Wenn Projekte und Organisationen wachsen, beschaffen sie sich neue Ressourcen und sehen sich damit auch neuen Bedrohungen gegenüber. Gelegentlich werden sogar kleine Unternehmen Opfer von Cyberkriminalität.
Die Gründe für Angriffe auf digitale Ressourcen können vielfältig sein — die Suche nach wertvollen Daten und dem Zugang zur absichtlichen Schädigung des Rufs oder der Verursachung finanzieller Schäden. In jedem Fall sollte die Sicherheit an erster Stelle stehen.
In den letzten Jahren wurden Cloud-Infrastrukturen, insbesondere Public Clouds, sehr beliebt. Tausende Unternehmen weltweit, von Kleinunternehmen bis hin zu Großkonzernen, verlassen sich auf Cloud-Dienste.
Cyber-Bedrohungen können jedem Online-Geschäft schaden, wenn keine Schutzmaßnahmen vorhanden sind.
Arten von DDoS-Angriffen
DDoS-Angriffe (Distributed Denial of Service) sind eine der am stärksten ausgeprägten Cyber-Bedrohungen. Das Ziel ist die wortwörtliche Dienstverweigerung.
Solche Angriffe stören den Betrieb von Servern, Webseiten und Webdiensten durch eine überhöhte Flut von Anfragen. Ressourcen, die nicht für hohe Lasten ausgelegt sind, funktionieren nicht mehr und sind somit nicht mehr für alle Benutzer verfügbar. Außerdem nutzen DDoS-Angriffe Schwachstellen auf der Netzwerkprotokoll- und Anwendungsebene aus.
Der Begriff „distributed“ (verteilt) bedeutet bei dieser Art von Angriff, dass die Täter ganze Netzwerke von infizierten Geräten – Botnets – verdeckt als Angriffsquelle nutzen. Die Geräteinhaber haben oft keine Ahnung, dass Angriffe von ihren Computern und IP-Adressen aus durchgeführt werden. IoT-Geräte (Internet of Things) sind für solche Zwecke besonders geeignet, da ihre Anzahl kontinuierlich wächst, der Schutz aber weiterhin recht schwach bleibt.
Obwohl fast die Hälfte aller DDoS Angriffe einer gemischten Natur sind, können drei Hauptkategorien festgelegt werden.
Volumetrische Angriffe
Großangriffe oder Flood. Dies ist der am weitesten verbreitete Typ. Die Täter senden eine große Anzahl von Anfragen an den Server, der daraus resultierende Datenverkehr blockiert die Netzwerkbandbreite.
Das Ausmaß eines solchen Angriffs kann mehrere Terabit pro Sekunde erreichen. Infolgedessen gibt die unvorbereitete Infrastruktur nach und verhindert die Bearbeitung von Anfragen.
DNS AmplificationMehrere Anfragen werden an einen öffentlichen DNS-Server im Namen der gewünschten Quelle gesendet (die IP-Adresse des Zielservers ist in den Anfragen angegeben). Solche Anfragen erfordern umfangreiche Antworten, die an den gewünschten Server umgeleitet werden.
DNS FloodAnfragen an einen DNS-Server von mehreren IP-Adressen. Es ist sehr schwierig, bösartige Datenpakete unter allen vom Server empfangenen Anfragen zu erkennen.
ICMP FloodICMP-Pakete erfordern keine Empfangsbestätigung, so dass es äußerst schwierig ist, sie von bösartigem Datenverkehr zu trennen.
SYN FloodVersenden einer übermäßigen Anzahl von Anfragen zum Öffnen neuer Sitzungen, um den Speicher der Verbindungstabelle zu überlasten.
Protokoll-Angriffe
Diese Angriffe nutzen Schwachstellen von Netzwerkprotokollen wie TCP, UDP, ICMP (Schichten 3 und 4 des OSI-Modells) aus. In diesem Fall besteht der Zweck darin, die Netzwerkkapazitäten nicht so sehr mit einer riesigen Menge an Datenverkehr zu überlasten, sondern mit gezielten Aktivitäten, die sich Netzwerkdefekte zunutze machen.
Ein Beispiel für einen Protokoll-Angriff:
POD (Ping of Death)Pingen des Servers durch Senden fehlerhafter oder übergroßer Pakete.
