Von Tyler Burke, Produktmanager für IP und DDoS
Wie viele Arten von DDoS-Angriffen gibt es? Eigentlich unzählige. In diesem Blog habe ich sie in drei Hauptgruppen eingeteilt: volumetrische Angriffe, Angriffe auf der Anwendungsebene und Angriffe auf der Protokoll-Ebene. Und ich erkläre, warum es völlig egal ist, welche Angriffsart auf Ihr Unternehmen abzielt.
Was ist ein DDoS-Angriff?
Ein DDoS-Angriff (Distributed Denial of Service) – ganz gleich welcher Art – ist ein vorsätzlicher, gezielter Cyberangriff, der darauf abzielt, die Internetressourcen Ihres Unternehmens zu überlasten. Die Motivation des Angreifers kann von Profit bis zu Politik, von Langeweile bis zu Angeberrechten, von Rache bis zu Lösegeld reichen.
Ein erfolgreicher Angriff unterbricht Ihre Online-Präsenz. Ihre Kunden können Ihre Websites nicht erreichen. Ihre Systeme sind ausgefallen. Ihr Geschäft steht still. Und es ist nicht billig, die durch einen Angriff verlorenen Einnahmen, die Produktivität und den Ruf Ihrer Marke wiederherzustellen. Unternehmen geben im Durchschnitt $200.000 aus, um sich von einem einzigen Angriff zu erholen.
Ein erfolgreicher Angriff offenbart dem Angreifer auch die Sicherheitsschwächen Ihres Unternehmens. Sie denken vielleicht, dass der kurze, 3-minütige Angriff, den Sie letzte Woche überstanden haben, gar nicht so schlimm war. Aber jetzt weiß Ihr Angreifer genau, wo er beim nächsten – noch schädlicheren – Angriff zuschlagen muss.
Wenn Sie sich für Mathe interessieren, stehen die Chancen nicht gut für Sie.
Allein in diesem Jahr hat die Zahl der DDoS-Angriffe stark zugenommen. Branchenübergreifend gab es in Q2 387% mehr DDoS-Angriffe als in Q1.
Warum der Anstieg? Die Raffinesse der Automatisierung beseitigt die menschlichen Beschränkungen bei der Aktivität. Botnets können im Internet für weniger als $1000 erworben werden. Die meisten Amateur-Angreifer können jetzt leicht einen Angriff starten und von dem verursachten Schaden profitieren.
Die Häufigkeit, Größe und Dauer von DDoS-Angriffen wird bei allen messbaren Kennzahlen immer schlimmer.
Die 3 Arten von DDoS-Angriffen
DDoS-Angriffe werden immer gezielter. Anstatt Ihren gesamten IP-Raum mit gefälschtem Datenverkehr zu verstopfen, können Angriffe jetzt auf eine bestimmte Anwendung oder ein bestimmtes Protokoll abzielen.
Schauen wir uns die verschiedenen Arten von Angriffen an, die Sie erleben können:
1. Volumetrische DDoS-Angriffe – sättigt die Netzwerkschicht
Historisch gesehen sind volumetrische Angriffe die häufigste, aber am wenigsten “elegante” Art von DDoS-Angriffen, die auf der Netzwerkebene stattfinden. Das Ziel des Angreifers ist es, die Bandbreite Ihres IP-Netzwerks mit einer großen Menge an unzulässigem Datenverkehr zu überlasten. Wenn dies geschieht, können Ihre Benutzer und Kunden (der gesamte legitime Datenverkehr) nicht mehr zu Ihnen durchkommen.
Woher wissen Sie, dass Sie von einem volumetrischen DDoS-Angriff betroffen sind?
Sie haben keine bekannte Ursache für den erhöhten Datenverkehr in Ihrem gesamten Netzwerk (nicht nur für eine einzelne Anwendung):
- Plötzliche und stark ansteigende Verkehrsspitzen
- Ihre Kunden können Ihre Website oder Dienste nicht erreichen
- Ihre Benutzer erleben Verzögerungen bei Netzwerkdiensten
- Ihre Firewall oder IPS/IDS-Systeme senden Alarme
- Wenn Sie die Quelle des eingehenden Traffics sehen können – es kommt alles vom selben Ort
Diese Angriffe lassen sich leicht mit besonderer roher Gewalt durchführen. Sie verwenden einfache Methoden, erfordern nur ein geringes Verständnis der beteiligten Technologie und können billig online erworben werden.
