. Das kann verheerend sein – vor allem wenn du nicht weißt, was vor sich geht oder wie du damit umgehen sollst.
In der heutigen Zeit wird es auch immer einfacher und günstiger, DDoS-Dienste zu kaufen. Aus diesem Grund sind Unternehmen und Webseiten stärker gefährdet denn je. Mit den richtigen Vorsichtsmaßnahmen können DDoS-Angriffe verhindert oder auch im Verlauf gestoppt werden.
Was ist ein DDoS-Angriff?
DDoS-Angriffe kurz erklärt Ein DDoS-Angriff ist ein plötzlicher Zustrom von künstlichem Datenverkehr, der den Server einer Webseite lahmlegen und ihn für echte Besucher unzugänglich machen soll. Wenn dein Server mehr Anfragen erhält, als er bewältigen kann, wird er langsamer oder stürzt ab – sodass niemand mehr deine Seite laden kann.
Zum Vergleich: Ein normaler Denial-of-Service-Angriff (DoS-Angriff) kann von einer einzelnen Quelle ausgehen. Im Gegensatz dazu besteht ein DDoS-Angriff aus einer großen Menge gezielter Anfragen dutzender, hunderter oder auch tausender Einzelgeräte. Dabei handelt es sich meistens um gekaperte Computer, die gehackt wurden und auf denen heimlich bösartige Software im Hintergrund läuft. Zusammen bilden diese Geräte ein Botnetz oder auch Zombie-Netzwerk.
Wie ein Botnetz funktioniert
Botnetze beschränken sich aber nicht auf Computer und Telefone. Auch Tablets, Sicherheitskameras oder sogar Haushaltsgeräte wie internetfähige Geschirrspüler, Fernseher, Überwachungskameras oder Babyfone (die oft sehr schlecht oder gar nicht gesichert sind) können ein Botnetz bilden.
Das macht einen DDoS-Angriff auch so perfide. Da es sich dabei um echte Geräte an verschiedenen Standorten handelt, erscheinen sie als normale Zugriffe und können – selbst während eines aktiven Angriffs – nur schwer von echten Besuchern unterschieden werden.
DDoS-Angriffe dauern meist höchstens ein paar Stunden. In schweren Fällen können sie aber auch tagelang anhalten. Der längste DDoS-Angriff aller Zeiten erstreckte sich über 509 Stunden oder fast 21 Tage. Doch selbst die extremsten Fälle lösen sich in der Regel innerhalb von ein oder zwei Tagen von selbst: Über 80 Prozent der Angriffe dauern weniger als vier Stunden. Mehr als 90 Prozent sind nach spätestens neun Stunden vorbei.
Report über Verteilung der DDoS-Angriffe nach Dauer (in Stunden) in Q3 und Q4 2019
Was passiert während einer DDoS-Attacke?
Netzwerkressourcen wie Webserver können nur eine bestimmte Anzahl von Anfragen gleichzeitig verarbeiten. Auch die Bandbreite der Server-Internetverbindung und anderer Ebenen des Netzwerks sind beschränkt.
Angreifer können daher verschiedene Angriffspunkte attackieren – auch gleichzeitig. Je komplexer die Offensive, desto schwerer ist der Angriffsverkehr von normalen Anfragen zu unterscheiden. Als Konsequenz greifen Gegenmaßnahmen eventuell schlechter.
Das OSI-Modell erklärt
Sobald die Anzahl von Anfragen auf die Netzwerkkomponenten die Kapazitätsgrenze überschreiten, gerät deine Webseite sofort ins Stocken. Die Ladezeiten nehmen zu, Benutzer müssen immer länger warten. Eventuell stürzt der Server sogar ganz ab und reagiert überhaupt nicht mehr auf Anfragen. Wenn deine WordPress-Benutzeroberfläche oder Serververwaltung wie cPanel auch dort liegen, kannst du dich dann auch nicht mehr einloggen und auf sie zugreifen.
Schlimmer allerdings ist das Nachspiel eines DDoS-Angriffs: Für betroffene Unternehmen und Organisationen kann er erhebliche wirtschaftliche Schäden bedeuten. Abhängig von der Verkaufszeit kann der Umstand, wenige Minuten nicht erreichbar zu sein, schnell zigtausend Euro an entgangenen Gewinnen kosten.
Auch der Imageverlust ist nicht zu unterschätzen. 88 Prozent der Benutzer kehren nach einer schlechten Erfahrung – zum Beispiel extrem langen Ladezeiten – seltener zu einer Webseite zurück. Dadurch entgehen dir eventuell nicht nur neue Besucher, die vielleicht nie wiederkehren, sondern auch deine regulären Kunden sind wahrscheinlich verärgert und geben dir die Schuld für die Ausfallzeit.
