Blog Datensicherheit

(DDoS) – Was ist ein Distributed Denial of Service Angriff?

Als Distributed Denial of Service (DDoS)-Angriff wird der Versuch bezeichnet, einen Webserver oder ein Online-System durch Überlastung mit Daten zum Absturz zu bringen. DDoS-Angriffe können böswillige Streiche, Racheakte oder politische...
Michael Buckbee
4 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Als Distributed Denial of Service (DDoS)-Angriff wird der Versuch bezeichnet, einen Webserver oder ein Online-System durch Überlastung mit Daten zum Absturz zu bringen. DDoS-Angriffe können böswillige Streiche, Racheakte oder politische Hackeraktivitäten sein und reichen von kleinen Ärgernissen bis zu langfristigen Störungen mit entsprechenden Geschäftsverlusten.

    Im Februar 2018 haben Hacker GitHub bei einem DDoS-Angriff mit 1,35 Terabyte Daten pro Sekunde angegriffen. Das ist ein massiver Angriff und wahrscheinlich nicht der letzte seiner Art.

    Wie funktioniert ein DDoS -Angriff?

    DDoS-Angriffe werden üblicherweise mit Botnets durchgeführt, einer großen Gruppe von Computern, die aufeinander abgestimmt aktiv werden, um gleichzeitig eine Website oder einen Dienst mit Anfragen zu bombardieren.

    Die Angreifer nutzen Malware oder nicht gepatchte Sicherheitslücken, um Command and Control (C2)-Programme auf den Systemen der Benutzer zu installieren und so ein Botnet aufzubauen. DDoS-Angriffe verwenden eine große Anzahl von Computern im Botnet, um den gewünschten Effekt zu erzielen. Die einfachste und billigste Art, die Kontrolle über so viele Rechner zu übernehmen, ist die Nutzung von Sicherheitslücken: Beim letzten DYNDNS-Angriff wurden Wi-Fi-Kameras mit Standardpasswörtern genutzt, um ein gigantisches Botnet aufzubauen.

    Nachdem ihr Botnet bereit ist, senden die Angreifer den Startbefehl an alle Knoten im Botnet, woraufhin die Botnets die programmierten Anfragen an die Zielserver senden. Wenn der Angriff die äußeren Verteidigungslinie durchbrechen kann, überwältigt er bald die meisten Systeme und führt zu Dienstausfällen und in manchen Fällen zu Serverabstürzen. Das Ergebnis eines DDoS-Angriffs sind vor allem Produktivitätsausfälle oder Dienstunterbrechungen – die Kunden können eine Website nicht aufrufen.

    Während das zwar harmlos klingen mag, beliefen sich sie durchschnittlichen Kosten eine DDoS-Angriffs im Jahr 2017 auf 2,5 Millionen USD.

    Verbreitete Arten von DDoS -Angriffen

    Angriffe auf Anwendungsebene

    DDoS-Angriffe auf Anwendungsebene sollen die Ressourcen des Ziels überlasten und den Zugriff auf die Website oder den Dienst des Angegriffenen stören. Die Angreifer speisen die Bots mit einer komplizierten Anfrage, die den Zielserver bei dessen Versuch, zu reagieren, stark belastet. Die Anfrage könnte mit einem Datenbankzugriff oder großen Downloads verbunden sein. Wenn das Ziel mehrere Millionen derartiger Anfragen in einem kurzen Zeitraum erhält, kann es schnell überlastet sein und auf Kriechgeschwindigkeit verlangsamt werden oder sich komplett aufhängen.

    Ein HTTP-Flood-Angriff ist beispielsweise ein Angriff auf Anwendungsebene, bei dem ein Webserver mit zahlreichen schnellen HTTP-Anfragen angegriffen wird, um ihn zum Absturz zu bringen. Stellen Sie sich das vor, als ob Sie „Aktualisieren“ im Schnellfeuermodus auf Ihrem Gamepad drücken. Derartiger Verkehr von mehreren Tausend Computern auf einmal wird den Webserver schnell überfluten.

    HTTP Flood Attack Example DDOS
    Protokollangriffe

    DDoS-Protokollangriffe greifen die Netzwerkebene des Zielsystems an. Das Ziel ist, die Tablespaces der zentralen Netzwerkdienste, der Firewall oder des Load-Balancers, die Anfragen an das Ziel weiterleiten, zu überlasten.

