Home>
Was ist ein DDoS-Angriff?
04
Ihre Motive für einen DDoS-Angriff sind ebenfalls vielfältig: Erpressung, Schädigung der Konkurrenz, Neid oder politischer Protest. Das Ziel ist jedoch immer dasselbe: Der dahinterstehenden Organisation soll ein möglichst großer Schaden zugesetzt werden.
Einzelne Kriminelle oder Gruppierungen
Politische Aktivisten
Wettbewerber
Unzufriedene Nutzer
Zu den häufigsten Attacken auf die Vermittlungs- und Transportschicht (Layer 3 und 4) zählen TCP SYN Floods und DRDoS-Angriffe auf UDP-Basis. Weitere typische Angriffsvarianten sind ICMP-Flood, UDP-Fragmentation, UDP-Amplification via DNS, NTP, rpcbind, SSDP, ACK-Flood und RST-Flood. Alle diese Angriffe belasten das Ziel entweder mit sehr hohen Bandbreiten oder immensen Paketraten. Legitime Zugriffe finden so keinen Datenkanal mehr, um eine Kommunikation zu etablieren.
Beispielsweise bombardiert ein von Angreifern ferngesteuertes Botnetz bei einer SYN/ACK-Attacke (oder SYN- und ACK-Floods) einen Server mit SYN-Paketen. Diese sind normalerweise Teil des sogenannten Threeway Handshake (Drei-Wege-Handschlag), der beim Aufbau einer TCP-Verbindung zwischen Client und Server erfolgt. Eine SYN/ACK-Attacke provoziert massenhaft halboffene Verbindungen, indem sie viele SYN-, aber keine zum vollständigen Verbindungsaufbau benötigten ACK-Pakete sendet. Die Folge: Es können keine neuen Verbindungen mehr hergestellt werden, und die Website ist nicht mehr erreichbar.
Das Myra Cloud Scrubbing schützt IT-Infrastrukturen vor solchen volumetrischen Angriffen auf der Vermittlungs- und Transportschicht. Über das automatische Flow-Monitoring sind detaillierte Traffic-Analysen möglich. Die Umschaltung von betroffenen Netzen erfolgt im Angriffsfall vollautomatisch.
DDoS-Attacken auf der Anwendungsschicht (Layer 7) basieren auf bereits aufgebauten Verbindungen und haben sich zu einer der häufigsten Angriffsformen entwickelt. Insbesondere HTTP GET, POST und weitere Flood-Attacken sowie Low- und Slow-Angriffe sind bei Cyberkriminellen beliebt. Sie zielen darauf ab, die schwächste Komponente einer Infrastruktur zu penetrieren und so eine Überlastung der Webapplikation hervorzurufen.
Beispielsweise überfluten Angreifer bei einer HTTP-GET-Flood-Attacke einen Webserver mit HTTP-Anfragen, die etwa gezielt Seiten mit großem Ladevolumen aufrufen. Dadurch wird der Server überlastet und kann keine legitimen Anfragen mehr verarbeiten. Die Folge: Die Website ist für Nutzer nicht mehr erreichbar.
Attacken auf der Applikationsebene werden von den Sensoren eines Schutzes für die Vermittlungs- und Transportschicht meist nicht bemerkt. Da es sich um Standard-URL-Anfragen handelt, sind Flood-Attacken nur schwer von regulärem Traffic zu unterscheiden. Schutzsysteme für Layer 3 und 4 erkennen zum Beispiel keinen Unterschied zwischen einem HTTP-GET-Flood-Angriff und einem validen Download. Entsprechend erfordert es zur Absicherung einer Webapplikation eine IT Sicherheit auf allen relevanten Layern. Vor allem Angriffe, die auf das Abgreifen sensibler Daten abzielen, lassen sich nur durch einen Layer-7-Schutz erkennen und abwehren.
Der DDoS Schutz von Myra schützt Webapplikationen auf Layer 7 vollautomatisch. Dank hundertprozentiger Traffic-Sichtbarkeit ermöglicht Myra ein intelligentes Load-Balancing sowie Site Failover mit hoher Zuverlässigkeit und minimalen Antwortzeiten.
