DDoS-Angriffe kommen immer häufiger vor. Die Anzahl der „intelligenten Angriffe“ nimmt zu, und ihre Dauer und Leistungsfähigkeit wachsen. Es wird immer schwieriger, Ihre Online-Ressourcen zu schützen.
In diesem Beitrag geben wir Tipps, wie Sie sich effektiv gegen die immer komplexer werdenden DDoS-Angriffe schützen können.
Was sind DDoS-Angriffe?
DDoS-Angriffe sind alle Maßnahmen von Cyberkriminellen, die darauf abzielen, Ihre Dienste für Kunden unzugänglich zu machen. Es gibt verschiedene Möglichkeiten, dies zu erreichen. Eine der bekanntesten Methoden ist das Senden einer enormen Anzahl von Anfragen an den Server, sodass dieser nicht mehr in der Lage ist, alle zu bewältigen, was schließlich dazu führt, dass der Server immer langsamer arbeitet oder sogar komplett abstürzt. Es gibt allerdings auch andere Methoden.
Cyberkriminelle können eine einzelne Seite, App oder einen ganzen Server angreifen.
Es gibt viele verschiedene Typen von DDoS-Angriffen. Diese können auf verschiedene OSI-Schichten abzielen und unterschiedliche Techniken verwenden.
Bei einem DDoS-Angriff finden die Angreifer Schwachstellen und können z.B. einen Virus auf eine Webseite schleusen und Ihre Daten oder die Daten Ihrer Nutzer stehlen.
Wie schaden DDoS-Angreifer Unternehmen?
Der Hauptschaden eines DDoS-Angriffs besteht darin, dass Ihr Dienst über eine gewisse Zeit nicht verfügbar ist. Kunden können dann nicht auf eine Webseite oder Anwendung zugreifen und so keinen von Ihnen angebotenen Dienst nutzen. Als Folge werden Kunden Ihrem Unternehmen gegenüber untreu.
Das Schlimmste ist, dass Cyberkriminelle oft in kritischen Momenten angreifen. Sie starten z.B. eine Werbeaktion in Ihrem Online-Shop und erwarten, dass diese zu einer erheblichen Umsatzsteigerung führt. Aber statt „sauberem“ Traffic wird eine riesige Anzahl Anfragen von Bots an den Server geschickt, so können echte Menschen nicht auf die Webseite zugreifen und keinen Kauf tätigen.
Abgesehen davon gibt es noch weitere negative Aspekte:
- Wenn Bot-Anfragen einen bestimmten Prozentsatz des Traffics auf Ihrer Webseite ausmachen, ist es schwierig, den echten Traffic abzuschätzen. So können Sie nicht erkennen, ob Ihre Webseite oder Anwendung für tatsächliche Kunden ansprechend und benutzerfreundlich ist und wie oft die Kunden ihre Ressourcen besuchen.
- Bot-Anfragen erhöhen die Absprungrate. Dies verschlechtert die Position Ihrer Webseite in den Suchmaschinenergebnissen.
- Falls Sie bezahlten Traffic verwenden, um Kunden zu gewinnen, kann es sein, dass ein Teil dieses Traffics nicht „echt“ ist, wodurch Sie einen Teil Ihres Budgets verschwenden.
Angriff auf GitHub
Im frühen März 2018 traf der bislang stärkste DDoS-Angriff der Geschichte GitHub und stellte einen neuen Rekord von 1,35 Tbps oder 126,9 Millionen Paketen pro Sekunde auf. Die Angreifer hatten gelernt, zusätzlich Memcached DDoS-Server zu nutzen, die den Angriff um einen Faktor von mehr als 50.000 verstärken können.
Angriff auf EVE Online
Im Februar 2020 legte ein mächtiger DDoS-Angriff, der mehr als eine Woche andauerte, den gesamten Spielbetrieb lahm: Chats, Schiffssteuerung und Markttransaktionen waren unmöglich.
Angriff auf Takeaway.com
Im März 2020 gab es einen großen DDoS-Angriff auf das Essensliefernetzwerk Takeaway.com. Restaurants konnten zwar Bestellungen empfangen, aber nicht verarbeiten.
Die Angreifer forderten von dem Unternehmen 2 Bitcoins als Bezahlung, um den DDoS-Angriff zu beenden. Am selben Tag twitterte der CEO einen Screenshot dieser Nachricht.
Takeaway entschied sich, das Lösegeld nicht zu zahlen, aber der DDoS-Angriff verursachte schwere Schäden. Die Firma musste allen Benutzern, deren Bestellungen zwar bezahlt, aber nicht geliefert wurden, eine Rückerstattung gewähren.
Warum führen Cyberkriminelle DDoS-Angriffe durch?
