Schutz vor DDoS-Angriffen
Drei Haupttypen von verteilten Denial-of-Service-Angriffen
Angriffe werden gefährlicher und die traditionelle Abwehr immer erfolgloser: Laut dem Threat Intelligence Report von Netscout haben die weltweiten DDoS-Angriffe 2022 mit fast 13 Millionen ihren bisherigen Höchststand erreicht. Im ersten Halbjahr 2023 gab es jedoch bereits 7,9 Millionen Angriffe.
Diese Zunahme der Angriffe in Verbindung mit der einfachen Nutzung von DDoS-For-Hire-Diensten bedeutet, dass Unternehmen den Schutz ihrer kritischen Online-Infrastrukturen und der nachgeschalteten Kunden verstärken müssen. Obwohl es konventionelle Schutzlösungen gibt, die einige Arten von DDoS-Angriffen stoppen können, müssen Unternehmen darüber hinausdenken und sowohl ihre lokalen als auch ihre Cloud-Sicherheitsmaßnahmen gegen die verschiedenen Arten von DDoS-Angriffen verstärken.
Es gibt keine Einheitslösung für DDoS-Schutz, aber durch die Einführung einer hybriden DDoS-Abwehrstrategie haben Unternehmen eine bessere Chance, die verschiedenen Arten von DDoS-Angriffen davon abzuhalten, ihr Geschäft erheblich zu schädigen. Es gibt drei Haupttypen von DDoS-Angriffen, die Bedrohungsakteure einsetzen, um eine Website oder ein digitales Netzwerk absichtlich zu überwältigen: Protokoll-, Anwendungsschicht- und volumetrische Angriffe.
Protokoll-DDoS-Angriffe
Protokoll-DDoS-Angriffe zielen in erster Linie darauf ab, Dienste oder die zugrunde liegende Netzinfrastruktur auszuschalten, die für die Bereitstellung von Inhalten an die Endnutzer verantwortlich sind. Die Angriffe stören die Dienste, was dazu führt, dass legitime Nutzer keine Verbindung zu den Ressourcen herstellen können. Eine gängige Methode zur Durchführung eines Protokollangriffs ist ein Syn-Flood-Angriff.
Im Jahr 2021 meldete Netscout, dass die Angreifer vermehrt auf direkte Angriffe setzen. Diese DDoS-Angriffe zielen auf zustandsbehaftete Geräte wie Server, Load Balancer und Next Gen Firewalls mit der Absicht ab, die Zustandstabellen des Transmission Control Protocol (TCP) mit gefälschten Verbindungen zu füllen, was dazu führt, dass bestimmte Ressourcen überlastet sind und damit für legitime Nutzer unzugänglich.
Auf diese Weise können Cyberkriminelle selbst leistungsstarke Geräte ausschalten, die Millionen von Verbindungen aufrechterhalten können, die zum Schutz von mit dem Internet verbundenen Diensten wie Dateitransfer-, E-Mail- und Web-Servern dienen.
Bei einem Syn-Flood-Angriff überschwemmt ein Angreifer die Server des Ziels mit zahllosen Syn-Paketen – eine Aufforderung eines anderen Geräts, einen neuen Kommunikationskanal aufzubauen –die gefälschte IP-Adressen enthalten. Als Antwort auf jedes Syn-Paket fordert der Server das Gerät auf, den neuen Kanal zu erstellen.
Die Einladung wird jedoch nie erfüllt, und der Server wartet weiter. Infolgedessen stürzt der Server schließlich ab, weil er zu lange auf jede einzelne Syn-Paketanforderung wartet. Mit dieser Angriffsmethode können Cyberkriminelle Geräte mit hoher Kapazität ausschalten, auch solche, die wie Supercomputer Millionen von Netzwerkverbindungen aufrechterhalten können.
Angriffe auf der Anwendungsebene
Angriffe auf der Anwendungsebene zielen darauf ab, Webanwendungen zu stören, mit denen Endnutzer interagieren. Ein Angriff auf der Anwendungsebene kann von einem Cyberkriminellen ausgehen, der eine einzige Maschine oder Legionen von Bots einsetzt, um kontinuierlich dieselbe digitale Ressource – wie eine Website oder eine PDF-Datei – vom Zielserver anzufordern.
Infolgedessen ist die Anwendung überlastet und kann ihren Nutzern keine Inhalte liefern. Diese Angriffe zielen meist auf Web-Server ab, können jedoch auch jede andere digitale Anwendung, einschließlich SIP (Session Initiation Protocol)- und BGP (Border Gateway Protocol)-Dienste, zum Ziel haben.
Volumetrische Angriffe
Und schließlich gibt es volumetrische Angriffe. Bei diesen Angriffen überschwemmen Bedrohungsakteure ein Ziel mit bösartigem Datenverkehr und versuchen, die gesamte verfügbare Bandbreite entweder innerhalb des Zielnetzes/-dienstes oder zwischen dem Zielnetz/-dienst und dem Rest des Internets zu verbrauchen. Bei diesen Angriffen geht es einfach darum, eine Überlastung zu verursachen.
Von 2006 bis 2021 herrschten volumetrische Angriffe vor, wobei DNS-Verstärkungsangriffe an der Spitze standen. Bei diesen Angriffen werden von einer gefälschten IP-Adresse aus Anfragen gesendet, die umfangreiche Antworten an mehrere offene DNS (Domain Name System) - Server generieren, um den Anschein zu erwecken, die Anfrage stamme vom Ziel. In vollem Umfang kann der große Zustrom von DNS-Verkehr auf einen einzelnen Server diesen überfordern und ihn zum Absturz bringen.
Angreifer wählen in der Regel eine oder mehrere dieser verschiedenen Angriffsarten aus, die sie gegen die lokalen und Cloud-Umgebungen von Zielen einsetzen, um den Schaden zu maximieren. Dies zeigt, dass Unternehmen einen vielschichtigen Verteidigungsansatz sowohl für ihre Netzwerkverfügbarkeit als auch für ihre digitale Infrastruktur verfolgen müssen, um moderne DDoS-Bedrohungen wirksam abwehren zu können.
- Drei Haupttypen von verteilten Denial-of-Service-Angriffen
- Die Notwendigkeit eines hybriden DDoS-Abwehrkonzepts
Lesen Sie mehr zum Thema
