Was ist ein DDoS-Angriff?

Was ist ein DDoS-Angriff?

Ein verteilter Denial-of-Service-(DDoS)-Angriff ist ein böswilliger Versuch, den normalen Traffic eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel oder die umliegende Infrastruktur mit einer Flut von Internet-Traffic überlastet wird.

DDoS-Angriffe erzielen ihre Wirksamkeit, indem sie sich mehrerer kompromittierter Computersysteme als Quelle für den Angriffs-Traffic bedienen. Zu den so manipulierten Geräten zählen Computer und andere Netzwerkressourcen (z. B. IoT-Geräte).

Ein DDoS-Angriff ist mit einem unerwarteten Stau auf der Autobahn vergleichbar, bei dem der normale Verkehr daran gehindert wird, sein Ziel zu erreichen.

Wie funktioniert ein DDoS-Angriff?

Durchgeführt werden DDoS-Angriffe von Netzwerken aus Geräten, die mit dem Internet verbunden sind.

Dazu gehören sowohl Computer als auch andere Geräte (wie z. B. IoT-Geräte), die mit Malware infiziert wurden und vom Angreifer ferngesteuert werden können. Diese Geräte nennt man Bots (oder Zombies), eine Gruppe von Bots ist ein Botnetz.

Sobald ein Botnetz eingerichtet wurde, kann der Angreifer jedem Bot Anweisungen senden und auf diese Weise den Angriff leiten.

Gerät der Server oder das Netzwerk eines Opfers ins Visier eines Botnetz, sendet jeder Bot Anfragen an die IP-Adresse des Angriffsziels. Das kann dazu führen, dass der Server oder das Netzwerk überlastet wird, was wiederum einen Denial-of-Service für den normalen Traffic zur Folge hat.

Da es sich bei jedem Bot um ein legitimes Internetgerät handelt, kann es schwierig sein, den Angriffs-Traffic vom normalen Datenverkehr zu trennen.

Wie man einen DDoS-Angriff identifiziert

Das deutlichste Symptom eines DDoS-Angriffs ist, dass eine Website oder ein Dienst plötzlich langsam arbeitet oder nicht mehr verfügbar ist. Da jedoch eine Reihe von Ursachen (z. B. eine legitime Traffic-Spitze) zu ähnlichen Performance-Problemen führen kann, sind in der Regel weitere Untersuchungen erforderlich. Mithilfe von Traffic-Analytics-Tools können Sie einige der folgenden Warnzeichen eines DDoS-Angriffs erkennen:

• Verdächtig viel Traffic, der von einer einzelnen IP-Adresse oder einem IP-Bereich stammt
• Eine Flut von Traffic von Nutzern, die ein gemeinsames Verhaltensprofil teilen, wie z. B. Gerätetyp, Geolocation oder Web-Browser-Version
• Ein unerklärlicher Anstieg von Anfragen an eine einzelne Seite oder einen Endpunkt
• Seltsame Traffic-Muster wie Spitzen zu ungewöhnlichen Tageszeiten oder Muster, die unnatürlich erscheinen (z. B. eine Spitze alle 10 Minuten)

Es gibt weitere, spezifischere Anzeichen für DDoS-Angriffe, die je nach Art des Angriffs variieren können.

Welche allgemeinen Arten von DDoS-Angriffen gibt es?

Unterschiedliche DDoS-Angriffsvektoren zielen auf verschiedene Komponenten einer Netzwerkverbindung ab. Um zu verstehen, wie DDoS-Angriffe funktionieren, muss man wissen, wie eine Netzwerkverbindung zustande kommt.

Eine Netzwerkverbindung im Internet besteht aus vielen verschiedenen Komponenten oder Ebenen, die „Layers“ genannt werden. Wie beim Bau eines Hauses vom Fundament bis zum Dach hat jedes Layer des Modells einen anderen Zweck.

Das unten dargestellte OSI-Modell ist ein Rahmenkonzept zur Beschreibung der Netzwerkkonnektivität in 7 unterschiedlichen Layern.

Fast alle DDoS-Angriffe zielen darauf ab, das Zielgerät oder Netzwerk mit Traffic zu überfluten. DDoS-Angriffe lassen sich jedoch in drei Kategorien einteilen. Ein Angreifer kann sich einem oder mehreren Angriffsvektoren bedienen oder verschiedene Angriffsvektoren zyklisch, basierend auf den ergriffenen Gegenmaßnahmen des Ziels, einsetzen.

Angriffe auf die Anwendungsebene

Ziel des Angriffs:

Das Ziel dieser manchmal als Layer-7-DDoS-Angriff (in Bezug auf den 7. Layer des OSI-Modells) bezeichneten Angriffe besteht darin, die Ressourcen des Opfers zu erschöpfen und einen Denial-of-Service zu erzwingen.

Die Angriffe zielen auf die Layer ab, in der Webseiten auf dem Server erzeugt und als Antwort auf HTTP-Anfragen bereitgestellt werden. Die Ausführung einer einzigen HTTP-Anfrage ist für die Clientseite günstig, die Antwort kann für den Zielserver aber teuer sein, da der Server für die Erstellung einer Webseite oft viele Dateien laden und Datenbanken abfragen muss.

