Was ist ein DDoS-Angriff?

Bei einem DDoS-Angriff (Distributed Denial of Service) überfordert ein Angreifer sein Ziel mit unerwünschtem Internettraffic, sodass der normale Datenverkehr das vorgesehene Ziel nicht erreichen kann.

Aber was bedeutet das wirklich? Stellen Sie sich Ihren Lieblings-Zombiefilm vor. Schwärme infizierter Kreaturen haben alle das gleiche Ziel – die Zivilisation auszurotten, indem sie ihre „Zombiepest“ verbreiten. Sie überfluten die Ressourcen von Strafverfolgungsbehörden, zerstören militärische Streitkräfte und legen das Gesundheitswesen lahm. Dann gibt es unweigerlich einen riesigen Stau, der reicht, so weit das Auge sehen kann, während die Menschen auf der Autobahn um ihr Leben rennen. So sieht ein DDoS-Angriff aus: eine Zombie-Apokalypse im Internet. Statt Zombies gehen jedoch Horden infizierter Computer gleichzeitig auf eine anvisierte Website – und sie halten Menschen und das Geschäft fern.

Ein DDoS-Angriff auf die Website, Webanwendung, APIs, Netzwerke oder Rechenzentrumsinfrastrukturen eines Unternehmens kann zu Ausfallzeiten führen und legitime Nutzer daran hindern, Produkte zu kaufen, einen Service zu nutzen, Informationen zu erhalten und auch anderen Zugriff verhindern.

Während eines DDoS-Angriffs nutzen Angreifer eine große Anzahl von Maschinen und vernetzten Geräten über das Internet, darunter IoT-Geräte (Internet der Dinge), Smartphones, PCs und Netzwerkserver, um eine Flut von Traffic an Ziele zu senden.

Die Anwendungsebene befindet sich ganz oben und ist dem Endnutzer am nächsten. Hier können Menschen mit Computern und Geräten kommunizieren und Netzwerke sich mit Anwendungen verbinden.

Die Datenverschlüsselung und -entschlüsselung erfolgt auf der Präsentationsebene und ermöglicht so eine sichere Übertragung.

Die Sitzungsebene ermöglicht Geräten, Computern oder Servern die Kommunikation untereinander und steuert Ports und Sitzungen.

Auf der Transportebene werden die Daten über das Transmission Control Protocol (TCP) übertragen, das auf dem Internet Protocol (IP), auch TCP/IP genannt, aufgebaut ist.

Die Netzwerkebene bestimmt den physischen Pfad, den Daten benötigen, um zum Ziel zu gelangen.

Die Datenverbindungsebene bietet eine Möglichkeit, Daten zwischen Netzwerkeinheiten zu übertragen. Sie dient auch der Erkennung und Korrektur von Fehlern, die auf der physischen Ebene auftreten können.

Die erste und niedrigste Ebene, Ebene 1, ist die physikalische Ebene, auf der Raw-Bits über eine physikalische Datenverbindung übertragen werden, die Netzwerkknoten verbindet.

Der Zweck eines volumenbasierten DDoS-Angriffs besteht darin, ein Netzwerk mit massiven Trafficmengen zu überlasten. Dazu wird die gesamte Bandbreite der beabsichtigten Angriffsressource ausgenutzt. Der große Angriffstraffic hindert legitime Nutzer daran, auf die Anwendung oder den Service zuzugreifen, und verhindert so, dass Traffic hinein- oder herauskommt. Je nach Ziel kann das Stoppen des legitimen Traffics dazu führen, dass ein Bankkunde eine Rechnung nicht rechtzeitig bezahlen kann, E-Commerce-Käufer nicht in der Lage sind, Onlinetransaktionen abzuschließen, bei Patienten im Krankenhaus nicht mehr auf die Krankenakte zugegriffen werden kann oder Bürger nicht mehr in der Lage sind, ihre Steuerdaten bei einer Regierungsbehörde einzusehen. Unabhängig von der Organisation hat das Verhindern des Zugriffs auf Dienste, die Menschen online nutzen möchten, negative Auswirkungen.

Volumetrische Angriffe nutzen Botnets, die mit Armeen einzelner, mit Malware infizierter Systeme und Geräte erstellt wurden. Bots werden von einem Angreifer kontrolliert und führen zu einer Überlastung zwischen einem Ziel und dem Internet mit schädlichem Traffic, der die gesamte verfügbare Bandbreite überlastet.