Die Gründe sind unterschiedlich.
Erpressung
Oben haben wir bereits ein entsprechendes Beispiel gegeben. Der Ablauf ist meist wie folgt:
- Sie werden vorgewarnt. Die Cyberkriminellen drohen, Ihre Webseiten anzugreifen, wenn Sie ihnen nicht bis zu einem bestimmten Datum einen bestimmten Betrag zahlen.
- Sie werden angegriffen, anschließend kommt eine Nachricht mit der Aufforderung zur Zahlung, um den DDoS-Angriff zu stoppen.
Wenn ein Lösegeld von Ihnen verlangt wird, sollten Sie niemals bezahlen! Die Cyberkriminellen werden denken, dass Sie leicht nachgeben, und greifen dann immer wieder an.
Skrupelloser Wettbewerb
Sie wachsen aktiv, überholen möglicherweise Ihre Konkurrenten und einer von diesen beneidet Sie. Vielleicht wollen Sie aber auch neue Märkte erschließen, und die dort bereits ansässigen Unternehmen wollen keine zusätzliche Konkurrenz.
Auf jedem Markt gibt es Unternehmen, die nicht gerne fair handeln. Mit Hilfe eines DDoS-Angriffs können diese versuchen, Ihr Geschäft zu ruinieren und Sie zu zwingen, Ihre Pläne aufzugeben.
Was sollten Sie in diesem Fall tun? Auch hier gilt: Den Angreifern nicht nachgeben. Wenn Ihre Konkurrenten sich vor Ihnen fürchten und versuchen, Sie aufzuhalten, bedeutet das, dass Sie auf dem richtigen Weg sind.
Neben den vorsätzlichen Angriffen gibt es auch unbeabsichtigte:
- Sie sind ein Kollateralschaden. Dies kann zum Beispiel der Fall sein, wenn sich Ihre Webseite auf einem virtuellen Server befindet. Eine andere Webseite mag das Ziel der Kriminellen gewesen sein, aber da ein DDoS-Angriff den gesamten Server betrifft, leiden auch alle anderen darunter.
- Es war gar kein Angriff. Sie haben lediglich nicht mit einem natürlichen Anstieg des Datenverkehrs gerechnet, z.B. aufgrund von Verkäufen, und das System konnte den Ansturm nicht bewältigen.
Woher wissen Sie, ob Ihre Ressource angegriffen wurde?
DDoS-Angriffe erfolgen in der Regel unerwartet. Sie haben keine Werbeaktionen oder Sonderangebote. Sie haben nichts getan, um Kunden anzulocken. Dennoch werden ohne Grund eine große Anzahl von Anfragen an den Server gesendet. Ein normaler Anstieg des Datenverkehrs ist, im Gegensatz zu einem Angriff, normalerweise vorhersehbar.
Sie können überprüfen, ob es sich um einen DDoS-Angriff handelt, indem Sie die Protokolle analysieren. Diese Dateien sind auf der Festplatte des Servers gespeichert. Die Dateien zeichnen Informationen über Besucher, übertragene Daten und Fehlermeldungen auf.
Der Zugriff auf die Protokolle wird normalerweise vom Hosting-Provider über die entsprechende Systemsteuerung gewährt.
Wenn Ihre Ressource angegriffen wird, sehen Sie wahrscheinlich viele identische Anfragen und Pakete, die von denselben IP-Adressen kommen.
Wie kann man sich selbst vor DDoS-Angriffen schützen?
Im Klartext: Sie werden nicht in der Lage sein, allein einen vollwertigen Schutz einzurichten. Es gibt keine kostenlose Technik, die Ihre Webseite oder Anwendung garantiert schützt. Es werden immer wieder neue Arten von DDoS-Angriffen erkannt und die bestehenden werden immer besser.
Sie können trotzdem handeln.
Bereiten Sie sich auf die Last vor
Während des Neujahrsverkaufs ist Ihre Webseite im entscheidenden Moment „abgestürzt“. War das wirklich ein DDoS-Angriff?
Wenn Sie über eine kompetente Infrastruktur verfügen, die für eine ausgewogene Lastverteilung sorgt und mögliche Verkehrsspitzen berücksichtigt, stellen DDoS-Angriffe keine so große Bedrohung für Sie dar. Investieren Sie in die Infrastruktur. Hier ist es besser, einmal gut zu investieren als zu sparen und dann viele Verluste zu erleiden.
Wenn Sie keine Ressourcen haben, um eine eigene Infrastruktur aufzubauen, sollten Sie den Kauf einer IT-Lösung eines Drittanbieters in Betracht ziehen. Eine Möglichkeit ist die Anmeldung bei einem CDN – einem Content Delivery Network.
