DDoS-Attacken verstehen, erkennen, abwehren
Distributed Denial of Service (DDoS) Attacken gehören bereits seit den frühen Anfängen zum Internet.
Der erste dokumentierte DDoS-Angriff vom Typ „SYN-Flood“ fand 1996 statt. Dieser Angriffstyp wird auch heute noch eingesetzt, da er eine Schwachstelle in der Art und Weise ausnutzt, wie das Internetprotokoll (TCP/IP) Verbindungen zwischen Computern herstellt, um den Zielserver zu überlasten und funktionsunfähig zu machen.
Seitdem haben sich DDoS-Attacken weiterentwickelt und sind immer raffinierter geworden, wobei Angreifer immer neue Methoden (auch genannt: Vektoren) entwickeln, um ihre Ziele zu erreichen. Heutzutage sind DDoS-Angriffe eine weit verbreitete Bedrohung für Unternehmen und Einzelpersonen gleichermaßen.
Felix Stolba ist Team Lead von Network Engineering bei Anexia und hat mit seinem Team täglich mit der Abwehr von DDoS Attacken zu tun. Er beobachtet schon seit vielen Jahren, dass die Attacken immer stärker zunehmen und technisch anspruchsvoller umgesetzt werden.
Was ist eine DDoS-Attacke?
Kannst du uns bitte kurz erklären, was man sich unter einer DDoS-Attacke vorstellen muss?
Felix: Eine Distributed Denial of Service Attacke ist eine Art Cyberangriff, bei dem ein Angreifer versucht, einen Server oder ein Netzwerk zu überlasten, indem er eine große Anzahl von Anfragen an das Angriffs-Ziel sendet.
Man kann sich das am besten mit einem reallife Vergleich aus der Geschäftswelt vorstellen.
Stell dir vor, du versuchst gleichzeitig mit tausend anderen Leuten ein Geschäftslokal zu betreten. Der Geschäftseingang wäre überfüllt und niemand würde es schaffen hinein oder hinauszukommen. Bei einer DDoS-Attacke ist es sehr ähnlich. Der Angreifer verhält sich wie die Menschenmenge, die den Laden blockiert, um den Eingang des Geschäftslokals lahm zu legen.
Wie gehen Angreifer bei einer DDoS-Attacke vor?
Felix: Die Angreifer nutzen in den meisten Fällen ein sogenanntes Botnetz, das aus vielen verteilten Rechnern besteht, um die unzähligen Anfragen zu generieren. Oft handelt es sich dabei um Systeme, welche von Viren befallen wurden – das können normale PCs sein oder wie im Fall von Mirai vor einiger Zeit, unscheinbares IoT Equipment wie Kameras. Die Cloud verändert aber auch hier das Business und so werden zunehmend einfach kurzlebige Compute-Instanzen bei verschiedenen Providern eingesetzt.
Die unzähligen Anfragen aus dem Botnetz überfluten dann das Ziel der Attacke mit unsinnigen Daten oder Anfragen, und blockieren dadurch den Zugriff der legitimen Nutzer auf den Dienst oder die Website.
Welche Ziele werden bei DDoS-Attacken verfolgt?
Felix: Durch diese Behinderung kommt es beim Opfer der Attacke unweigerlich zu Image-Schäden, oft sind diese bedingt durch die Nichterreichbarkeit auch mit finanziellem Schaden verbunden. Während die Website oder der Shop down sind, können natürlich auch keine Transaktionen umgesetzt werden.
Wie kann man sich vor DDoS-Attacken schützen?
Felix: Es gibt verschiedene Methoden, um sich vor DDoS-Attacken zu schützen bzw. sie abzuwehren. Zunächst müssen die Netzwerke permanent überwacht werden, um den verdächtigen Datenverkehr zu identifizieren.
Dafür setzen wir spezielle Tools und Systeme ein, die den Datenverkehr analysieren und nach Mustern suchen, die auf eine DDoS-Attacke hinweisen. Durch die Analyse von Verkehrsmuster können Anomalien erkannt werden. Dabei kann es sich um ungewöhnlich hohes Datenverkehrsvolumen, auffällige Anfrage-Mustern oder um abnormales Verhalten von Datenpaketen handeln.
Ist bei Anexia der DDoS-Schutz inkludiert?