Gelingt es dir nicht, schnell mit deinem Hoster zu sprechen, damit dieser den Server abschaltet, könntest du am Ende auf Terabytes an teuren Bandbreitenüberschreitungen sitzenbleiben.
Die gute Nachricht: DDoS-Angriffe können zwar enorme Folgen haben, doch sie stellen in der Regel kein direktes Sicherheitsrisiko dar. Deine Webseite kann zwar aus dem Netz genommen werden – die Anmeldeinformationen und Benutzernamen werden aber nicht automatisch kompromittiert.
Warum geraten Webseiten ins Visier eines DDoS-Angriffs?
Es gibt viele Gründe, warum du angegriffen werden könntest. Ziel ist in jedem Fall aber, deine Seite für andere unzugänglich zu machen. Dies kann aus verschiedenen Gründen passieren:
Als Reaktion auf eine kontroverse Aussage deinerseits oder auf eine Entscheidung eines Unternehmens, mit welcher der Angreifer nicht einverstanden ist (Hacktivismus).
Ein Mitbewerber kann sich dazu entschließen, deine Webseite während einer wichtigen Verkaufszeit abzuschalten, sodass nur noch seine Website erreichbar ist.
Um deinen Ruf zu schädigen.
Um dein IT-Personal abzulenken, während Hacker in deine Seite einbrechen. (Dies ist ein seltener Fall, in dem DDoS-Angriffe tatsächlich gefährlich sein können).
Um Lösegeld zu fordern.
Oder einfach aus Langeweile.
Es ist überraschend einfach und günstig, ein Botnetz zu mieten und eine Webseite für kurze Zeit abzuschalten. Andere Hacker haben die Vorarbeit bereits geleistet und nun kann jeder ihre Dienste vorübergehend kaufen.
Als Folge hat die Häufigkeit und Stärke von DDoS-Angriffen im Verlauf stark zugenommen. Allein in 2019 wurde ein Anstieg um 180 Prozent im Vergleich zum Vorjahr festgestellt. Was auch immer die Motivation dahinter sein mag: leichterer Zugang ist ein wichtiger Anreiz für kleinere DDoS-Angriffe. Glücklicherweise sind diese am einfachsten zu stoppen.
Wie du dich auf einen DDoS-Angriff vorbereitest
Vorbereitet sein, ist das beste Mittel gegen Attacken dieser Art. Entwickle einen Plan für den Worst Case, bevor etwas passiert. Die Frage ist nicht unbedingt ob, sondern wann ein Angriff auf deine Webseite stattfindet. Daher ist Vorsicht besser als Nachsicht. Hier sind ein paar Tipps, wie du DDoS-Angriffe vermeiden kannst.
Formuliere einen Notfallplan
Wie bereits erwähnt, ist der beste Weg, dieser Bedrohung entgegenzuwirken, vorbereitet zu sein. Setz dich mit deinem IT-Team und den Entwicklern zusammen, damit alle genau wissen, was im Fall der Fälle zu tun ist.
Notfallplan zur DDoS-Abwehr Erstelle einen Notfallplan, der genau darlegt, was jeder im Falle eines DDoS-Angriffs zu tun hat: Wer ist für die IP-Sperrung zuständig? Wer kontaktiert den Web-Host und die Sicherheitsanbieter? Wer überwacht, wie und wo der Angriff stattfindet?
Stell dich auch auf einen Zustrom von Kundenbeschwerden über Telefon, E-Mail und soziale Medien ein. Deine Besucher werden wissen wollen, was vor sich geht und warum sie nicht auf deine Website zugreifen können. Überlege, wie möglichst viele dieser Interaktionen automatisiert werden können, da für die Dauer des Angriffs alle Augen anderswo benötigt sein werden.
Wähle Managed Hosting
Wenn du kein Team von erfahrenen IT-Fachleuten hast, das sich mit diesem Thema befassen kann, ist Managed Hosting die nächstbeste Möglichkeit. Wähle einen Host, der DDoS-Schutzmaßnahmen anbietet. Auf diese Weise wird er sich um alles Technische kümmern, um deine Webseite zu schützen und so schnell wie möglich wieder ans Laufen zu bringen.
Dabei ist es wichtig, gründlich zu recherchieren. Frag deiner Hoster, ob er DDoS-Schutz anbietet, was genau er während eines Angriffs tut und wie er mit Gebühren für Bandbreitenüberschreitungen umgeht.
Richte eine Uptime-Überwachung ein
Die automatische Überwachung der Erreichbarkeit deiner Seite ist eine entscheidende Früherkennungsmethode. Ein Uptime-Überwachungsservice benachrichtigt dich per E-Mail und Push-Nachrichten innerhalb von Minuten, wenn deine Website abstürzt oder sich stark verlangsamt.