Anwendungsangriffe
Dabei handelt es sich um Angriffe auf der Anwendungsschicht (Schicht 7 des OSI-Modells). Sie richten sich an Webserver und Anwendungen, z.B. Website-CMS. Das Hauptziel besteht darin, die Web-Ressource aus dem Verkehr zu ziehen. Dies kann insbesondere bei CPU- oder RAM-Überlastung geschehen.
Das Ziel der Täter kann durch eine externe HTTP-Anfrage erreicht werden. Als Reaktion darauf beginnt das System mit der Verarbeitung einer großen Anzahl interner Anfragen, auf die es nicht ausgelegt ist.
Arten von Angriffen auf der Anwendungsebene:
SlowlorisEin Bot öffnet viele Sitzungen auf dem Server, ohne darauf zu antworten und provoziert eine Zeitüberschreitung. Infolgedessen beanspruchen solche gefälschten Sitzungen Server-Ressourcen und führen zu ihrer Unerreichbarkeit.
HTTP FloodÜbermäßige Anzahl von GET- und POST-Anfragen an den Server, um die „größten“ Elemente der Website zu erhalten.
Die gefährlichsten DDoS-Angriffe der heutigen Zeit
Aufgrund der hohen Effizienz einiger Angriffe sind sie bei den Tätern besonders beliebt. Die schlimmsten Zwischenfälle unserer Zeit stehen im Zusammenhang mit DDoS-Angriffen einer besonderen Art.
DNS Reflected Amplification
Eine Unterart der volumetrischen Angriffe, die im Wesentlichen aus einer Kombination von zwei bösartigen Elementen besteht. Zunächst simuliert der Angreifer eine Anfrage des Zielservers, indem er seine IP-Adresse in die Anfrage einfügt, wobei der Angreifer einen öffentlichen DNS-Server als „Reflektor“ verwendet. Dieser erhält eine Anfrage von einem angeblich angegriffenen Server und sendet die Antwort an ihn zurück, wodurch die Anfrage „reflektiert“ wird.
Man kann hier nicht nur die IP-Adresse der Domäne anfordern, sondern viel mehr Daten, so dass die Antwort des DNS-Servers sehr viel umfangreicher ausfallen kann. Schließlich kann der Datenverkehr durch Abfragen über ein Botnet maximiert werden. Dadurch wird die Bandbreite des Zielservers mit hoher Wahrscheinlichkeit überlastet.
Der bekannteste Einsatz von DNS Reflected Amplification war der Angriff auf GitHub im Februar 2018, der größte bekannte DDoS-Angriff. Der Angriff kam aus Tausenden verschiedenen autonomen Systemen und Zehntausenden einzigartigen Endpunkten. Die Angriffsleistung erreichte zu Spitzenzeiten 126,9 Millionen Pakete pro Sekunde. Der Datenfluss erreichte 1,35 Tbps, das Verstärkungsverhältnis (Amplifikationsverhältnis) erreichte 51 000.
Generierter UDP-Flood
Der generierte UDP-Flood kombiniert die Erzeugung von überschüssigem Datenverkehr mit Angriffselementen auf Protokollebene.
Der Angriff, der UDP-Pakete von gefälschten IP-Adressen versendet, zielt auf die IP-Adresse und den Server-Port ab. Mit den korrekt gewählten Paketparametern und Sendeintensitäten ist es möglich, legitimen Datenverkehr zu simulieren. Die Identifizierung von Junk-Anfragen wird äußerst schwierig.
Ein derartiger Angriff wurde gegen den MMORPG-Server von Albion Online geführt. Als Lösung zur Beseitigung der Bedrohung wurde das Softwarepaket von Gcore gewählt, das verschiedene Methoden kombiniert:
RatenbegrenzungBegrenzung des Datenverkehrs.
Regexp-FilteringFilterung von Paketen, die mit regexp in der Datenmenge übereinstimmen.
WhitelistingHinzufügen der IP-Adresse des Spielers zur Whitelist bei der Autorisierung.
BlacklistingHinzufügen der IP-Adresse des Spielers zur Blacklist bei nicht autorisierten Adressen.
IP-GeolokalisierungsfilterSperrung von IP-Adressen auf Grundlage der geografischen Lage.
Gcore Challenge Response (CR)Ein einzigartiges Protokoll, das auf der Seite des Kunden integriert ist und die Validierung der IP-Adresse ermöglicht.