Ein unvorhergesehener Ansturm von Bot-Traffic kann den Zugriff auf eine Webressource oder einen internetbasierten Service erheblich verlangsamen oder verhindern. Da Bots legitime Geräte übernehmen, um bandbreitenintensive DDoS-Angriffe vom Nutzer unbemerkt zu verstärken, ist der schädliche Traffic für das betroffene Unternehmen schwer zu erkennen.

Es gibt eine Vielzahl von volumetrischen DDoS-Angriffsvektoren, die von Bedrohungsakteuren verwendet werden. Viele nutzen Reflexions- und Verstärkungstechniken, um ein Zielnetzwerk oder einen Service zu überlasten.

UDP-Floods werden häufig für DDoS-Angriffe mit größerer Bandbreite ausgewählt. Angreifer versuchen, Ports auf dem Zielhost mit IP-Paketen zu überlasten, die das statuslose UDP-Protokoll enthalten. Der Host des Opfers sucht dann nach Anwendungen, die mit den UDP-Paketen verknüpft sind, und sendet, wenn sie nicht gefunden werden, die Nachricht „Ziel nicht erreichbar“ zurück an den Absender. Die IP-Adressen werden oft zur Anonymisierung des Angreifers gefälscht, und sobald der anvisierte Host mit dem Angriffstraffic überflutet wird, reagiert das System nicht mehr und ist für legitime Nutzer nicht mehr verfügbar.

DNS-Reflection-Angriffe sind ein gängiger Vektor, bei dem Cyberkriminelle die IP-Adresse ihres Ziels manipulieren, um große Mengen an Anfragen an offene DNS-Server zu senden. Diese DNS-Server reagieren dann auf schädliche Anfragen von der gefälschten IP-Adresse, wodurch ein Angriff auf das vorgesehene Ziel durch eine Flut von DNS-Antworten entsteht. Sehr schnell überfordert die große Menge an Traffic, die vom DNS generiert wird, die Services des Unternehmens, sodass diese nicht verfügbar sind und legitimer Traffic nicht an das vorgesehene Ziel gelangt.

Das Internet Control Message Protocol (ICMP) wird hauptsächlich für Fehlermeldungen verwendet und tauscht normalerweise keine Daten zwischen Systemen aus. ICMP-Pakete können TCP-Pakete des Transmission Control Protocol enthalten, die es Anwendungsprogrammen und Rechnern ermöglichen, Nachrichten über ein Netzwerk auszutauschen, wenn sie eine Verbindung zu einem Server herstellen. Bei einer ICMP-Flood handelt es sich um eine DDoS-Angriffsmethode auf Infrastruktur der Ebene 3, die ICMP-Nachrichten verwendet, um die Bandbreite des Zielnetzwerks zu überlasten.

Protokollangriffe versuchen, die Rechenkapazität verschiedener Netzwerkinfrastrukturressourcen wie Server oder Firewalls über schädliche Verbindungsanfragen zu nutzen, die die Protokollkommunikation ausnutzen. Synchronisations-Floods (SYN-Floods) und Smurf-DDoS sind zwei gängige Arten von protokollbasierten DDoS-Angriffen. Protokollangriffe können in Paketen pro Sekunde (pps) sowie in Bits pro Sekunde (bit/s) gemessen werden.

Eine der am häufigsten verwendeten Möglichkeiten, sich mit Internetanwendungen zu verbinden, ist das Transmission Control Protocol TCP. Diese Verbindung erfordert einen Drei-Wege-Handshake von einem TCP-Dienst – wie einem Webserver – und beinhaltet das Senden eines sogenannten SYN-Pakets (Synchronisierungs-Pakets), von dem der Nutzer eine Verbindung zum Server herstellt, der dann ein SYN-ACK-Paket (Synchronisierungsbestätigungs-Paket) zurückgibt, das letztendlich mit einer abschließenden ACK-Kommunikation (Bestätigung) beantwortet wird, um den TCP-Handshake abzuschließen.

Während eines SYN-Flood-Angriffs sendet ein bösartiger Client eine große Menge an SYN-Paketen (Teil eins des üblichen Handshake), jedoch niemals die Bestätigung, dass der Handshake abgeschlossen wird. Dadurch wartet der Server auf eine Antwort auf diese halboffenen TCP-Verbindungen, deren Kapazität schließlich nicht mehr zur Verfügung steht, sodass keine neue Verbindungen für Services akzeptiert werden, die den Verbindungsstatus verfolgen. 