    Im Allgemeinen arbeiten Netzwerkdienste Warteschlangen nach den First-in-first-out-Prinzip (FIFO) ab. Die erste Anfrage trifft ein, der Computer verarbeitet die Anfrage, ruft dann die nächste Anfrage aus der Warteschlange ab und so weiter. Es gibt nun jedoch eine begrenzte Anzahl an Plätzen in der Warteschlange, und bei einem DDoS-Angriff würde die Schlange so riesig, dass der Computer nicht ausreichend Ressourcen hat, um die erste Abfrage zu bearbeiten.

    Ein SYN-Flood-Angriff ist ein besonderer Protokollangriff. Bei einer Standardtransaktion im TCP/IP-Netzwerk gibt es einen 3-Way-Handshake. Er besteht aus SYN, ACK und SYN-ACK. SYN macht den Anfang als Anfrage in irgendeiner Form, ACK ist die Antwort des Ziels und mit SYN-ACK sagt der ursprüngliche Anfragesteller: „Danke, ich habe die angefragten Informationen erhalten.“ Bei einem SYN-Flood-Angriff erstellen die Angreifer SYN-Pakete mit falschen IP-Adressen. Das Ziel sendet dann ein ACK-Paket an die falsche Adresse, die niemals antwortet, und wartet dann darauf, dass der Timeout für all diese Antworten abläuft, was wiederum die Ressourcen für die Bearbeitung der massenhaften vorgetäuschten Transaktionen überlastet.

    SYN Flood Attack DDOS

    Volumetrische Angriffe

    Das Ziel eines volumetrischen Angriffs ist es, das Botnet zum Generieren eine großen Traffic-Menge zu nutzen und die Übertragungswege des Ziels zu verstopfen. Stellen Sie sich das wie einen HTTP-Flood-Angriff vor, aber mit einer zusätzlichen exponentiellen Antwortkomponente. Wenn zum Beispiel Sie und 20 Ihrer Freunde gleichzeitig bei demselben Pizza-Service anrufen und jeweils 50 Pizzen bestellen, könnte dieser Pizza-Service diese Anfragen nicht bedienen. Volumetrische Angriffe funktionieren nach demselben Prinzip. Sie fragen beim Ziel etwas an, das die Größe der Antwort extrem aufbläht. Die Datenverkehrsmenge explodiert und der Server wird blockiert.

    Eine Art des volumetrischen Angriffs ist die DNS Amplification. In diesem Fall wird der DNS-Server direkt angegriffen, indem von ihm eine große Datenmenge als Antwort verlangt wird, was den DNS-Server zum Absturz bringen und jeden handlungsunfähig machen kann, der diesen DNS-Server für die Adressauflösung nutzt.

    DNS Amplification Example DDOS

    DDoS -Angriff heute

    Wie alles andere im Computerwesen, entwickeln sich DDoS-Angriffe laufend weiter und werden dabei immer geschäftsschädigender. Der Umfang der Angriffe nimmt zu, von 150 Anfrage pro Sekunde in den 1990er Jahren – was einen Server jener Zeit zum Absturz brachte – auf die 1,2 TB bzw. 1,35 TB bei den aktuellen Angriffen auf DYNDNS und GitHub. Das Ziel bei diesen beiden Angriffen war, zwei weltweit wichtige Produktivitätsquellen zu stören.

    Bei den Angriffen kamen neue Techniken zu Einsatz, um die enormen Bandbreiten zu erreichen. Der DYN-Angriff nutzte einen Exploit bei IoT-Geräten, um ein Botnet aufzubauen, das Mirai Botnet. Mirai machte sich beim Angriff offene Telnet-Ports und Standard-Passwörter zunutze, um Wi-Fi-fähige Kameras zu übernehmen. Der Angriff war ein kindischer Streich, demonstrierte aber eine große Sicherheitslücke, die mit der Verbreitung der IoT-Geräte einhergeht.

    Der GitHub-Angriff nutzte aus, dass auf Tausenden Servern ein Open-Source-System für Speichercaching (memchached) ausgeführt wird. Memchached reagiert gerne mit riesigen Datenmengen auf einfache Anfragen, weshalb es absolut nicht auf Servern laufen sollte, die offen aus dem Internet zugänglich sind.

    Beide Angriffe weisen auf ein signifikantes Risiko für zukünftige Exploits hin, insbesondere durch das wachsende IoT. Wie würden Sie es finden, wenn Ihr Kühlschrank Teil eines Botnets wäre? Ein Lichtblick ist, dass GitHub von dem Angriff nicht in die Knie gezwungen wurde.

    Allerdings war es noch nie einfacher, einen DDoS-Angriff auszuführen. Es gibt sogar DDoS-as-a-Service-Optionen, bei denen böswillige Akteure eine Lizenzgebühr dafür zahlen, um ein Botnet aus infizierten Computern zu „mieten“ und damit einen DDoS -Angriff auf ein Ziel ihrer Wahl durchzuführen.