Wie wir Albion Online gegen umfangreiche und massive DDoS-Angriffe geschützt haben
HTTP GET/POST-Flood
Es handelt sich um einen Angriff auf Webanwendungsebene. In einem solchen Fall werden fortlaufend GET- und POST-Anfragen an den Server gesendet, die auf erstem Blick legitim sind. Das Problem dabei ist, dass der Angreifer nicht auf Antworten wartet, sondern konstant weitere Anfragen sendet, so dass die Server-Ressourcen im Verlauf der Bearbeitung erschöpft werden.
HTTP Flood wurde von Anfang an verwendet, um die Häufigkeit der Anfragen und die Menge des Datenverkehrs, die für eine Dienstverweigerung erforderlich ist, genau zu bestimmen. Diese Methode wurde als Hilfsmittel eingesetzt, danach wurden andere Werkzeuge verwendet.
Hit-and-Run DDoS Angriffe
Hit-and-Run DDoS Angriffe sind eine Unterart der volumetrischen, funktionieren aber anders als die meisten anderen Angriffe. Dabei handelt es sich um kurze Datenströme mit einem Volumen von Hunderten von Gigabit pro Sekunde, die 20-60 Minuten und in einigen Fällen weniger als eine Minute dauern. Diese Angriffe werden viele Male über lange Zeiträume von Tagen oder sogar Wochen wiederholt — in Abständen von durchschnittlich 1-2 Tagen.
Solche Angriffe wurden beliebt, weil sie günstig sind. Sie sind wirksam gegen Schutzmaßnahmen, die manuell aktiviert werden. Die Gefahr von Hit-and-Run DDoS Angriffen besteht darin, dass ein konsequenter Schutz eine ständige Überwachung und die Verfügbarkeit von Gegenmaßnahmen erfordert.
Die Hauptziele von Hit-and-Run-Angriffen sind Online-Spiele-Server und Service-Provider.
SYN-Flood
Dies ist ein weiteres Beispiel für einen volumetrischen Angriff. Die Standardverbindung zum Server über TCP wird mittels dreimaligem „Handshake“ hergestellt.
In der ersten Phase sendet der Client ein Paket mit einer SYN-Flag zur Synchronisierung. Der Server antwortet mit einem SYN-ACK-Paket, teilt dem Client den Empfang des ersten Pakets mit und bietet an, ein letztes, drittes Paket zur Bestätigung der Verbindung zu senden. Der Client antwortet nun nicht mit dem ACK-Paket, so dass der Flood fortgesetzt wird und dadurch die Server-Ressourcen überlastet werden.
Einige der größten Unternehmen wurden zu verschiedenen Zeiten Ziel eines SYN-Flood und ähnlichen Angriffen, wie zum Beispiel Amazon, SoftLayer (IBM) und Korea Telecom. Einer der schwersten Vorfälle war die Unterbrechung der Sportwetten-Website von Eurobet Italia SRL im Oktober 2019. Später im selben Monat fielen mehrere Finanz- und Telekommunikationsunternehmen in Italien, Südkorea und der Türkei der TCP SYN-ACK-Reflection zum Opfer.
Slowloris
Ein DDoS-Angriffssubtyp auf Anwendungsebene. Slowloris (oder Session-Angriffe) zielen darauf ab, den anvisierten Server zu „erschöpfen.“ Der Angreifer öffnet viele Verbindungen und hält jede von ihnen so lange wie möglich offen, bis die Zeitüberschreitung eintritt.
Angriffe im Iran. Slowloris wurde während der Präsidentschaftswahlen im Iran weithin bekannt, als Angreifer versuchten, regierungseigene Webseiten zu deaktivieren.
Solche Angriffe sind nicht leicht zu entdecken, da die TCP-Verbindung bereits hergestellt ist und die HTTP-Anfragen legitim aussehen. Nach einiger Zeit erlaubt diese Taktik dem Angreifer, alle Verbindungen zu übernehmen, und blockiert so den Zugriff echter Anwender auf den Server.
Wie man einen zuverlässigen Schutz aufbaut : 3 Hauptschritte
Es liegt auf der Hand, dass die Cybersicherheit eine eng gefasste Kompetenz ist und kaum so leicht abgedeckt werden kann wie das Personal- oder Rechnungswesen, ganz gleich, wie fortschrittlich das Unternehmen ist. Es ist daher wichtig, sicherzustellen, dass Ihre Dienstleistungs- und Infrastrukturanbieter tief in die Themen der Cybersicherheit eingetaucht sind und sich als echte Profis etabliert haben.