Automatisierung macht volumetrische Angriffe schädlicher – sie dauern länger, sie benötigen mehr Bandbreite und sie treten häufiger auf. Botnet-Angriffe suchen und finden Schwachstellen, können leicht vergrößert werden und sind kostengünstig in der Ausführung.
Realitätsnahes Beispiel für einen volumetrischen Angriff
Activision Blizzard erlebte einen massiven DDoS-Angriff, der ihre Authentifizierungsserver überflutete und ihre beliebtesten Spiele – darunter World of Warcraft und Call of Duty – für Spieler unerreichbar machte.
2. DDoS-Angriffe auf Anwendungen – zielen Sie auf Ihre Online-Anwendungen
DDoS-Angriffe auf der Anwendungsebene sind schwieriger zu erkennen als volumetrische Angriffe, aber sie sind auch schwieriger für den Angreifer durchzuziehen. Diese raffinierten Angriffe zielen auf eine einzelne Online-Anwendung ab, um die Online-Dienste, die die Anwendung bereitstellt, zu stören.
Um einen erfolgreichen Angriff auf der Anwendungsebene zu starten, muss der Angreifer Anfragen (z. B. das Ausfüllen von Formularen auf Ihrer Website) so gestalten, dass sie wie legitimer Datenverkehr aussehen. Und dazu müssen sie das Verhalten, die Logik und die Schwachstellen der Zielanwendung genau kennen.
Diese Angreifer verstehen und manipulieren Sitzungen, Cookies und Authentifizierungs-Tokens. Und da die potenziellen Schwachstellen bei jeder Anwendung anders sind, muss der Angreifer über ein ausgefeiltes technisches Wissen über eine breite Palette von Anwendungen verfügen.
Woher wissen Sie, dass Sie von einem DDoS-Angriff auf der Anwendungsebene betroffen sind?
Da der Angriffsverkehr den legitimen Benutzerverkehr imitiert, ist es schwieriger zu erkennen, dass es sich um einen Angriff auf der Anwendungsschicht handelt. Achten Sie auf diese Anzeichen:
- Plötzliche Spitzen im Datenverkehr bestimmter Anwendungen ohne wirkliche Ursache
- Viele gemeldete Fehler – insbesondere 5xx-Statuscodes (502, 503 oder 504 Fehler) – ein Zeichen dafür, dass Ihr Netzwerk Schwierigkeiten hat, die erhöhte Verkehrslast zu bewältigen
- Seltsames Verhalten wie wiederholte Login-Versuche oder Formular-Eingaben
- Ein angespanntes Serververhalten, wie z.B. eine Speicher- oder CPU-Auslastung, die scheinbar nicht mit der Nachfrage mithalten kann
Beispiel für einen DDoS-Angriff auf der Anwendungsebene
Wir beobachten eine Zunahme von Angriffen auf Anwendungen mit mehreren Vektoren – bei denen ein Angriff gleichzeitig auf mehrere Komponenten der Anwendungen des Opfers abzielt (z. B. gleichzeitige Angriffe auf HTTP-Webressourcen und Datenbankoperationen) und sich auf andere Komponenten verlagert, wenn der Angreifer schützende Sicherheitsmaßnahmen entdeckt.
3. Protokoll DDoS-Attacken – deaktivieren Sie die Regeln der Konversation
Von den drei Arten von DDoS-Angriffen sind Angriffe auf der Protokollebene die neuesten, die am schwierigsten zu entdeckenden und die potenziell störendsten. Protokollangriffe zielen auf die Protokolle ab, die Geräte und Server in Ihrem Netzwerk zur Kommunikation verwenden. Da Protokolle die Regeln für die Kommunikation von Maschine zu Maschine festlegen, kann ihr Ausfall mehrere Dienste und Anwendungen beeinträchtigen, die auf das angegriffene Protokoll angewiesen sind.
DDoS-Angriffe auf Protokolle sind in der Regel weniger ausgeklügelt als DDoS-Angriffe auf der Anwendungsebene, weshalb sie immer häufiger vorkommen. Die angegriffenen Netzwerkprotokolle der unteren Schicht, wie TCP/IP, ICMP und DNS, haben ein klar definiertes Verhalten, dessen Schwächen leicht ausgenutzt werden können. Angreifer müssen die Feinheiten des Verhaltens der Anwendungsschicht nicht kennen, um ein anfälliges Protokoll mit bösartigem Datenverkehr zu überfluten.
Woher wissen Sie, dass Sie von einem DDoS-Angriff auf der Protokoll-Ebene betroffen sind?