Ein SYN-Flood-Angriff ist wie ein schrecklicher Streich von der gesamten Absolventenklasse einer wirklich großen Highschool, bei dem jeder Schüler dasselbe Pizzarestaurant anruft und im selben Zeitraum eine Pizza bestellt. Wenn der Lieferant dann ins Auto verladen will, stellt er fest, dass es zu viele Pizzen gibt, sie nicht ins Auto passen und keine Adressen auf den Bestellungen stehen. Daher wird die gesamte Lieferung abgebrochen.

Der Name dieses DDoS-Angriffs basiert auf dem Konzept, dass zahlreiche winzige Angreifer aufgrund ihrer riesigen Anzahl einen viel größeren Gegner bezwingen können, genau wie die fiktive Kolonie kleiner Schlümpfe, die diesem Angriff seinen Namen gegeben haben.

Bei einem Smurf Distributed Denial of Service-Angriff werden zahlreiche Internet Control Message Protocol-Pakete (ICMP) mit der gefälschten Quell-IP eines beabsichtigten Ziels über eine IP-Broadcast-Adresse an ein Computernetzwerk übertragen. Standardmäßig reagieren die meisten Geräte in einem Netzwerk, indem sie eine Antwort an die IP-Quelladresse senden. Abhängig von der Anzahl der Maschinen im Netzwerk kann der Computer des Opfers durch die Überflutung mit Traffic unglaublich verlangsamt werden.

Angriffe auf Anwendungsebene überfluten Anwendungen mit schädlichen Anfragen und werden in RPS (Requests per Second) gemessen. Auch als Layer-7-DDoS-Angriffe bezeichnet, zielen diese Angriffe auf bestimmte Webanwendungen ab, nicht auf ganze Netzwerke. Sie sind zwar schwer zu verhindern und abzuwehren, gehören jedoch zu den einfacher zu startenden DDoS-Angriffen.

Es ist vergleichsweise einfach, eine Herde von Pferden dazu zu bringen, panisch zu fliehen, aber es ist fast unmöglich, sie wieder unter Kontrolle zu bringen. Angriffe auf Anwendungsebene sind einfach zu implementieren, schwer zu verlangsamen oder zu stoppen und immer zielspezifisch.

In einer sich ständig weiterentwickelnden Angriffslandschaft kann ein Abwehranbieter durch DDoS-Schutz mit Defense-in-Depth-Ansatz dafür sorgen, dass Unternehmen und Endnutzer sicher bleiben. Ein DDoS-Abwehrdienst erkennt und blockiert DDoS-Angriffe so schnell wie möglich, idealerweise innerhalb von null oder wenigen Sekunden ab dem Zeitpunkt, an dem der Angriffstraffic die Scrubbing-Zentren des Abwehranbieters erreicht. Da sich die Angriffsvektoren ständig ändern und die Angriffsgrößen immer weiter steigen, muss ein Anbieter kontinuierlich in die Verteidigungsfähigkeit investieren, um den besten DDoS-Schutz zu erreichen. Die richtigen Technologien sind erforderlich, wenn Sie mit großen, komplexen Angriffen Schritt halten, schädlichen Traffic erkennen und robuste Abwehrmaßnahmen ergreifen wollen.

Anbieter von DDoS-Abwehrlösungen filtern schädlichen Traffic heraus, um zu verhindern, dass er die Ressource erreicht, auf die er abzielt. Der Angriffstraffic wird durch einen DDoS-Scrubbing-Service, einen cloudbasierten Serviceoder einen CDN-basierten Web-Schutzservice blockiert. Die cloudbasierte Abwehr entfernt den Angriffstraffic, bevor er das Ziel erreicht.

DDoS-Scrubbing kann dafür sorgen, dass Ihr Onlinegeschäft auch während eines Angriffs einsatzbereit bleibt. Im Gegensatz zur CDN-basierten Abwehr kann ein DDoS-Scrubbing-Service alle Ports, Protokolle und Anwendungen im Rechenzentrum schützen, einschließlich Web- und IP-basierter Dienste. Unternehmen leiten ihren Netzwerktraffic auf eine von zwei Arten: über eine BGP-Routenänderung (Border Gateway Protocol) oder eine DNS-Umleitung (ein Datensatz oder CNAME) an die Scrubbing-Infrastruktur des Abwehranbieters. Der Traffic wird überwacht und auf schädliche Aktivitäten untersucht. Wenn DDoS-Angriffe erkannt werden, wird die Abwehr angewendet. In der Regel kann dieser Service sowohl in bedarfsabhängigen als auch in dauerhaft aktiven Konfigurationen verfügbar sein, je nach bevorzugter Sicherheitslage eines Unternehmens. Allerdings wechseln mehr Unternehmen als je zuvor zu einem Bereitstellungsmodell, das immer verfügbar ist, um die schnellstmögliche Abwehrreaktion zu gewährleisten.