Layer-7-Angriffe sind schwer abzuwehren, da man böswilligen Traffic und legitimen Traffic oft schwer unterscheiden kann.

Beispiel für einen Angriff auf Anwendungsebene:

HTTP-Flood

Dieser Angriff ist ähnlich wie das Drücken der Aktualisierungsschaltfläche in einem Webbrowser auf mehreren Computern gleichzeitig. Hierbei wird der Server mit einer Unmenge an HTTP-Anfragen überflutet, wodurch es zu einem Dienstausfall (Denial-of-Service) kommt.

Diese Art von Angriff kann einfach oder komplex sein.

Einfachere Implementierungen greifen eventuell auf eine URL mit demselben Bereich an angreifenden IP-Adressen, Verweisern und Benutzeragenten zu. Komplexe Versionen können eine große Anzahl angreifender IP-Adressen einsetzen und mit zufälligen Referrern und Benutzeragenten auf zufällige URLs abzielen.

Protokoll-Angriffe

Ziel des Angriffs:

Protokollangriffe, auch Überlastungsangriffe genannt, verursachen eine Dienstunterbrechung, indem sie Kapazitäten der Server-Ressourcen und/oder der Ressourcen von Netzwerkgeräten wie Firewalls und Load Balancer überanspruchen.

Protokollangriffe nutzen Schwachstellen in den Layern 3 und 4 des Protokollstapels, um das Ziel unerreichbar zu machen.

Beispiel für einen Protokollangriff:

SYN-Flood

Eine SYN-Flood kann mit einem Arbeiter verglichen werden, der sich in einem Lagerraum befindet und Anfragen aus dem Verkaufsraum erhält.

Der Arbeiter erhält eine Paketanfrage, holt das Paket und wartet auf eine Bestätigung, bevor er das Paket in den Verkaufsraum bringt. Dann erhält der Arbeiter viele weitere Paketanfragen, die jedoch unbestätigt bleiben, bis er keine Pakete mehr tragen kann, unter der Last zusammenbricht und Anfragen nicht mehr beantwortet werden.

Bei diesem Angriff wird der TCP-Handshake (die Kommunikationsfolge, durch die zwei Computer eine Netzwerkverbindung initiieren) ausgenutzt, indem einem Ziel eine große Anzahl TCP-„Initial Connection Request“-SYN-Pakete mit gespooften Quell-IP-Adressen gesendet wird.

Das Zielgerät antwortet auf jede Verbindungsanfrage und wartet dann auf den letzten Schritt im Handshake, der jedoch nie erfolgt, so dass die Ressourcen des Ziels erschöpft werden.

Volumetrische Angriffe

Ziel des Angriffs:

Diese Art von Angriff zielt darauf ab, durch den Verbrauch der gesamten verfügbaren Bandbreite zwischen dem Ziel und dem Internet eine Überlastung des Datennetzes herbeizuführen. Hierzu werden mithilfe einer Methode zur Angriffsverstärkung (Amplification) oder anderer Möglichkeiten zur Erzeugung massiven Datenverkehrs (z. B. Anfragen aus einem Botnet) große Datenmengen an das Ziel gesendet.

Amplification-Beispiel:

DNS-Amplification

Eine DNS-Amplification kann mit folgender Situation verglichen werden: Eine Person ruft in einem Restaurant an, bestellt alle Gerichte auf der Karte und bittet um Rückruf mit einer Auflistung aller bestellten Gerichte. Die Rückrufnummer gehört allerdings dem Opfer des Angriffs. Hier wird mit geringstem Aufwand eine extrem lange Antwort generiert und zum Angriffsziel gesendet.

Wenn eine Anfrage an einen offenen DNS-Server mit einer gespooften IP-Adresse (der echten IP-Adresse des Opfers) gestellt wird, erhält die Ziel-IP-Adresse eine Antwort vom Server.

Wie kann ein DDoS-Angriff bekämpft werden?

Das zentrale Problem bei der Abwehr eines DDoS-Angriffs ist die Unterscheidung zwischen Angriffs-Traffic und normalem Traffic.

Wenn zum Beispiel die Website eines Unternehmens durch die Veröffentlichung eines neuen Produkts mit Besuchen interessierter Kunden überschwemmt wird, wäre es ein Fehler, den gesamten Traffic zu unterbrechen. Wenn dieses Unternehmen plötzlich einen akuten Anstieg des Traffics durch bekannte Angreifer erfährt, ist es wahrscheinlich notwendig, Maßnahmen zur Angriffsbekämpfung zu ergreifen.

Die Schwierigkeit liegt darin, echte Kunden vom Angriffs-Traffic zu unterscheiden.

Im heutigen Internet tritt DDoS-Traffic in vielen Formen auf. Dabei kann es sich um alles von ungefälschten Single-Source-Angriffen bis hin zu komplexen und adaptiven Multi-Vektor-Angriffen handeln.

Ein Multi-Vektor-DDos-Angriff verwendet mehrere Angriffswege, um das Ziel auf verschiedene Arten zu überfluten und möglicherweise Bemühungen zur Angriffsabwehr in eine bestimmte Richtung hin abzulenken.

