Produkte
Edge-KI
KI Training
GPU Cloud
GPU CloudVerbesserung des KI/ML Trainings mit NVIDIA Servern
AI Inference
Inference at the Edge
Inference at the EdgeBeschleunigen Sie die Inferenz Ihres ML-Modells für eine schnelle globale Performance.
KI Applikationen
Image Generator
Image GeneratorMit Leichtigkeit realistische und eindrucksvolle Bilder erstellen
Speech-to-Text Translator (EN)
Speech-to-Text Translator (EN)Nahtlose Übersetzung aus dem Englischen ins Luxemburgische
Edge Cloud
Compute
Basic VMs
Basic VMsWorkload-Management auf kostengünstigen virtuellen Shared-Servern
Virtuelle Maschinen
Virtuelle MaschinenAusführung von Anwendungen auf dedizierten virtuellen Servern, die individuell angepasst werden können
Bare-Metal
Bare-MetalAnwendungsbereitstellung auf dedizierten physischen Hochleistungsservern
Container
Managed Kubernetes
Managed KubernetesKubernetes-Cluster einfach bereitstellen, verwalten und skalieren
Container as a Service
Container as a ServiceAusführung containerisierter Anwendungen ohne Serverbereitstellung
Container Registry (EN)
Container Registry (EN)Securely store, manage, and deploy container images.
Function as a Service
Function as a ServiceEffiziente Ausführung von serverlosen Codefunktionen
Netzwerke
Load Balancer
Load BalancerOptimales Traffic Management zur Verbesserung der Anwendungsperformance
5G-Netzwerk
5G-NetzwerkBereitstellung von Anwendungen und sichere Anbindung mobiler Geräte über 5G
Virtual Private Cloud
Virtual Private CloudVerwaltung von Ressourcen in einer sicheren, abgeschirmten privaten Cloud
Hosting
Virtuelle Server
Virtuelle ServerHosting auf virtuellen Servern ohne Traffic-Beschränkungen
Dedizierte Server
Dedizierte ServerHosting auf physischen Servern mit weltweiter Verfügbarkeit
Storage
Object Storage
Object StorageDatenspeicherung in S3-kompatiblem, schnellem und skalierbarem Speicher
Datei-Freigaben (EN)
Datei-Freigaben (EN)Einfacher Dateiaustausch zwischen Servern über das NFS-Protokoll
Datenbanken
Managed PostgreSQL
Managed PostgreSQLEinfache Bereitstellung vollständig gemanagter PostgreSQL-Datenbanken
Monitoring
Managed Logging
Managed LoggingSammlung, Speicherung und Analyse von Anwendungsprotokollen
Über Edge Cloud
Edge-Netzwerk
Application Performance
CDN
CDNBeschleunigung der Verfügbarkeit von dynamischen und statischen Inhalten
FastEdge (EN)
FastEdge (EN)Serverlose Anwendungsbereitstellung mit geringer Latenz durch Edge Computing
Media Delivery
Video-Streaming
Video-StreamingBereitstellung von qualitativ hochwertigen Live- und On-Demand-Videos
DNS
Managed DNS
Managed DNSMit autorisiertem DNS die Verfügbarkeit von Anwendungen sicherstellen
Public DNS
Public DNSSchutz der Online-Privatsphäre mit kostenlosem DNS-Resolver
Über das Edge-Netzwerk
Edge Security
Network Security
DDoS-Schutz
DDoS-SchutzSchützen Sie Ihre Infrastruktur vor DDoS-Angriffen
Application Security
WAAP (EN)
WAAP (EN)Schutz von Anwendungen und APIs vor DDoS-, Bot- und OWASP-Angriffen
Lösungen
Nach Branche
Gaming
Gaming CDN
Spieleserver-Schutz
Spiele-Entwicklung
Einzelhandel
CDN für E-commerce
Medien & Unterhaltung
Video-CDN
Metaverse Streaming
TV & Online Broadcasters (EN)
Sport Broadcasting (EN)
Online-Events (EN)
Finanzdienstleistungen
Cloud für Finanzdienstleistungen
Technologie
Image Optimization
Web-Beschleunigung (EN)
WordPress-CDN
Bildung
E-Learning
Nach Anwendungsfall
Web-Beschleunigung
Web-Beschleunigung (EN)
Image Optimization
WordPress-CDN
Sicherheit
Spieleserver-Schutz
Video-Streaming
Video-CDN
Video-Hosting
Live-Streaming
Verfügbarkeit
Multi-CDN
Cloud
Web-Service
Spiele-Entwicklung
Online-Shop (EN)
Migration in die Cloud
Cloud-basiertes ERP (EN)
Preise
Ressourcen
Ressourcen
Blog
Fallstudien
Ebooks
Reports
Whitepaper
Events
Dokumentation
Docs
API
Produkt Roadmap
Hilfe
Gcore Status
Tools
Looking Glass
Speed-Test
Developer-Tools
Partner
Partner
Intel
Intel | Neue CPU Generation
Intel | Ice Lakes
HESP
Equinix
InData Labs
Ampere (EN)
Unum (EN)
Programme
White-Lable-Lösungen
Empfehlungs-Programm
Warum Gcore
Unternehmen
Über Gcore
Presse
Auszeichnungen (EN)
Karriere
Rechtliche Informationen (EN)
Plattform
Netzwerk
Infrastruktur
Internet Peering Points
Compliance
Sie benötigen Hilfe bei einem DDoS-Angriff?Sie benötigen Hilfe bei einem DDoS-Angriff?
de
KontaktKontakt
Kontakt