Ein ordnungsgemäß konfiguriertes CDN (Content Delivery Network) kann Ihnen helfen, sich vor DDoS-Angriffen zu schützen. Wenn ein Anbieter von Website-Schutzservices sein CDN nutzt, um den Traffic mithilfe von HTTP- und HTTPS-Protokollen gezielt zu beschleunigen, können alle DDoS-Angriffe, die auf diese URL abzielen, am Netzwerkrand verworfen werden. Dies bedeutet, dass DDoS-Angriffe auf Ebene 3 und Ebene 4 sofort abgewehrt werden, da diese Art von Traffic nicht für die Webports 80 und 443 bestimmt ist. Das Netzwerk stellt sich als cloudbasierter Proxy vor die IT-Infrastruktur eines Kunden und stellt Traffic von Endnutzern an die Websites und Anwendungen bereit. Da diese Lösungen online funktionieren, werden webbasierte Assets jederzeit ohne menschliche Interaktion vor DDoS-Angriffen auf Netzwerkebene geschützt. Für die spezifische Verteidigung auf Anwendungsebene sollten Unternehmen eine Web Application Firewall zur Bekämpfung erweiterter Angriffe, einschließlich bestimmter Arten von DDoS-Angriffen wie HTTP GET und HTTP POST Floods, implementieren. Diese Angriffe zielen auf die Unterbrechung der Layer-7-Anwendungsprozesse des OSI-Modells ab.   

Unternehmen können ihre Angriffsfläche reduzieren und gleichzeitig das Risiko von geschäftsschädlichen Ausfallzeiten und Unterbrechungen verringern, indem sie DDoS-spezifische Sicherheitskontrollen implementieren. Diese Art der Verteidigung kann einen Angriff abwehren und legitimen Besuchern gleichzeitig ermöglichen, wie üblich auf Ihr Unternehmen zuzugreifen. Der DDoS-Schutz verhindert, dass schädlicher Traffic das Ziel erreicht, sodass die Auswirkungen des Angriffs begrenzt werden und der normale Traffic wie gewohnt durchdringen kann. 

Während der Abwehr setzt Ihr DDoS-Schutzanbieter eine Reihe von Gegenmaßnahmen ein, die darauf abzielen, die Auswirkungen eines DDoS-Distributed-Denial-of-Service-Angriffs zu stoppen und zu verringern. Da moderne Angriffe immer komplexer werden, bietet der cloudbasierte DDoS-Schutz umfassende Sicherheit in großem Maßstab, sodass die Backend-Infrastruktur und internetbasierte Dienste optimal verfügbar bleiben.

Akamai bietet eine tiefgreifende DDoS-Abwehr durch ein transparentes Mesh mit dediziertem Edge, verteiltem DNS und Cloud-Scrubbing-Abwehr. Diese zweckdienlichen Cloudlösungen wurden entwickelt, um die DDoS-Sicherheit zu stärken und die Angriffsfläche zu reduzieren, die Abwehrqualität zu verbessern und Fehlalarme zu reduzieren, während gleichzeitig die Ausfallsicherheit gegen die größten und komplexesten Angriffe erhöht wird.

Darüber hinaus kann jeder Service gezielt auf die spezifischen Anforderungen Ihrer Webanwendungen oder internetbasierten Services abgestimmt werden.

Akamai hat seine global verteilte Intelligent Edge Platform als Reverse-Proxy konzipiert, der nur Traffic über die Ports 80 und 443 akzeptiert. Alle DDoS-Angriffe auf Netzwerkebene werden mit einem Null-Sekunden-SLA sofort an der Edge abgewehrt. Das bedeutet, dass Angreifer, die DDoS-Angriffe auf Netzwerkebene starten, keine Chance haben.

Bei DDoS-Angriffen auf Anwendungsebene, einschließlich über APIs gestarteten, erkennt der Kona Site Defender die Angriffe und wehrt diese ab. Gleichzeitig wird legitimen Nutzern der Zugriff gewährt.

Der autoritative DNS-Service von Akamai, Edge DNS, filtert auch Traffic an der Edge. Akamai Edge DNS ist im Gegensatz zu anderen DNS-Lösungen speziell für Verfügbarkeit und Ausfallsicherheit bei DDoS-Angriffen ausgelegt. Edge DNS bietet durch Redundanzen auf mehreren Ebenen, darunter Nameserver, Points of Presence, Netzwerke und sogar segmentierte IP-Anycast-Clouds, eine überragende Performance.