Ein typischer Multi-Vektor-DDos-Angriff ist ein Angriff, der auf mehrere Layer des Protokollstapels gleichzeitig abzielt, z. B. ein DNS-Amplification-Angriff (Layer 3 und 4) kombiniert mit einem HTTP-Flood-Angriff (Layer 7).

Ein Multi-Vektor-DDoS-Angriff erfordert eine Vielzahl von Strategien, um den Angriff auf mehreren Wegen zu bekämpfen.

Grundsätzlich gilt: Je komplexer der Angriff, desto wahrscheinlicher ist es, dass der Angriffs-Traffic nur schwer von normalem Traffic zu trennen ist; Ziel des Angreifers ist es, den Angriff so vielfältig wie möglich zu gestalten, so dass Gegenmaßnahmen möglichst ineffizient bleiben.

Bei Bekämpfungsversuchen, bei denen versucht wird, Datenverkehr wahllos zu verwerfen oder einzuschränken, kann legitimer Datenverkehr ebenfalls unterbrochen werden, und der Angriff kann auch modifiziert und angepasst werden, um Gegenmaßnahmen zu umgehen. Bei der Bewältigung eines komplexen Störversuchs bringt eine geschichtete Lösung die besten Vorteile.

Blackhole-Routing

Eine Lösung für praktisch alle Netzwerkadministratoren besteht darin, eine Blackhole-Route zu erstellen und Traffic in diese Route zu leiten. In der einfachsten Form dieser Strategie, bei der Blackhole-Filterung ohne spezifische Begrenzungskriterien eingesetzt wird, wird sowohl legitimer als auch böswilliger Traffic auf eine Null-Route oder in ein Blackhole geroutet und aus dem Netzwerk verworfen.

Wenn eine Website oder Webapplikation einem DDoS-Angriff unterliegt, sendet der Internetprovider (ISP) zur Verteidigung eventuell den gesamten Traffic der Site in ein Blackhole. Diese Lösung ist nicht ideal, da Sie genau das erreicht, was der Angreifer will: das Netzwerk wird unzugänglich.

Rate Limiting (Durchsatzbegrenzung)

Eine andere Methode zur Bekämpfung von Denial-of-Service-Angriffen besteht darin, die Anzahl der Anfragen zu begrenzen, die ein Server während einer bestimmten Zeitspanne annimmt.

---

Während Rate Limiting sinnvoll ist, um Web-Scraper beim Stehlen von Inhalten zu verlangsamen und Brute-Force-Anmeldeversuche zu bekämpfen, reicht es alleine wahrscheinlich nicht aus, um einen komplexen DDoS-Angriff effektiv zu handhaben.

Dennoch ist Rate Limiting ein nützlicher Bestandteil einer effektiven DDoS-Abwehrstrategie. Erfahren Sie mehr über Cloudflares Rate Limiting

Web Application Firewall

Eine Web Application Firewall (WAF) ist ein Tool, das bei der Bekämpfung eines Layer-7-DDoS-Angriffs mithelfen kann. Wenn eine WAF zwischen dem Internet und dem Ursprungsserver platziert wird, kann sie als Reverse-Proxy fungieren, um den Zielserver vor bestimmten Arten von böswilligem Traffic zu schützen.

Durch das Filtern der Anfragen basierend auf einer Reihe von Regeln zur Identifizierung von DDoS-Tools können Angriffe auf Ebene 7 aufgehalten werden. Entscheidend für eine wirksame WAF ist die Fähigkeit, als Reaktion auf einen Angriff schnell benutzerdefinierte Regeln zu implementieren. Lernen Sie Cloudflares WAF kennen.

Anycast-Netzwerk-Diffusion

Dieser Bekämpfungsansatz nutzt ein Anycast-Netzwerk, um den Angriffs-Traffic so auf ein Netzwerk verteilter Server zu verstreuen, dass der Traffic vom Netzwerk absorbiert wird.

Wie beim Kanalisieren eines reißenden Flusses in kleinere, voneinander getrennte Kanäle werden hier die Auswirkungen des Angriffs-Traffics so weit verteilt, bis sie kontrollierbar sind und die destabilisierende Wirkung des Angriffs zerstreut wird.

Die Zuverlässigkeit eines Anycast-Netzwerks in Bezug auf die Abwehr eines DDos-Angriffs ist von der Größe des Angriffs sowie der Größe und Effizienz des Netzwerks abhängig. Ein wichtiger Faktor des Cloudflare-Schutzes vor DDoS-Angriffen ist die Verwendung eines verteilten Anycast-Netzwerks.

Cloudflare hat ein Netzwerk mit 155 Tbps Tbit/s, was um eine Zehnerpotenz größer ist als der größte verzeichnete DDoS-Angriff.

Wenn Sie das Ziel eines Angriffs geworden sind, können Sie Maßnahmen treffen, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, können Sie diese Schritte befolgen, um Ihren Angriff zu bekämpfen.

Der von Cloudflare implementierte DDoS-Schutz ist vielfältig, um so viele Angriffsvektoren wie möglich bekämpfen zu können. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.