Dein Webhoster bietet diesen Service möglicherweise von Haus aus an. Wenn nicht, gibt es mit Pingdom eine kostenpflichtige, professionelle Lösung oder mit Uptime Robot eine kostenlose, die alle fünf Minuten deine Webseite anpingt. Eine weitere, deutschsprachige Lösung ist Uptrends. Weitere Lösungen findest du hier.
Verwende eine Firewall und ein Content Delivery Network (CDN)
Eine Web-Application-Firewall (WAF) ist eine der besten Abwehrmaßnahmen gegen einen DDoS-Angriff. Sie sitzt zwischen deiner Webseite und Nutzeranfragen und filtert den Netzverkehr, um bösartige Zugriffe auszuschließen. Hierdurch hilft sie nicht nur beim Schutz vor Hackerangriffen, sondern kann auch DDoS-Attacken durch die Eingrenzung von Anfragen eindämmen.
Wie eine Web-Application-Firewall funktioniert
Wenn ein Angreifer keine ausgeklügelte Technologie verwendet, kommt der DDoS-Angriff möglicherweise gar nicht auf deiner Seite an. Selbst bei teilweisem Erfolg wird ein großer Teil des Datenverkehrs eliminiert.
Um eine Firewall einzurichten, kannst du einen Dienst wie Cloudflare (auf Deutsch erhältlich) oder Sucuri (nur Englisch) probieren. Cloudflare hat im Gegensatz zu Sucuri einen kostenlosen Plan mit DDoS-Schutzmaßnahmen, der aber keine Web-Application-Firewall enthält. Wenn du den besten Schutz willst, musst du leider bezahlen. Weitere Anbieter findest du hier.
Ein CDN oder Content Delivery Network kann dir dabei auch helfen – denn eine Webseite, die ein solches Netzwerk benutzt, ist etwas schwieriger auszuschalten. Bei einem CDN liegen Kopien der Seite auf verschiedenen Servern an unterschiedlichen Orten.
Lokaler Server vs. Content Delivery Network
Auf diese Weise ist ein Comeback nach starker Belastung einfacher. Es ist jedoch keine ausfallsichere Lösung. Wenn dein Hauptserver direkt angegriffen wird, kann ein CDN die Auswirkungen nur verringern, nicht aber aufhalten. Trotzdem ist es eine gute Investition, zumal viele Dienste in ihren Paketen sowohl ein CDN als auch DDoS-Schutz bündeln.
Was tun während eines DDoS-Angriffs?
Egal, ob du das hier liest, wenn das Kind schon in den Brunnen gefallen ist, oder nur um dich auf den schlimmsten Fall vorzubereiten: Hier sind ein paar Tipps, was zu tun ist, wenn deine Webseite angegriffen wird. Du kannst nicht immer etwas machen, um einen Angreifer zu stoppen, wenn er dich einmal im Visier hat, aber du bist auch nicht komplett machtlos.
1. Keine Panik
Es kann beängstigend sein, eine E-Mail zu erhalten, die sagt, dass deine Webseite nicht mehr erreichbar ist. Ein Postkasten voll mit Nutzerbeschwerden ist ebenso unangenehm. Du versuchst deine Webseite zu besuchen oder dich einzuloggen – und sie weigert sich einfach zu laden. Panik setzt ein.
Aber auch wenn es eine unschöne Situation ist, sind DDoS-Angriffe nicht per se gefährlich. Deine Daten sind immer noch sicher, dein Login wurde nicht gehackt. Du solltest natürlich wachsam sein und sicherstellen, dass in der ganzen Aufregung niemand versucht dein Administratorkonto mit roher Gewalt zu knacken. Aber ein DDoS-Angriff alleine ist nur eine Gefahr für deinen Ruf und sonst nichts.
Unabhängig davon, ob du vorbereitet bist oder du dich jetzt zum ersten Mal damit befasst: Ab einem bestimmten Punkt gibt es nichts weiter zu tun, als abzuwarten. Ein DDoS-Angriff kostet den Anstifter Geld und Ressourcen – es wird also nicht ewig so weitergehen.
Nur sehr große und prominente Unternehmen werden wahrscheinlich langwierigen Angriffen ausgesetzt. Die Chancen stehen gut, dass in wenigen Stunden alles vorbei sein wird. Befolge die folgenden Schritte und mache dir sonst keinen Stress.
2. Sage deinem Webhoster Bescheid
Im Falle eines DDoS-Angriffs solltest du dich – so schnell wie möglich – mit deinem Hosting-Anbieter in Verbindung setzen, um ihn über die Situation zu informieren. Falls du es noch nicht getan hast, frage ihn nach Überziehungsgebühren und DDoS-Schutzmaßnahmen. Wenn er so etwas anbietet, wird er sich schnell an die Arbeit machen, um den Angriff zu stoppen.