Ein Angriff schadet betroffenen Unternehmen und Institutionen immer, unabhängig von der gewählten Methode. An den Folgen leiden betroffene Organisationen noch Jahre später. Eine effiziente DDoS-Kontrolle ist deshalb äußerst wichtig.
Wenige Minuten offline sein kostet schnell mehrere tausend Euro. Entgangene Gewinne und verpuffte Marketing-Budgets sind nur ein Teil der finanziellen Schäden.
Nach einem erfolgreichen DDoS-Angriff ist der Reputationsverlust unkalkulierbar groß. Der Wiederaufbau kostet viele Ressourcen und kann Jahre dauern.
Während eines DDoS-Angriffs funktionieren die Systeme nicht mehr in der gewohnten Form. Unter Hoch- bzw. Überlast werden manche Systeme plötzlich angreifbar und eröffnen neue Angriffsvektoren.
11
Häufigkeit und Stärke von DDoS-Angriffen haben im Verlauf der vergangenen 10 Jahre exponentiell zugenommen. Vor allem im Jahr 2013 hatte die Angriffsstärke massiv zugelegt, da zu jener Zeit erstmals vermehrt DNS-Server für DRDoS-Attacken eingesetzt wurden. So kam es etwa bei einem Angriff auf die Antispam-Organisation spamhaus.org zu Lastspitzen von 300 GBit/s. Im darauffolgenden Jahr erreichten erste Attacken bereits die Marke von 500 GBit/s. 2016 sorgte die Mirai-Malware für eine weitere Rekord-Attacke. Die Schadsoftware spannte ein Botnet mit über 100.000 IoT-Geräten auf, das gebündelt eine 1,2 TBit/s starke Attacke auf den Dienstleister Dyn abschoss. Die bislang stärksten gemessenen DDoS-Attacken erfolgten im Jahr 2018. Damals wurde die Coding-Plattform GitHub von Traffic-Spitzen mit 1,35 TBit/s überlastet. Im selben Jahr verzeichneten Sicherheitsforscher zudem einen Angriff mit über 1,7 TBit/s auf ein US-Unternehmen. Unterdessen nahm auch die Häufigkeit von DDoS-Attacken über die Jahre hinweg beständig zu. So ist die Frequenz von DDoS-Angriffen allein zwischen 2014 und 2017 um mehr als das 2,5-fache gestiegen.
DDoS steht für Distributed Denial of Service (wörtlich übersetzt: verteilte Dienstverweigerung) und beschreibt Cyberangriffe, die Verzögerungen und Ausfälle von Webseiten über künstliche Anfragen herbeiführen. Im Gegensatz zu herkömmlichen DoS-Attacken stammen bei DDoS die schädlichen Traffic-Ströme von unterschiedlichen Quellen (meist einem weit verzweigten Botnetz), was die Abwehr erschwert.
Generell gilt, dass DoS/DDoS-Angriffe auf einen Dienst im Internet gemäß § 303b StGB in Deutschland als Computersabotage anzusehen sind und damit auch strafrechtlich verfolgt werden. Dabei spielt es keine Rolle, ob die Attacke einen kriminellen Hintergrund (etwa für Lösegeldforderungen) hat oder aber als Teil einer politisch motivierten Protestaktion erfolgt.
Durch einen DDoS-Angriff verursachen Cyberkriminelle eine Vielzahl künstlicher Anfragen auf einen anvisierten Dienst im Internet. Sobald die Webserver des Opfers durch die eingehenden Anfragen überlastet sind, kommt es zu Verzögerungen und Ausfällen des betroffenen Dienstes. Werden keine Gegenmaßnahmen (Aufschalten eines DDoS-Schutzes) eingeleitet, halten die Probleme so lange an, bis der Angreifer die Attacke abbricht.
DDoS-Angriffe verursachen künstliche Last auf Webseiten und Rechenzentren. Die Angreifer zielen darauf ab, Verzögerungen oder Komplettausfälle herbeizuführen. Für die Attacken greifen Cyberkriminelle meist auf Botnetze zurück, die das anvisierte Ziel mit Unmengen von Anfragen bombardieren.