Jetzt registrieren und mit Gcore starten!

Empfohlen
Gcore Edge Solutions Zur Gcore Cloud Platform → Zur Gcore Cloud Platform →

Produkte:

  • Edge Delivery (CDN)
  • DNS mit Failover
  • Virtual Machines
  • Bare Metal Server
  • Cloud Load Balancer
  • Managed Kubernetes
  • KI Infrastruktur
  • Edge Security (DDoS + WAF)
  • FaaS
  • Streaming
  • Object Storage
  • ImageStack (Optimierung und Skalierung)
  • Edge Compute
Show full list
Gcore Hosting Zu Gcore Hosting →
  1. Home
  2. Insights
  3. Wie Botnet-Angriffe funktionieren und wie man sich vor ihnen schützen kann

Wie Botnet-Angriffe funktionieren und wie man sich vor ihnen schützen kann

September 6, 2022 5 Min. gelesen
Wie Botnet-Angriffe funktionieren und wie man sich vor ihnen schützen kann

Günstiges Internet und leicht-zugängliche Cloud-Technologien haben einen Nachteil: Botnets. Bisher erstellten Cyberkriminelle solche Botnets auf der Grundlage lokaler Server, doch mit der Entwicklung von Cloud-Technologien und IoT ist die Anzahl der Geräte, virtueller Maschinen und der physischen Server — alle potenzielle Elemente von Botnetzen — exponentiell gestiegen. Experten glauben, dass die Entwicklung von Serverlosen Technologien die Entwicklung von Botnets weiter erleichtern wird. So können wir dem entgegenwirken.

Welche Technologien werden von Botnet-Besitzern verwendet?