Diese Angriffe zielen auf bestimmte Protokollressourcen wie CPU, Speicher oder Verbindungslimits ab. Suchen Sie danach:
- Unerklärlicher Anstieg der Ressourcennutzung
- Ungewöhnliche Antwortmuster wie übermäßige 4xx oder 5xx Fehlercodes
- Eine Zunahme des ICMP-Ping-Verkehrs
- Ungewöhnlich viele TCP SYN-Pakete oder anderes ungewöhnliches Protokollverhalten
- Verkehrsspitzen, erhöhte Latenz, erhöhter Paketverlust
Beispiel eines DDoS-Angriffs auf der Protokollebene
Bei DNS-Water-Torture-Angriffen überflutet der Angreifer die DNS-Resolver mit DNS-Anfragen, wodurch das Netzwerk überlastet wird, was wiederum auf andere Schichten übergreifen kann
Es Es spielt keine Rolle Welche Art von DDoS-Angriff auf Sie abzielt
Während es dem Angreifer sehr wichtig sein mag, welche Art von DDoS-Angriff er startet, macht es für das Opfer aus zwei Gründen kaum einen Unterschied:
Alle DDoS-Angriffsarten zielen darauf ab, zu stören, und (ohne Schutz) sind sie erfolgreich
Wahrscheinlich ist Ihnen aufgefallen, dass die “Symptome” jeder der oben beschriebenen Angriffsarten ähnlich sind, egal welche Taktik der Angreifer anwendet. Und da Ihre Online-Präsenz eine komplexe Maschine aus miteinander kommunizierenden Teilen ist, wird ein Schraubenschlüssel, der in die Maschine geworfen wird, egal wo, die Störung verursachen.
Ein robustes Programm zur DDoS-Abwehr kann sie alle aufhalten
Die Reaktion auf DDoS-Angriffe (alle) ist im Großen und Ganzen dieselbe – die Erstellung einer Basislinie für “normale” Datenverkehrsmuster für Ihr Unternehmen, die Identifizierung, wenn Ihr Datenverkehr von seinem normalen Verhalten abweicht, und die Minderung des Schadens, den der Angriff zu verursachen versucht. DDoS-Minderungsdienste sind gegen alle drei in diesem Blog beschriebenen Angriffsarten wirksam.
Wenn die Motive des Angreifers, die schädlichen Folgen eines DDoS-Angriffs und die Methoden zu seiner Abwehr gleich sind, besteht keine Notwendigkeit für besondere Vorkehrungen gegen eine einzelne Angriffsart. Der Schutz Ihres Unternehmens vor DDoS-Angriffen als Ganzes bleibt jedoch unerlässlich.
Wie Sie DDoS-Angriffe verhindern können
Sie können DDoS-Angreifern einen Schritt voraus sein, indem Sie eine Reihe von Maßnahmen zum Schutz Ihres Unternehmens ergreifen. Wenn je eine Unze Prävention ein Pfund Heilung wert war, dann ist es der DDoS-Schutz.
1. Aktivieren Sie den DDoS-Schutz Ihres Netzwerkanbieters
Suchen Sie nach einem DDoS Protection Service mit den folgenden Elementen:
- Der Anbieter bietet einen netzwerkbasierten Dienst an und verfügt über ausreichende Backbone-Kapazitäten, um selbst den größten Angriff abzufangen.
- Der Anbieter stoppt und leitet den Angriffsverkehr um, bevor er sich auf Ihr Geschäft auswirkt.
- Der Provider verwendet BGP Flowspec (im Gegensatz zu GRE-Tunneln), damit er Ihre einzelnen IP-Adressen schützen kann. Provider, die GRE-Tunnel verwenden, nehmen das gesamte /24 (alle 253 IP-Adressen) und schrubben es komplett. Das führt zu einer größeren Latenz, selbst bei legitimem Datenverkehr.
- Der Anbieter entschärft alle Arten von DDoS-Angriffsverkehr
Die Kombination eines Inline-Schutzes mit einem virtuellen Cloud-basierten DDoS-Schutzdienst bietet Ihnen eine umfassende Abdeckung.
2. Verteilen Sie den eingehenden Verkehr
Wenn Sie den Datenverkehr strategisch verteilen, kann kein einzelner Server den gesamten Verkehr bewältigen. Tun Sie dies, indem Sie implementieren:
- Lastausgleich: Wenn Sie Ihren Datenverkehr ausbalancieren, verteilen Sie die Anfragen auf mehrere Anwendungsserver in mehreren Rechenzentren.