Selbst wenn dies nicht der Fall ist, wirst du erfahren, was (wenn überhaupt) der Angriff dich kosten wird. Noch dazu kann der Provider deinen Server abschalten, falls die Situation zu lange andauert.
Bandbreitenüberschreitungen können teuer sein und Datenverkehr von gekaperten Computern fließt schnell. Sprich so bald wie möglich mit deinem Host und – wenn du es noch nicht getan hast – suche nach einem, der DDoS-Prävention und Notfalldienste im Paket anbietet.
3. Richte ein CDN und eine Firewall ein
Falls auf deinem Server noch kein CDN und keine Firewall eingerichtet ist, ist jetzt ein guter Zeitpunkt dafür. Anbieter von Sicherheitsdiensten werden dir gerne weiterhelfen und arbeiten oft direkt mit dir zusammen, um den schadhaften Datenverkehr sofort zu blockieren.
Sucuri und Cloudflare sind die beiden beliebtesten DDoS-Präventionsdienste. Sobald du sie in Betrieb genommen hast, sollten ihre automatischen Maßnahmen sofort in Kraft treten und die Auswirkungen des Angriffs verringern. Im deutschsprachigen Raum gibt es auch noch Akamai.
Falls du keine Ergebnisse siehst, aktiviere den „Under Attack Modus“ von Cloudflare oder kontaktiere deinen Anbieter und bitte um zusätzliche Unterstützung.
4. Nutze Geo-Blocking und IP-Blockierung
Du kannst die Situation auch manuell verbessern, indem du IP-Adressen blockierst, die nicht zu echten Besuchern gehören. IP-Adressen sind die individuelle Kennzeichnung, die jedes Gerät im Internet erhält.
Wenn eine bestimmte IP während eines aktiven Angriffs deine Webseite dutzende, hunderte oder tausende Male besucht, blockiere sie einfach. Dann kann das Gerät keinen weiteren Schaden anrichten und wird einfach abgewiesen. So kannst du einen Teil des Problems selbst beheben.
Dein Hosting-Anbieter bietet eventuell einen IP-Blocker für solche Zwecke. Alternativ kannst du auch einfach die IP-Blocking-Funktion von Raidboxes nutzen. Du findest sie über deine BOX-Einstellungen:
IP-Blocking-Funktion im Raidboxes Dashboard
Geo-Blocking ist auch eine gute Lösung. Hierbei werden IP-Adressen aus ganzen Teilen der Welt flächendeckend gesperrt. Dies eignet sich sehr gut, wenn ein Großteil des Datenverkehrs hauptsächlich aus bestimmten Ländern kommt. Diese Funktion ist Teil vieler WordPress-Sicherheits-Plugins. Es gibt auch Erweiterungen wie IP2Location Country Blocker, die gezielt hierfür eingesetzt werden können.
IP-Blockierung ist nicht immer effektiv – oder nicht sehr lange wirksam – da der Angreifer eventuell einfach nur seine Adresse ändert und deine Webseite wieder mit Anfragen überschwemmt. Aber einen Versuch ist es wert.
Web-Application-Firewalls erfüllen viele dieser Funktionen automatisch. Du kannst aber auch hier schauen, ob es möglich ist, Proxies zu blockieren, Zugriffsbeschränkungen anzuschalten oder vorhandene IP-Zugriffskontrolllisten zu aktivieren.
Fazit: DDoS-Angriffe effektiv verhindern
Wenn jemand entschlossen genug ist und die nötigen Ressourcen besitzt, ist es leider unmöglich, diese Person davon abzuhalten, einen DDoS-Angriff gegen deine Webseite zu starten. Das bedeutet aber nicht, dass du einfach die Hände in den Schoß legen solltest. Du kannst verschiedene Maßnahmen ergreifen, um die Mehrzahl kleinerer Angriffe zu verhindern und die Folgen zu minimieren.
Selbst wenn sich jemand wirklich an deinem Unternehmen rächen will, werden sie es nicht lange durchhalten können, ohne exorbitante Geldbeträge zu zahlen. Im Vergleich zum erzielten Schaden lohnt sich das meistens nicht. Letztendlich muss jeder DDoS-Angriff ein Ende haben – und sei es nur, wenn es dem Angreifer zu langweilig wird.
Eine Firewall, ein CDN und ein hochwertiger Hosting-Anbieter sind deine beste Methode, um DDoS-Angriffe zu verhindern. Treffe Vorkehrungen, bevor der schlimmste Fall eintritt. Und habe einen Plan in der Hinterhand, damit du und deine Mitarbeiter alles so schnell wie möglich in den Griff bekommen.