Zunächst ein bisschen Theorie. Welche Geräte und Technologien können für Angriffe eingesetzt werden? Hier sind ein paar grundlegende Möglichkeiten:

  • Physische Server sind für einen Angreifer die lästigste und teuerste Option. Wenn Angreifer jedoch auf physische Server abzielen, reicht es aus, die Infrastruktur zu befallen und dazu zu zwingen, zufällige Ziele im Botnet-Netz anzugreifen, um sie auf verschiedenen Stack-Ebenen zu blockieren.
  • Virtuelle Maschinen sind die Lieblingswaffe der Botnet-Besitzer. Cloud-Plattformen werden ständig weiterentwickelt, um virtuelle Maschinen schneller zu erstellen und den Kunden zur Verfügung zu stellen. Das spielt auch den Angreifern in die Hände: Sie haben schnell Zugriff auf einen umfangreichen Bestand preiswerter Ressourcen.
  • IoT-Geräte sind ein häufiges Opfer von Botnet-Erstellern. Diese Geräte-Netzwerke, die mit dem Internet of Things verbunden sind (in der Regel Router), können mit Malware infiziert und für Angriffe genutzt werden.

Eine weitere Technologie, die potenziell von Cyberkriminellen genutzt werden kann, ist das Serverless Computing. Mit der Entwicklung von Cloud-Diensten wie Function as a Service (FaaS) wird davon ausgegangen, dass der Botnet-Besitzer überhaupt keine Infrastruktur mehr benötigt, da er in der Lage ist, zustandsfreie Einheiten zu verwenden, die den Code nach einem bestimmten Zeitplan ausführen und dann wieder herunterfahren. In diesem Fall wird bei jedem Auslöser eine neue Instanz der gleichen Funktion erstellt. Zum Glück sind bislang keine Fälle bekannt, in denen Serverless Computing für Botnets eingesetzt wurde, abgesehen von gezielten Experimenten.

Die Herausforderungen für Cloud-Anbieter

Während die bösartige Anwendung von Serverless-Technologien noch eine Theorie ist, sollten wir die traditionelle Infrastruktur — physisch oder virtuell — betrachten. In den allermeisten Fällen befallen die Angreifer solche Infrastrukturen über Massenschwachstellen. Das funktioniert so: Wenn eine Schwachstelle in Routern einer bestimmten Marke oder eines bestimmten Modells entdeckt wird, scannen die Angreifer die Netzwerke und installieren Malware auf vielen Routern, um dann so Angriffe zu starten. Das gilt auch für physische Server und virtuelle Maschinen.

Cyberkriminelle starten einen Bot auf jedem Knoten einer befallenen Infrastruktur. Das kleine Skript führt automatisch die angegebene Funktion aus — einen DDoS-Angriff. Die Anzahl solcher Angriffe steigt von Jahr zu Jahr, das Volumen des eingehenden Traffics nimmt zu, dadurch wird die Belastung des Sicherheitsbereichs immer größer.

Wie sollten sich Cloud-Anbieter angesichts der neuen Bedingungen verhalten? Selbstverständlich könnte man auch einfach die Kapazität der Filterzentren kontinuierlich erhöhen, damit diese das steigende Datenaufkommen bewältigen können. Allerdings führt das zu neuen Schwierigkeiten: Zum einen ist es teuer, zum anderen müssen diese Anlagen regelmäßig gewartet, die Geräte ausgetauscht werden und vieles mehr. Aus diesem Grund versuchen verschiedene Cloud- und Hosting-Anbieter, die bereit sind, bösartigen Traffic zu blockieren und die legitimen Anfragen zu behalten, die Datenlast so weit wie möglich umzuverteilen. Ein CDN ist für so eine Lastverteilung ideal. So funktioniert es.

Wie der Schutz von Gcore funktioniert

Unser Bereinigungszentrum besteht aus drei Ebenen:

  1. DDOS-Schutz — diese Ebene umfasst Lösungen zum Schutz vor volumetrischen L3/L4-Angriffen.
  2. Bot-Schutz — diese Ebene umfasst eine Reihe von Algorithmen zur Bereinigung des Traffics, der bereits in den Perimeter eingedrungen ist.
  3. WAF — eine Firewall zum Schutz von Webanwendungen vor Hackerangriffen und dem Zugriff auf vertrauliche Daten.
Bereinigungszentrum
Bereinigungszentrum