     

    Mittel zur Abwehr eines DDoS -Angriffs

    Wie hat GitHub den massiven DDoS -Angriff überstanden? Durch Planung und Vorbereitung natürlich. Nach 10 Minuten mit zwischenzeitlichen Serverausfällen aktivierten die GitHub-Server ihre DDoS -Abwehr. Der Abwehrdienst routete den eingehenden Datenverkehr um und filterte die böswilligen Pakete aus, so dass die Angreifer ca. 10 Minuten später aufgaben.

    Neben kostenpflichtigen DDoS -Abwehrdiensten wie CloudFlare und Akamai können Sie auch Ihre Standard-Endgerätesicherheitsmaßnahmen einsetzen. Patchen Sie Ihre Server, halten Sie Server mit memchache vom offenen Internet fern und schulen Sie Ihre Benutzer darin, Phishing-Angriffe zu erkennen.

    Sie können während eines DDoS -Angriffs auf Black Hole Routing zurückgreifen, um den gesamten Datenverkehr ins Nichts zu leiten. Sie können Zugriffslimits einrichten, um die Anzahl der Anfragen zu beschränken, die ein Server innerhalb eines kurzen Zeitraums annimmt. Auch eine ordentlich konfigurierte Firewall kann Ihre Server schützen.

    Varonis überwacht Ihre DNS, VPN, Proxies und Daten, um Sie beim Erkennen bevorstehender DDoS-Angriffe auf Ihr Unternehmensnetzwerk zu unterstützen. Varonis Datensicherheitsanalysen verfolgen Verhaltensmuster und geben Warnhinweise aus, wenn aktuelle Verhaltensweisen mit Bedrohungsmodellen übereinstimmen oder vom Standardverhalten abweichen. Dazu können Botnet-Angriffe mit Malware oder erhebliche Steigerungen des Netzwerkverkehrs gehören. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihre Daten vor DDoS-Angriffen und anderen Gefahren schützt.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    abweichende-verhaltensweisen-mit-analysen-des-nutzerverhaltens-definieren
    Abweichende Verhaltensweisen mit Analysen des Nutzerverhaltens definieren
    abweichende-verhaltensweisen-mit-analysen-des-nutzerverhaltens-definieren
    Matt Radolec
    23. Januar 2018
    Seit über zehn Jahren sind Sicherheitsleitstellen und Analysten mit sogenannten „Indicators of Compromise“ (IoC = eine Liste von Daten über Bedrohungen), schwellenbasierten Anzeichen von Angriffen oder Angriffsversuchen beschäftigt und versuchen,...
    siem-tools:-varonis-ist-die-lösung,-mit-der-sie-ihr-siem-optimal-nutzen
    SIEM Tools: Varonis ist die Lösung, mit der Sie Ihr SIEM optimal nutzen
    siem-tools:-varonis-ist-die-lösung,-mit-der-sie-ihr-siem-optimal-nutzen
    Michael Buckbee
    23. März 2018
    SIEM-Anwendungen sind ein wichtiger Bestandteil des Datensicherheits-Ökosystems: Sie aggregieren Daten aus mehreren Systemen, normalisieren diese Daten und analysieren sie, um abnormales Verhalten oder Angriffe zu erkennen. Das SIEM ist die...
    das-vollständige-handbuch-zu-phishing-angriffen
    Das vollständige Handbuch zu Phishing-Angriffen
    das-vollständige-handbuch-zu-phishing-angriffen
    Nathan Coppinger
    25. Mai 2021
    Das vollständige Handbuch zu Phishing-Angriffe Phishing-Angriffe plagen Einzelpersonen und Unternehmen gleichermaßen seit der Erfindung des Internets. In letzter Zeit sind diese Angriffe jedoch zunehmend raffinierter und schwieriger zu erkennen. Phishing-Angriffe...
    warum-man-im-cybersecurity-bereich-immer-von-einem-erfolgreichen-angriff-ausgehen-sollte
    Warum man im Cybersecurity-Bereich immer von einem erfolgreichen Angriff ausgehen sollte
    warum-man-im-cybersecurity-bereich-immer-von-einem-erfolgreichen-angriff-ausgehen-sollte
    Yaki Faitelson
    6. Juli 2022
    Jedes System, jedes Konto und jede Person kann jederzeit zu einem potenziellen Angriffsvektor werden. Bei einer so großen Angriffsfläche müssen Sie davon ausgehen, dass Angreifer mindestens einen Vektor durchbrechen können.