- CDNs: Wenn Sie in ein Content Distribution Network (CDN) investiert haben, verfügen Sie über eine vollständig verwaltete Lösung, die einen gewissen Schutz vor DDoS-Angriffen bietet. Da CDNs die Host-IP-Adresse verbergen und den Datenverkehr mithilfe von Caching auf geografisch verteilte Edge-Server verteilen, sind Sie natürlich vor DDoS-Angriffen geschützt. Allerdings werden diese Host-IP-Adressen manchmal entdeckt, so dass selbst mit einem CDN ein zusätzlicher Schutz sinnvoll wäre.
3. Eingehenden Verkehr einschränken
Tools, die die Anzahl der eingehenden Anfragen oder den Umfang des eingehenden Datenverkehrs beschränken, können den Angriffsverkehr erkennen und eindämmen. Zu diesen Tools gehören:
Obwohl sie als eigenständiger DDoS-Schutz nicht ausreichen, können Firewalls bei richtiger Konfiguration eine erste Verteidigungsstufe darstellen, die Folgendes umfasst:
- Inhaltsfilterung zur Erkennung und Blockierung bekannter Angriffsmuster, insbesondere für Angriffe auf der Anwendungsebene
- Ratenbegrenzung zur Begrenzung des eingehenden Datenverkehrs aus einer einzigen Quelle. Achten Sie jedoch darauf, dass der legitime Verkehr nicht blockiert wird.
- Stateful Packet Inspection zum Zurückweisen von Paketen, die nicht zu bestehenden Verbindungen oder Sitzungen gehören
- Load Balancing zur Eliminierung von Single Points of Failure durch Verteilung des eingehenden Datenverkehrs auf mehrere Server oder Rechenzentren
- Anomalie-Erkennung, die ungewöhnliche Verkehrsmuster identifiziert und das Netzwerk warnt, um Maßnahmen gegen einen möglichen DDoS-Angriff zu ergreifen
- IP Blacklisting, um den Datenverkehr von bekannten schlechten IP-Adressen zu verhindern, und IP Whitelisting , um den Datenverkehr nur von bekannten, vertrauenswürdigen IP-Adressen zuzulassen
CAPTCHAs wurden entwickelt, um Menschen von Computern zu unterscheiden, und können eine wirksame Verteidigungslinie gegen Bot-Angriffe sein, insbesondere auf beliebten Websites und Seiten. Achten Sie darauf, das richtige Gleichgewicht zwischen guter Sicherheit und potenziellen Unannehmlichkeiten für Ihre Kunden zu finden.
4. Regelmäßig testen, trainieren und planen
Da eine strategische Kombination von Abwehrmethoden den besten Schutz bietet, sollten Sie für den unvermeidlichen Angriff planen:
- Testen Sie Ihre Sicherheit, indem Sie sie durchlöchern – finden Sie potenzielle Schwachstellen
- Verringern Sie Ihre Angriffsfläche, indem Sie ungenutzte Protokolle, Seiten, Formulare und andere Online-Eingangspunkte für einen Angriff deaktivieren.
- Durchführen von DDoS-Angriffssimulationen als Teamtraining
- Erstellen und Testen Ihres Business-Continuity-Plans, damit Ihr Team weiß, wie es reagieren muss, um den Schaden durch einen DDoS-Angriff zu minimieren
Fazit
Ich weiß, dass es verlockend ist, Geld zu sparen und abzuwarten und einen DDoS-Schutz erst dann in Betracht zu ziehen, wenn Sie aktiv angegriffen werden. Aber wenn ein durchschnittliches Unternehmen über 200.000 Dollar ausgibt , um sich von einem einzigen Angriff zu erholen, dann wissen wir auch, dass die Vorteile eines Schutzes die Kosten bei weitem überwiegen.
Wer wird wahrscheinlich angegriffen werden? Bedenken Sie, dass DDoS-Angreifer allein in der ersten Hälfte des Jahres 2023 ein Ziel hatten:
- Unternehmen aus allen Branchen
- Sehr große bis sehr kleine Unternehmen
- Flughäfen, Krankenhäuser, Versorgungsunternehmen und andere kritische Infrastrukturen
- Bundes-, Landes- und Kommunalbehörden – einschließlich Schulen
- Telekommunikations- und Cloud-Unternehmen
- Viele mehr
Und sie greifen verwundbare Organisationen mehrfach an. Warten Sie nicht, bis Sie angegriffen werden, um Ihr Unternehmen zu schützen, sondern erfahren Sie mehr über Zayo DDoS Protection.
