Beispiel Ansicht eines DDoS-Angriffs

Was ist ein DDoS-Angriff?

DDoS-Angriffe werden von Kriminellen seit mehr als 20 Jahren dazu genutzt, um Unternehmen und Institutionen gezielt Schaden zuzufügen. Ihre immense Schlagkraft macht sie zu einer unkalkulierbaren, ernstzunehmenden Gefahr. Mit Myra ist Ihre IT-Infrastruktur sicher.

Zum Myra DDoS Schutz
Erklärungsgrafik in welchen 3 Schichten DDoS Angriffe von Myra abgewährt werden

01

Was ist „DDoS“?

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) Angriff ist ein „verteilter“ Denial-of-Service (DoS) Angriff, der wiederum eine Dienstblockade darstellt. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine mutwillig herbeigeführte Überlastung der IT-Infrastruktur. Angreifer nutzen diese Art der Cyber-Kriminalität, um von ungeschützten Organisationen Lösegelder zu erpressen oder um andere kriminelle Handlungen durchzuführen, zu vertuschen oder vorzubereiten.

Überwachungskamera

02

Wie sieht ein DDoS-Angriff aus?

Bei einem DDoS-Angriff führen Angreifer die Nichtverfügbarkeit eines Dienstes oder Servers gezielt herbei. Einer der Wege ist das Infizieren von mehreren Rechnern mit Schadsoftware, mit der sie unbemerkt die Kontrolle über diese Computer übernehmen. Die Angreifer missbrauchen dieses infizierte Rechner-Netz, auch Botnetz genannt, ferngesteuert für ihre DDoS-Attacken. Mit dem Botnetz greifen sie parallel ihr Ziel an und beschießen dabei dessen Infrastruktur mit zahllosen Anfragen.

Je mehr Rechner zusammengeschaltet werden, desto schlagkräftiger ist die Attacke. Angegriffene Server ohne DDoS-Abwehr sind mit der enormen Anzahl von Anfragen überfordert, ihre Internetleitung ist überlastet. Websites bauen sich nur noch stark verlangsamt auf oder sind überhaupt nicht mehr verfügbar.

Person arbeitet an einem Laptop

03

Distributed-Reflected-Denial-of-Service-Angriff (DRDoS)

Bei einer Distributed-Reflected-Denial-of-Service-Attacke handelt es sich um eine Sonderform von DoS. Dabei stammen die schädlichen Anfragen nicht etwa von einem Botnet, sondern von regulären Internetdiensten. Mittels IP-Spoofing (dem Versenden von IP-Paketen mit verfälschter IP-Absenderadresse) manipulieren Angreifer diese Dienste, um Traffic auf das jeweilige Ziel zu leiten. Durch dieses Vorgehen ist eine Verschleierung der Attacke möglich. DRDoS-Attacken erfolgen beispielsweise über DNS-Dienste als sogenannte DNS Amplification Attack, bei der massive Datenströme an das Opfer ausgehen. Bei einem Angriff auf die Antispam-Organisation spamhaus.org führte eine solche DNS Amplification Attack zu Lastspitzen von 300 GBit/s.

04

Wer sind die Angreifer?

Ihre Motive für einen DDoS-Angriff sind ebenfalls vielfältig: Erpressung, Schädigung der Konkurrenz, Neid oder politischer Protest. Das Ziel ist jedoch immer dasselbe: Der dahinterstehenden Organisation soll ein möglichst großer Schaden zugesetzt werden.

  • Einzelne Kriminelle oder Gruppierungen

  • Politische Aktivisten

  • Wettbewerber

  • Unzufriedene Nutzer

Cyberkrimineller in einem dunklen Raum

05

Welche Methoden setzen Angreifer ein?

Cyber-Kriminelle nutzen unterschiedliche Arten von DDoS-Angriffen. Die Methoden lassen sich nach den jeweiligen Schichten ordnen (gemäß dem Open Systems Interconnection Modell für Netzwerkprotokolle, kurz OSI-Modell), auf die der Angriff abzielt.

Eine der häufigsten Methoden ist, Systemressourcen oder Netzwerkbandbreiten zu überlasten (Layer 3 und 4). Als Trend zeichnet sich unter den Cyber-Kriminellen in den letzten Jahren ab, die Angriffe auf die Anwendungsebene (Layer 7) zu verlagern. Muster und Bandbreiten von DDoS-Attacken ändern sich jedoch täglich. Mit der DDoS-Protection von Myra sind Sie vor jeglichen Angriffsmustern geschützt.

DDoS-Angriffe auf Layer 3 und 4

Zu den häufigsten Attacken auf die Vermittlungs- und Transportschicht (Layer 3 und 4) zählen TCP SYN Floods und DRDoS-Angriffe auf UDP-Basis. Weitere typische Angriffsvarianten sind ICMP-Flood, UDP-Fragmentation, UDP-Amplification via DNS, NTP, rpcbind, SSDP, ACK-Flood und RST-Flood. Alle diese Angriffe belasten das Ziel entweder mit sehr hohen Bandbreiten oder immensen Paketraten. Legitime Zugriffe finden so keinen Datenkanal mehr, um eine Kommunikation zu etablieren.