Dieses mehrschichtige Sicherheitssystem ermöglicht es uns, alle Anfragen zu analysieren. Wenn das System feststellt, dass es viele Anfragen für eine URL von einer IP Adresse gibt, wird die Sitzung gekennzeichnet und blockiert. Das System reagiert automatisch auf eine übermäßige Anzahl von Anfragen, da es die Durchschnittsbelastung der Ressourcen verfolgt und selbständig die normalen und abnormalen Werte bestimmt. Somit wird legitimer Traffic akzeptiert, aber volumetrische Angriffe wie UDP/ICMP Flood, Amplification, SYN ACK und RST SYN Flood bereits auf der ersten Schutzebene blockiert. Noch interessanter wird die Situation bei einem weiteren Angriffsvektor — HTTP Flood.

Wie HTTP Flood-Schutz funktioniert

Die zweite Ebene des Bereinigungszentrums — der Bot-Schutz — ist für den Schutz vor HTTP Flood zuständig. Bei dieser Art von Angriffen müssen wir vorsichtiger sein, um verdächtige IP-Adressen nicht ohne zusätzliche Prüfung zu blockieren, denn hinter diesen, hinter NAT, befinden sich sowohl Benutzer, deren Computer infiziert sind, als auch seriöse Besucher.

Um das zu verhindern, setzen wir eine mehrstufige Analyse ein:

  1. Verhaltensanalyse. Überprüfung der Anzahl und Häufigkeit der Anfragen.
  2. JS Challenge/Captcha. Noch bevor wir entscheiden, dass wir es mit einem Bot zu tun haben, senden wir eine Anfrage zur Verifizierung mittels JS Challenge/Captcha.

Bei der ersten Methode, der JS Challenge, wird ein jаvascript-Code mit einer bestimmten Aufgabe an den Client gesendet. Wenn ein echter Benutzer, anders als ein typischer Bot, einen Browser mit jаvascript-Unterstützung verwendet, besteht er den Test, ohne es überhaupt zu merken, denn er muss keine Ampeln oder Fahrräder markieren.

Die zweite Methode, JS Captcha, ist zwar weniger intelligent, dafür aber umso zuverlässiger. Nach Absolvierung der Herausforderung wird der Client vorübergehend in die Liste der geprüften IPs aufgenommen. Während des Tests erhalten wir Informationen, die für den Bot-Schutz nützlich sind und die wir in Zukunft verwenden können (z.B. die Browserversion).

  1. Analyse der HTTP Header. Vergleich von Headern und JS Challenge-Ergebnissen.
  2. TLS Sitzungsanalyse mit JA3-Hash. JA3-Hash ist eine effiziente Methode zum Analysieren einer Sitzung. Jeder Hash umfasst mehrere Werte, die es ermöglichen, den Benutzer zu bestimmen. Da er mit einer speziellen Hash-Funktion erstellt wird, die auf den im TLS Hello-Paket enthaltenen Informationen aufbaut, kann jede Browserversion und jeder Benutzer identifiziert werden, indem der empfangene Hash mit dem Hash in der Datenbank des Filterzentrums verglichen wird.

Wenn die Filterzentrale einen Hash in TLS Hello entdeckt, der nicht in der Datenbank vorhanden oder offensichtlich unberechtigt ist, z.B. wenn ein JA3-Hash von curl mit der Angabe „Internet Explorer“ im Benutzer-Agenten empfangen wird, blockiert die Zentrale diese Anfrage oder leitet eine Prüfung ein.

Diese Tests zeigen deutlich, wie der Bot-Schutz auf hohem Niveau funktioniert. Aber was passiert im Inneren, auf einer niedrigeren Ebene?

Wie eBPF Angriffe auf L3-L4 blockiert

Bei schweren Angriffen wird die Integration mit eBPF aktiviert, die Angriffe auf L3-L4 blockiert. So verringern wir auch das Risiko einer Überlastung des Bereinigungszentrums.