Felix: Ja, der Anexia DDoS-Guard ist im European Backbone immer automatisch dabei. Dabei handelt es sich um eine sehr fortschrittliche Lösung, um unsere Kunden vor DDoS-Angriffen wirkungsvoll zu schützen. Wir verwenden dafür eine Lösung eines führenden Herstellers im Bereich DDoS-Protection, welche durch unsere eigene Technologie erweitert wurde. Durch das modulare Design ist der Anexia DDoS-Guard bestens sowohl auf unsere eigenen als auch auf die Anforderungen unserer Kunden zugeschnitten und kann ausgezeichneten Schutz gegen volumetrische DDoS-Attacken (OSI Layer 3 + Layer 4) bieten.
Wie werden DDoS-Attacken erkannt?
Felix: Wir erkennen Attacken bereits frühzeitig unter anderem anhand einer Verhaltensanalyse. Indem das normale Verhalten des Netzwerks oder Servers über einen gewissen Zeitraum hinweg erlernt und überwacht wird, können Anomalien erkannt werden. Wenn plötzlich ein großer Anstieg des Datenverkehrs oder ungewöhnliche Muster auftreten, kann dies auf einen DDoS-Angriff hinweisen.
Auch die Analyse von Angriffssignaturen ist uns dabei sehr behilflich. Dabei werden Signaturen oder Muster von bekannten DDoS-Angriffen erstellt und mit anderen Providern ausgetauscht. Wenn ein Datenverkehrsmuster mit einer bekannten Angriffssignatur übereinstimmt, wird der entsprechende Datenverkehr blockiert.
Die bislang genannten Mechanismen arbeiten alle auf Netzwerkebene. Für Kunden mit besonders hohem Schutzbedürfnis kombinieren wir diese noch mit einer auf die jeweilige Applikation zugeschnittenen Web Application Firewall (WAF), welche dann unter anderem Formulareingaben auf Plausibilität prüft um Angriffe wie SQL-Injections oder Cross-Site-Scripting (XSS) abzufangen.
Wie können DDoS-Attacken abgewehrt werden?
Felix: In vielen Fällen wird bei einer DDoS-Attacke der Datenverkehr umgeleitet, um das Ziel zu entlasten. Dies wird dadurch erreicht, dass wir den Datenverkehr filtern und nur den legitimen Verkehr zum Ziel weiterleiten. Eine weitere Methode besteht darin, die Kapazität des Netzwerks oder Servers zu erweitern, um die Auswirkungen einer DDoS-Attacke abzuschwächen. Durch das Hinzufügen von zusätzlicher Bandbreite oder Ressourcen kann das System den zusätzlichen Datenverkehr besser bewältigen.
Was bedeutet der Begriff „Reflection“ im Zusammenhang mit DDoS-Attacken?
Felix: Eine „Reflection“ ist eine von Angreifern oft verwendete Technik, um die Auswirkungen der Angriffe zu verstärken und die Identität des Angreifers zu verschleiern. Bei einer Reflection-DDoS-Attacke nutzt der Angreifer unsicher konfigurierte Dienste im Internet, um den Datenverkehr an das Ziel der Attacke zurückzusenden.
Der Ablauf einer Reflection-Attacke sieht etwa so aus: Der Angreifer sendet gefälschte Anfragen an eine Vielzahl von Servern oder Diensten. Diese Anfragen enthalten normalerweise die IP-Adresse des eigentlichen Ziel-Opfers als die Quelladresse. Die befragten Dienste senden also ihre Antwort an die vermeintliche Quelladresse (das eigentliche Reflection-Opfer) und generieren so wiederum jede Menge unerwünschten Traffic.
Eine Reflection-DDoS-Attacke ermöglicht es dem Angreifer, die Bandbreite und Ressourcen vieler anderer Systeme auszunutzen, um einen massiven Datenverkehr an das Ziel zu senden. Dadurch wird die Wirkung des Angriffs verstärkt und die Rückverfolgung des Angreifers erschwert, da die Antworten von den „reflektierenden“ Servern und Diensten stammen und nicht direkt vom Angreifer selbst.
Abschließend ist wichtig zu erwähnen, dass die Überwachung von Metadaten allein nicht ausreicht, um DDoS-Attacken zuverlässig zu erkennen. Die Kombination von mehreren Überwachungsmechanismen und die Anwendung von Algorithmen, die Anomalien automatisch erkennen sind entscheidend, um einen DDoS-Angriff frühzeitig zu erkennen.
Weiterführende Informationen
So funktioniert eine Syn-Flood DDoS Attacke →
Umfassender Schutz vor DDoS-Attacken mit Anexia DDoS Guard →
Anexia wehrt bisher größte Cyber-Attacke auf Österreich ab →