3 Hauptschritte, die zuverlässigen Schutz bieten:
-
Verwendung einer bewährten und geprüften Lösung für kontinuierlichen DDoS-Schutz.
- Entwicklung eines Maßnahmenplans für den Angriffsfall.
- Durchführung regelmäßiger Systemzustandsprüfungen und Beseitigung von Sicherheitslücken der Anwendung.
Eine bewährte Lösung für kontinuierlichen DDoS-Schutz
Wenn wir die Cloud-Infrastruktur betrachten, erfordert der Schutz besondere Aufmerksamkeit.
Ein Server ist eine der Grundlagen jedes Webdienstes, jeder Anwendung oder Webseite. Wird ein Angriff auf einen Server verübt, der zu einem Verlust des Benutzerzugriffs auf Ressourcen geführt hat, können die Folgen katastrophal sein. Diese können Finanz- und Imageschäden, die Gefährdung vertraulicher Informationen, die Zerstörung wertvoller Ressourcen und rechtliche Risiken sein.
Um Ihre Vermögenswerte zu schützen, ist es wichtig, einen bewährten Online-Schutz zu verwenden.
Der Schutz sollte die folgenden Aspekte umfassen:
Werkzeuge für die kontinuierliche Überwachung des Datenverkehrs und die Erkennung verdächtiger Aktivitäten
Hinzufügen von IP-Adressen zu White- und Blacklists
ein Benachrichtigungssystem über Bedrohungen
ein System zur Angriffsneutralisierung
Bei der Beseitigung der Bedrohung ist es besonders wichtig, den Benutzerdatenverkehr nicht zusammen mit dem schädlichen Datenverkehr zu blockieren.
Ein gutes Beispiel für eine effektive Feinabstimmung ist der DDoS-Schutzdienst von Gcore. Dieser Dienst ist für jedes Online-Geschäft nützlich: Medienressourcen, Spieleentwickler und -herausgeber, Telekommunikationsunternehmen, Versicherungsunternehmen, Banken und Online-Shops.
Eine intelligente Verkehrsfilterung, die auf der Analyse statistischer, signaturbezogener, technischer und verhaltensbezogener Faktoren basiert, ermöglicht es, selbst einzelne bösartige Anfragen zu blockieren, ohne die normalen Anwender zu beeinträchtigen.
Ein Maßnahmenplan für den Angriffsfall
Ein Maßnahmenplan zielt darauf ab, den durch den DDoS-Angriff verursachten Schaden zu begrenzen. Es handelt sich um eine klare Abfolge von Handlungen und Maßnahmen, die sofort ergriffen werden, sobald eine Bedrohung eintritt.
Ein detaillierter Maßnahmenplan sollte Folgendes beinhalten:
Regelmäßige Überprüfung des Systemzustands und Beseitigung von Anwendungsschwachstellen
Um einen überraschenden DDoS-Angriff zu verhindern und den Schaden so gering wie möglich zu halten, sollten die Schutzmechanismen ständig verbessert werden. Diese Regel gilt nicht nur für die Werkzeuge zur Abwehr von Angriffen, sondern auch für die geschützte Infrastruktur und die Anwendung selbst.
Hier eine Aufzählung potenzieller Bedrohungen:
Schwachstellen im Authentifizierungsstadium
Einfügung von bösartigem Code
Standortübergreifende Skripterstellung
Verschlüsselungsschwachstellen
Logische Fehler, unvollkommene Datenstruktur
Das Scannen der Systeme auf Schwachstellen und die ständige Aktualisierung des Anwendungscodes tragen dazu bei, dass die Unternehmensressourcen gegen die meisten bekannten Cyber-Bedrohungen gewappnet sind.
Schützen Sie Ihr Unternehmen
Die Lösungen von Gcore zum Schutz vor DDoS-Angriffen für Server und Webanwendungen helfen Online-Unternehmen auf der ganzen Welt, verfügbar zu bleiben und Kunden zu binden.
Kontaktieren Sie uns. Unsere Spezialisten werden Ihnen erklären, warum unsere Technologie einzigartig ist, und Sie dabei unterstützen, einen wirksamen und zuverlässigen Schutz zu konfigurieren.