Die Kombination der Analysetechnologien auf niedriger Ebene zusammen mit algorithmischen Methoden auf höchster Ebene verringert die Wahrscheinlichkeit, dass legitimer Traffic blockiert wird, selbst wenn sowohl bösartiger als auch legitimer Traffic von derselben IP-Adresse stammt. Die Anzahl unserer der falsch-positiven Ergebnisse beträgt weniger als 0,01%.

Warum haben wir uns für eBPF entschieden? Da es sich um einen in den Kernel eingebauten Monolithen handelt — im Vergleich zu dem vorher verwendeten (dpdk) lassen sich einige Probleme einfacher lösen, in manchen Fällen können Probleme jetzt vollständig beseitigt werden. Im Gegensatz zu dpdk kann eBPF zum Beispiel auf einer Netzwerkschnittstelle zusammen mit einer anderen Rolle verwendet werden. Aus diesem Grund planen wir, eBPF in Zukunft aktiver auf CDN Knoten einzusetzen, die mit leistungsstarken Intel® Xeon® Scalable-Prozessoren der 3. Generation arbeiten. Gcore verwaltet ein großes Content-Delivery-Netzwerk — die Gesamtkapazität beträgt ungefähr 100 TB Traffic pro Sekunde, aber gleichzeitig wird der Duplex-Kanal für 85% des ausgehenden Traffics genutzt (Kunden, die Inhalte empfangen), der eingehende Kanal nicht ausgelastet ist. Dank der Integration von CDN und eBPF planen wir, diese Kapazitäten mit der Trafficsbereinigung zu verbinden, um so nah wie möglich am Kunden zu sein.

Aktivieren Sie den Schutz vor Bots und anderen Arten von Angriffen

Gcore-Nutzer sind umfassend geschützt: sowohl vor allgemeinen Angriffen wie volumetrischen DDoS-Angriffen, als auch vor maskierten oder mit legitimem Traffic vermischten Angriffen. Das alles, zusammen mit der Möglichkeit, WAF zu integrieren, ermöglicht es unseren Kunden, Angriffsfolgen auf die Netzwerk-, Transport- und Anwendungsebenen des Stacks abzumildern.