Beispielsweise bombardiert ein von Angreifern ferngesteuertes Botnetz bei einer SYN/ACK-Attacke (oder SYN- und ACK-Floods) einen Server mit SYN-Paketen. Diese sind normalerweise Teil des sogenannten Threeway Handshake (Drei-Wege-Handschlag), der beim Aufbau einer TCP-Verbindung zwischen Client und Server erfolgt. Eine SYN/ACK-Attacke provoziert massenhaft halboffene Verbindungen, indem sie viele SYN-, aber keine zum vollständigen Verbindungsaufbau benötigten ACK-Pakete sendet. Die Folge: Es können keine neuen Verbindungen mehr hergestellt werden, und die Website ist nicht mehr erreichbar.

Das Myra Cloud Scrubbing schützt IT-Infrastrukturen vor solchen volumetrischen Angriffen auf der Vermittlungs- und Transportschicht. Über das automatische Flow-Monitoring sind detaillierte Traffic-Analysen möglich. Die Umschaltung von betroffenen Netzen erfolgt im Angriffsfall vollautomatisch.

DDoS-Angriffe auf Layer 7

DDoS-Attacken auf der Anwendungsschicht (Layer 7) basieren auf bereits aufgebauten Verbindungen und haben sich zu einer der häufigsten Angriffsformen entwickelt. Insbesondere HTTP GET, POST und weitere Flood-Attacken sowie Low- und Slow-Angriffe sind bei Cyberkriminellen beliebt. Sie zielen darauf ab, die schwächste Komponente einer Infrastruktur zu penetrieren und so eine Überlastung der Webapplikation hervorzurufen.

Beispielsweise überfluten Angreifer bei einer HTTP-GET-Flood-Attacke einen Webserver mit HTTP-Anfragen, die etwa gezielt Seiten mit großem Ladevolumen aufrufen. Dadurch wird der Server überlastet und kann keine legitimen Anfragen mehr verarbeiten. Die Folge: Die Website ist für Nutzer nicht mehr erreichbar.

Attacken auf der Applikationsebene werden von den Sensoren eines Schutzes für die Vermittlungs- und Transportschicht meist nicht bemerkt. Da es sich um Standard-URL-Anfragen handelt, sind Flood-Attacken nur schwer von regulärem Traffic zu unterscheiden. Schutzsysteme für Layer 3 und 4 erkennen zum Beispiel keinen Unterschied zwischen einem HTTP-GET-Flood-Angriff und einem validen Download. Entsprechend erfordert es zur Absicherung einer Webapplikation eine IT Sicherheit auf allen relevanten Layern. Vor allem Angriffe, die auf das Abgreifen sensibler Daten abzielen, lassen sich nur durch einen Layer-7-Schutz erkennen und abwehren.

Der DDoS Schutz von Myra schützt Webapplikationen auf Layer 7 vollautomatisch. Dank hundertprozentiger Traffic-Sichtbarkeit ermöglicht Myra ein intelligentes Load-Balancing sowie Site Failover mit hoher Zuverlässigkeit und minimalen Antwortzeiten.

Person am Laptop und mit einem Handy in der Hand beim Code schreiben

06

Ab wann ist DoS/DDoS strafbar

Generell gilt, dass DoS/DDoS-Angriffe auf einen Dienst im Internet gemäß § 303b StGB in Deutschland als Computersabotage anzusehen sind und damit auch strafrechtlich verfolgt werden. Dabei spielt es keine Rolle, ob die Attacke einen kriminellen Hintergrund (etwa für Lösegeldforderungen) oder aber als Teil einer politisch motivierten Protestaktion erfolgen. In manchen Ländern macht man sich bereits durch den Download oder den Besitz von DoS- oder DDoS-Software strafbar. Legal dürfen solche Angriffe in der Regel nur auf die eigene Hardware im eigenen Netzwerk angewandt werden. Ausnahmen gelten für engagierte Sicherheitsprüfer im Rahmen sogenannter Penetrations-Test.

Was sind die Folgen eines Angriffs?

Ein Angriff schadet betroffenen Unternehmen und Institutionen immer, unabhängig von der gewählten Methode. An den Folgen leiden betroffene Organisationen noch Jahre später. Eine effiziente DDoS-Kontrolle ist deshalb äußerst wichtig.

Wirtschaftliche Schäden

Wenige Minuten offline sein kostet schnell mehrere tausend Euro. Entgangene Gewinne und verpuffte Marketing-Budgets sind nur ein Teil der finanziellen Schäden.

Imageschäden

Nach einem erfolgreichen DDoS-Angriff ist der Reputationsverlust unkalkulierbar groß. Der Wiederaufbau kostet viele Ressourcen und kann Jahre dauern.