Das Gcore CDN liefert jeden umfangreichen Inhalt auf der ganzen Welt. Es ist ein schnelles und sicheres Netzwerk mit über 70 Präsenzpunkten auf allen Kontinenten sowie einem Eintrag im Guinness Buch der Rekorde.
Sie werden jetzt gerade angegriffen. Was können Sie tun?
Wenn Sie angegriffen werden und keinen Schutz für Ihre Webseite eingerichtet haben, können Sie mehrere Maßnahmen ergreifen.
1. Sperren Sie die IP-Adressen, von denen der Angriff ausgeführt wird. Diese finden Sie in den Protokollen.
Um nicht jede Anfrage manuell zu blockieren, können Sie grep verwenden. Mit diesem Werkzeug können Sie bestimmte Elemente in einer Datei finden und einfache Handlungen ausführen, z.B. blockieren.
Sie können von Glück reden, wenn der Angriff auf Ihre Webseite nur kurz ist. In diesem Fall können Sie sofort herausfinden, woher der sog. Junk-Verkehr stammt, und können diesen anschließend blockieren.
Doch solches Glück ist selten. Ein DDoS-Angriff kann mehrere Tage andauern und von Tausenden verschiedenen IP-Adressen ausgehen. Es ist nicht möglich, alle zu blockieren, auch nicht mit grep.
Außerdem ist das Unterbinden intelligenter Angriffe durch Sperren von IP-Adressen keine sehr effektive Taktik. Wenn die Angreifer dynamische IP-Adressen verwenden, kann Sie keine IP-Sperre retten.
2. Anfragen nach Geolocation blockieren. Diese Methode funktioniert nur, wenn Sie sehen, dass viele Anfragen an Ihre Webseite aus einem bestimmten Gebiet der Welt kommen. Zum Beispiel leben Ihre Nutzer in Osteuropa, aber plötzlich kommt ein großer Teil des Traffics aus Afrika.
Aber auch dies kommt selten vor. Die meisten DDoS-Angriffe sind heutzutage „intelligent“, die Angreifer werden so einen Fehler höchstwahrscheinlich nicht machen.
3. Sperren Sie den „schweren“ Bereich Ihrer Webseite. Der Angriff zielt möglicherweise nicht auf die gesamte Webseite, sondern nur auf den verwundbarsten Teil, wie z.B. die Suchfunktion. Wenn dieses Element nicht das wichtigste auf Ihrer Webseite ist, können Sie den Zugriff darauf einfach für alle Benutzer deaktivieren. Kunden können die Suche zwar nicht nutzen, aber alles andere wird normal funktionieren.
Der Nachteil dieser Methode ist, dass sie für die meisten Angriffe nutzlos ist.
Warum sind diese Methoden oft ineffektiv?
Diese Methoden können helfen, manche einfachen Arten von DDoS-Angriffen zu stoppen. Außerdem sind sie alle darauf ausgelegt, Angriffe auf Server abzuwehren und werden Sie keineswegs von Bots auf der Webseite befreien, die ebenfalls große Probleme verursachen können.
Wenn Sie z.B. eine begrenzte Anzahl von Produkten haben, kann ein Angreifer Bots starten, die alle Produkte in den Warenkorb legen und so verhindern, dass echte Kunden etwas kaufen können.
Darüber hinaus haben Sie, selbst wenn es Ihnen gelingt, den Angriff abzuwehren, Zeit damit verbracht, das Problem zu lösen. Das bedeutet, dass Ihre Dienste für einige Zeit nicht verfügbar sein werden.
Um nicht verzweifelt Notmaßnahmen zu ergreifen, ist es besser, von Anfang an ein Hosting mit eingebautem Schutz gegen DDoS-Angriffe zu wählen oder einen kostenpflichtigen Schutz gegen DDoS-Angriffe für Ihren Server zu aktivieren.
Vorteile eines spezialisierten Dienstes zum Schutz vor DDoS-Angriffen
1. Schutz auf allen Ebenen. Ein DDoS-Angriff kann auf der Netzwerk- (L3), Transport- (L4) oder Anwendungsschicht (L7) erfolgen. Die oben aufgeführten Methoden helfen im Falle eines DDoS-Angriffs auf einer dieser Ebenen. Doch Angriffe sind oft anders. So ist es extrem schwierig, alle Schichten allein zu schützen.
Ein professioneller Schutz ist eine sorgfältig konzipierte Filterplattform, durch die der gesamte Datenverkehr läuft und die verdächtige Anfragen blockiert. Junk-Datenpakete werden auf dem Weg zur Ressource gestoppt.