Inhaltsverzeichnis

Try Gcore WAAP

Wie Botnet-Angriffe funktionieren und wie man sich vor ihnen schützen kann

Related articles

Wie man versteckte Schwachstellen in Kubernetes RBAC-Berechtigungen verwaltet
Wie man versteckte Schwachstellen in Kubernetes RBAC-Berechtigungen verwaltet
Dieser Artikel wurde ursprünglich auf The New Stack veröffentlicht. Er wurde von Dmitrii Bubnov geschrieben, einem DevSecOps-Ingenieur bei Gcore mit 14 Jahren Erfahrung in der IT. Die rollenbasierte Zugriffskontrolle (RBAC) ist der Standardansatz für die Zugriffskontrolle in Kubernetes. Dieses Modell kategorisiert Berechtigungen mit Hilfe spezifischer Verbs, um erlaubte Interaktionen mit […]
Juni 10, 2024 10 Min. gelesen
Vergleichsanalyse von NVIDIA A100 vs. H100 Vs. L40S vs. H200
Vergleichsanalyse von NVIDIA A100 vs. H100 Vs. L40S vs. H200
NVIDIA hat kürzlich die Veröffentlichung der NVIDIA HGX™ H200 GPU für 2024 angekündigt – eine neue, leistungsstarke Ergänzung seiner führenden KI-Computing-Plattform. Gcore ist begeistert über die Ankündigung des H200-Grafikprozessors, da wir die A100- und H100-Grafikprozessoren zur Stärkung unserer KI GPU-Cloud-Infrastruktur verwenden und uns darauf freuen, die L40S-Grafikprozessoren im ersten Quartal […]
Dezember 1, 2023 5 Min. gelesen
Entdecken Sie Gcore Basic VM | Ist Gcore Basic VM der richtige Hosting-Service für Sie?
Entdecken Sie Gcore Basic VM | Ist Gcore Basic VM der richtige Hosting-Service für Sie?
Sich im Labyrinth der Hosting-Lösungen zurechtzufinden, kann eine entmutigende Aufgabe sein. Die Beurteilung der Unterschiede und die Entscheidung, welches Produkt am besten zu Ihren Bedürfnissen und Ihrem Budget passt, kann ein anstrengender Prozess sein. Wir bei Gcore verstehen diese Herausforderung und freuen uns, Ihnen diesen Leitfaden zu unserem günstigsten Hosting-Service […]
Juli 21, 2023 5 Min. gelesen
Das Kostenrätsel: Warum variieren die Preise für virtuelle Server so stark?
Das Kostenrätsel: Warum variieren die Preise für virtuelle Server so stark?
In der Welt der virtuellen Server haben wir es oft mit einer großen Preisspanne zu tun, die von schockierend billig bis erstaunlich teuer reicht. Vielleicht fragen Sie sich: Was steckt hinter diesem Preisgefälle? Sind billige virtuelle Server schlimmer und teure besser? Nicht immer! Wir von Gcore möchten Sie hinter die […]
Juli 11, 2023 5 Min. gelesen
Bare-Metal vs. VM-basierte Kubernetes-Cluster: Eine umfassende Leistungsanalyse
Bare-Metal vs. VM-basierte Kubernetes-Cluster: Eine umfassende Leistungsanalyse
In der heutigen, digital geprägten Welt entwickeln sich die Anwendungen schnell weiter, und es werden effiziente und skalierbare Lösungen benötigt. Kubernetes ist eine Open-Source-Plattform, die entwickelt wurde, um die Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen zu automatisieren. Es bietet einen stabilen Rahmen für den Betrieb verteilter Systeme und die […]
Juli 4, 2023 8 Min. gelesen
Künstliche Intelligenz und der Wettbewerbsvorteil von KI-Cloud-Clustering
Künstliche Intelligenz und der Wettbewerbsvorteil von KI-Cloud-Clustering
Gcore hat kürzlich den Start seines neuen KI-Cloud-Cluster in Newport, Großbritannien, bekannt gegeben. Nach Luxemburg und Amsterdam ist dies der dritte Präsenzpunkt der KI-Cloud von Gcore und ein wichtiger Meilenstein für Unternehmen, die schnell und bequem innovative KI integrieren möchten. Anlässlich des Wachstums der Gcore KI-Cloud möchten wir KI-Clustering, die […]
Juni 26, 2023 6 Min. gelesen
Wie wir unsere Anwendungen auf die Micro-Frontend-Architektur bei Gcore migrieren
Wie wir unsere Anwendungen auf die Micro-Frontend-Architektur bei Gcore migrieren
Bei Gcore sind uns die Entwicklungen in der Technologiewelt nicht fremd. Wir haben vor kurzem ein neues Projekt gestartet: die Migration unserer größtenteils Angular-basierten Anwendungen auf eine Micro-Frontend-Architektur. Aufgrund unserer umfangreichen Nutzung von Angular haben wir uns für Module Federation als Strategie für diesen Übergang entschieden. Unsere Ziele Als wir […]
Juni 8, 2023 7 Min. gelesen
DDoS- und Botnet-Angriffe im Jahr 2022: Schutzmöglichkeiten
DDoS- und Botnet-Angriffe im Jahr 2022: Schutzmöglichkeiten
Der Leiter der Web-Sicherheit bei Gcore spricht über Trends auf dem Cybersicherheitsmarkt.
September 19, 2022 4 Min. gelesen

Melden Sie sich
für unseren Newsletter an

Erhalten Sie die neuesten Branchentrends, exklusive Einblicke und Gcore-Updates
direkt in Ihren Posteingang.
Anmelden