Datendiebstahl

Während eines DDoS-Angriffs funktionieren die Systeme nicht mehr in der gewohnten Form. Unter Hoch- bzw. Überlast werden manche Systeme plötzlich angreifbar und eröffnen neue Angriffsvektoren.

08

Weshalb das IoT ein DDoS-Brandbeschleuniger ist

Der Sammelbegriff IoT (Internet of Things) umfasst eine Vielzahl vernetzter Geräte, die etwa aus privaten Haushalten stammen, wie beispielsweise IP-Kameras, oder aber auch vernetzte Produktionsanlagen in der Industrie sowie intelligente Steuerelemente in der öffentlichen Infrastruktur. Diese mit dem Internet verbundenen Geräte stellen ein attraktives Ziel für Cyberkriminelle dar, da sie sich als Werkzeug für DDoS-Angriffe und andere Attacken eignen. Um die Kontrolle über IoT-Geräte zu erlangen, setzen Cyberkriminelle spezielle Schadsoftware ein, die sich selbständig in Netzwerken verbreitet. Ziel ist es meist, möglichst viele Systeme zu korrumpieren, um diese für eine Botnet-Attacke zu nutzen. Ein populäres Beispiel eines solchen Schädlings ist die Mirai-Malware, die von Cyberkriminellen für den Aufbau von Botnetzen eingesetzt wird. Mit Mirai wird etwa die Attacke auf den Internet-Dienstleister Dyn im Jahr 2016 in Zusammenhang gebracht. Ein Verbund aus Abertausenden IP-Kameras, Druckern, Smart-TVs und anderen Geräten hatte als DDoS Network die Attacke ausgeführt und die Dyn-Server über Stunden hinweg lahmgelegt.

09

Welche Branchen sind betroffen?

Opfer einer DDoS-Attacke kann jede Branche und jedes Unternehmen unabhängig von seiner Größe werden. Die Frage ist nicht, ob, sondern wann ein Angriff auf das eigene Unternehmen stattfindet und wie schnell dieser entdeckt wird. Im Fokus von Cyber-Kriminellen und -Erpressern stehen E-Commerce-Unternehmen, Banken, FinTech-Unternehmen und Versicherungen, produzierende Unternehmen, Medien oder das Gesundheitswesen. Auch Rechenzentren und Organisationen aus dem öffentlichen Sektor sind beliebte Ziele der DDoS-Angreifer. Die Motive der Kriminellen gehen weit über Lösegeldforderungen hinaus: Mit ihren Angriffen wollen sie Fertigungsanlagen und Produktionsprozesse lahmlegen, die Strom- oder Energieversorgung unterbrechen und Einfluss auf die Berichterstattung nehmen.

10

So lassen sich DDoS-Angriffe abwehren

Für die DDoS-Mitigation oder DDoS-Protection ist der Einsatz spezieller Schutztechnologien erforderlich. Diese sind sowohl als Appliance für den Einsatz on premisses sowie auch als SECaaS-Dienstleistung erhältlich. Letztere Variante ist nicht durch die verfügbare Bandbreite des eigenen Anschlusses gedrosselt und daher weitaus agiler einsetzbar. DDoS-Schutzlösungen reinigen den eingehenden Traffic und unterscheiden so zwischen validen Anfragen und schädlichen Zugriffen. Unternehmen, die besonders häufig von DDoS-Attacken betroffen sind, lassen ihre DDoS-Angriffsprävention dauerhaft aktiv – andere setzen die Lösungen nur im Bedarfsfall ein, um Aufwand und Kosten zu reduzieren.

11

Evolution der DDoS-Angriffe

Häufigkeit und Stärke von DDoS-Angriffen haben im Verlauf der vergangenen 10 Jahre exponentiell zugenommen. Vor allem im Jahr 2013 hatte die Angriffsstärke massiv zugelegt, da zu jener Zeit erstmals vermehrt DNS-Server für DRDoS-Attacken eingesetzt wurden. So kam es etwa bei einem Angriff auf die Antispam-Organisation spamhaus.org zu Lastspitzen von 300 GBit/s. Im darauffolgenden Jahr erreichten erste Attacken bereits die Marke von 500 GBit/s. 2016 sorgte die Mirai-Malware für eine weitere Rekord-Attacke. Die Schadsoftware spannte ein Botnet mit über 100.000 IoT-Geräten auf, das gebündelt eine 1,2 TBit/s starke Attacke auf den Dienstleister Dyn abschoss. Die bislang stärksten gemessenen DDoS-Attacken erfolgten im Jahr 2018. Damals wurde die Coding-Plattform GitHub von Traffic-Spitzen mit 1,35 TBit/s überlastet. Im selben Jahr verzeichneten Sicherheitsforscher zudem einen Angriff mit über 1,7 TBit/s auf ein US-Unternehmen. Unterdessen nahm auch die Häufigkeit von DDoS-Attacken über die Jahre hinweg beständig zu. So ist die Frequenz von DDoS-Angriffen allein zwischen 2014 und 2017 um mehr als das 2,5-fache gestiegen.

Häufige Fragen zu DDoS Angriffen