2. Load Balancing. Ein gutes Sicherheitssystem sorgt normalerweise für eine gleichmäßige Verteilung des Datenverkehrs zwischen den Knoten. So wird es für Kriminelle schwieriger, Ihre Webseite „zum Absturz“ zu bringen. Außerdem wird dadurch das Aufrufen der Webseite beschleunigt und es hilft bei natürlichen Traffic-Schüben.
3. Schutz vor Sicherheitslücken in Webanwendungen. Jede Webseite oder App hat Schwachstellen, und Angreifer zögern nicht, diese auszunutzen. Cyberkriminelle finden die Schwachstellen und nutzen diese aus, um Zugriff auf vertrauliche Benutzerdaten zu erhalten.
Die Webanwendungsfirewall (WAF) ist eine Firewall, die Anwendungsschwachstellen verbirgt und verdächtigen Datenverkehr blockiert.
Bei der Auswahl einer Firewall ist es wichtig, darauf zu achten, wie sie funktioniert. Es ist eine gute Idee, eine „intelligente“ WAF mit selbstlernenden Algorithmen zu wählen. Solche Algorithmen sind mit ihren Filtern in der Lage, den Inhalt von Paketen zu analysieren und zu vermeiden, dass echte Nutzer zusammen mit Bots blockiert werden.
4. Rückerstattungsgarantie. Wenn Sie Ihre Webseite mit irgendwelchen Tools absichern, gibt es keine Garantie, dass diese Tools auch helfen. Und selbst wenn Ihr eigener Schutz vorerst mehr oder weniger ausgereicht hat, kann es sein, dass der Hacker von morgen einen neuen Typ DDoS-Angriff erfindet und Ihre Maßnahmen unbrauchbar werden.
Wenn Sie dagegen professionellen Schutz kaufen, bieten gute Unternehmen immer eine Rückerstattungsgarantie für ihre Dienstleistungen. Wenn der Schutz nicht funktioniert, können Sie also Ihr Geld zurückbekommen.
Zugleich werden professionelle Systeme ständig weiterentwickelt und berücksichtigen die Entstehung neuer DDoS-Angriffe.
Wie schützt Gcore seine Kunden vor DDoS-Angriffen?
Wir bieten Schutz für Webseiten und Anwendungen vor Bots und sicheres Hosting auf unseren Servern. Wir können den Serverschutz auch für Ihre eigene Infrastruktur aktivieren.
Die Schutzlösung basiert auf unseren eigenen Traffic-Filterzentren in Europa. Die gesamte Filterbandbreite beträgt mehr als 1,5 Tbps.
Wie funktioniert es?
- Die Filterzentralen lassen den gesamten Verkehr durch sie hindurchlaufen. Die Zentralen analysieren den Verkehr bereits auf dem Weg.
- Es werden nicht nur Pakete geprüft, sondern auch die Verhaltensfaktoren des Nutzers, die die Anfrage gesendet hat. Das System analysiert zum Beispiel, wie viel Zeit der Benutzer auf der Webseite verbracht hat, sowie die Intervalle zwischen Anfragen und Unteranfragen.
- Diese Daten werden mit den Parametern verglichen, um festzustellen, ob die Anfrage legitim ist oder nicht. Vereinfacht formuliert, errechnet das System, ob eine echte Person oder ein Bot Ihre Webseite besucht hat.
- Wenn die Anfrage verdächtig erscheint, wird sie blockiert.
Das System blockiert jeglichen Bot-Verkehr, einschließlich Parsing und Brute-Force.
Das System blockiert Sitzungen, nicht IP-Adressen. Selbstlernende Algorithmen sind in die Plattform eingebaut. Es merkt sich „vertrauenswürdige“ Nutzer und verifiziert nachfolgende Anfragen von ihnen nicht weiter. Die Anzahl der falsch-positiven Ergebnisse beträgt weniger als 0,01%.
Die Vorteile unseres Schutzes
- Wir blockieren DDoS-Angriffe ab der ersten Anfrage.
- Wir sorgen für Lastausgleich.
- Sie zahlen nur für legitimen Datenverkehr. Wir berechnen 5% der Überlastungen nicht, d.h. Sie müssen nicht für natürliche Überbelastung, wie z.B. während Werbeaktionen, bezahlen.
- Wir erstellen Berichte.
- Wir garantieren die Verfügbarkeit Ihrer Webseiten zu 99,5%. Wir erstatten Ihr Geld, wenn der Schutz nicht funktioniert.
- Um den Schutz zu aktivieren, müssen Sie lediglich einen DNS-Eintrag einrichten.
Zusätzlich zum Schutz können Sie eine intelligente Firewall für Ihre Webapp kaufen.
Schützen Sie Ihre Ressourcen mit einer Komplettlösung und vergessen Sie DDoS-Angriffe.