Die elektronische Mail-Signatur: Wozu sie dient & wer sie braucht
16. Mai 2022
Wenn Datenfischer angreifen!
30. Mai 2022
Die Menge und die Wucht vielversprechender Distributed-Denial-of-Service-Attacken nehmen jährlich zu. Gleichzeitig entfachen selbige zusätzlich zu großen Ausfallzeiten einen gesamtwirtschaftlichen Schaden in Milliardenhöhe. Vor diesem Beweggrund ist die Implementierung geeigneter IT-Schutzmaßnahmen zur Verteidigung von Distributed-Denial-of-Service-Attacken heute entscheidender denn je. Erfahren Sie in den nachfolgenden Abschnitten wie eine Distributed-Denial-of-Service-Attacke abläuft, warum sie nicht verkannt werden sollte und mit was für IT-Schutzmaßnahmen Sie sich und Ihr Unternehmen intelligent, schnell und effektiv davor beschützen können.
Ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder Virtual und Augmented Reality: Digitale Technologien sind aus dem Businessalltag nicht mehr wegzudenken. Sie ändern vorhandene Arbeitsformen, prägen Wertschöpfungsprozesse und setzen ungeahnte Wachstumspotenziale frei. Mehr sogar: Der Einsatz digitaler Technologien entscheidet heute im zunehmenden Umfang über die Wettbewerbsfähigkeit, die Resilienz wie auch die jeweilige Zukunftsfähigkeit eines Unternehmens.
Dennoch verhelfen digitale Technologien nicht bloß Betriebe zu Höhenflügen – auch Internetkriminelle profitieren von diesen vielfältigen Optionen immer fortschrittlicherer Angriffsmethoden.
In den vergangenen Jahren ist dabei insbesondere der Trend zu Distributed-Denial-of-Service-Attacken explodiert.
Bei der Distributed-Denial-of-Service-Attacke handelt es sich um eine spezielle Angriffsform, welche sich vom herkömmlichen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke und andere Netzwerkressourcen eines Betriebs mit einer immensen Anzahl gleichzeitiger Verbindungsanfragen oder aber inkorrekten Paketen zu überfordern und auf diese Weise zu verlangsamen oder eventuell auch ganz lahmzulegen.
Oftmals nutzen die Bedrohungsakteure dazu kompromittierte Rechner und Endgeräte, welche sie via Fernsteuerung zu einem Botnetz vereinen und anschließend auf ein Zielsystem sowie dessen Dienste richten. Dabei würde die Multiplikation der Angriffsquelle, sprich die Dimension des Botnetzes, die Wirksamkeit der Distributed-Denial-of-Service-Attacke verstärken und dazu führen die Identität der Bedrohungsakteure zu verheimlichen.
Wichtige Erkenntnisse und alarmierende Zahlen!
Distributed-Denial-of-Service-Attacken sind keine neuartige Bedrohung.
Vor gut 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein Computer der University of Minnesota wurde plötzlich von 114 Computern attackiert, die mit einer Schadsoftware namens Trin00 angesteckt waren.
Seitdem kennt die Entwicklung der Distributed-Denial-of-Service-Attacken wesentlich nur die Richtung aufwärts, wie die nachfolgenden Beispiele aus jüngster Zeit bestätigen:
· So wehrte Microsoft, gemäß dem DDoS-Jahresbericht, in der Jahreshälfte von 2021 fast 360.000 DDoS-Attacken gegen die Infrastruktur ab. Hierunter eine Attacke mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
· Der IT-Sicherheitsdienst Cloudflare (https://www.cloudflare.com/de-de/) berichtet im Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgeblockt zu haben, bei welcher Internetkriminelle über 17 Millionen Anfragen pro Sekunde verschickten.
· Die Firma Netscout registrierte 2020 zum ersten Mal über 10 Millionen Distributed-Denial-of-Service-Attacken jährlich. Im ersten Halbjahr 2021 wurden daraufhin fast 5,4 Millionen Distributed-Denial-of-Service-Attacken verzeichnet. Dies ist ein Anstieg von 11 % gegenüber des gleichen Zeitraums im Jahr 2020.
· Außerdem beweist der DDoS-Report 2021 von Imperva, dass bei rund 12 % aller Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen verwickelt waren.
Die wichtigsten Arten von Distributed-Denial-of-Service-Attacken!
Prinzipiell können sich Distributed-Denial-of-Service-Attacken gegen jede der 7 Schichten im Rahmen des OSI-Typs für Netzwerkverbindungen ausrichten. Die 3 Schlüsselarten wären:
1. Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte bzw. volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Form von Distributed-Denial-of-Service-Attacken. Bei jener Angriffsart wird die vorhandene Palette durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. Auf diese Weise wird unterbunden, dass legitime Verbindungsanfragen ankommen. Zu dieser Gruppe gehören beispielsweise UDP -Flood-Attacken.
o UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Angreifer eine gewaltige Masse von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um sie damit zu überfordern, solange bis sie nicht mehr erwidern.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen hierauf ab, die Ressourcen sowie den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überfordern und auszupowern. Am gängigsten sind in diesem Kontext so bezeichnete HTTP Flood-Attacken.
o HTTP-Flood-Attacken: Bei dieser leichtesten DDoS-Angriffsvariante zur Ressourcenüberlastung überfluten Bedrohungsakteure den Webserver eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss er lediglich irgendwelche Internetseiten des Zielprojekts aufsuchen, bis der Webserver unter der Last an Anforderungen zerbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken sehen es auf Protokolle der Netzwerk- oder Transportschicht ab und nutzen Schwachpunkte in den Protokollen, um das Zielsystem mit unvollständigen oder fehlerhaften Verbindungsanfragen zu überlasten. Zu den häufigsten protokollbasierten Distributed-Denial-of-Service-Attacken zählen:
o die ICMP-Flood-Attacke: Bei einer ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überfluten die Bedrohungsakteure den Webserver mit zahllosen ICMP-Anfragen. Bei diesem Angriff wird versucht, die Fähigkeit des Webservers, auf Anfragen zu reagieren, zu behindern und damit valide Anfragen zu blocken.
o die SYN-Flood-Attacke: Bei dem Angriffsmuster versuchen die Bedrohungsakteure durch das wiederholte Zusenden von Synchronisationspaketen, kurz SYN-Paketen, alle möglichen Ports auf einem Zielservercomputer zu überlasten, so dass das Zielgerät nur schleichend oder etwa gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe funktionieren unter Verwertung des Handshake-Prozesses einer TCP-Verbindung.
4. Multivektorangriffe: Bei Multivektorangriffen werden mehrere Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken kombiniert, um ein Zielsystem und seine Services komplett zu überwältigen und es zum Absturz zu bringen. Kombinierte Multivektorangriffe sind besonders knifflig abzuwehren und verlangen daher eine durchdachte und vielschichtige Abwehrstrategie.
So funktioniert die DDoS-Abwehr!
Da Distributed-Denial-of-Service-Attacken äußerst komplex sind, sollten Betriebe auf unterschiedlichen Ebenen IT-Abwehrmaßnahmen implementieren.
Erfolgversprechende Ansätze enthalten meist folgende Punkte:
o Identifizierung kritischer IP-Adressen sowie das Schließen bekannter Sicherheitslücken
o Web Application Firewalls: Gegenüber konventionellen Firewalls inspizieren Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind damit in der Lage Attacken auf Anwendungsschicht zu erkennen
o IP-Sperrlisten: IP-Sperrlisten gewähren es, kritische IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch flexibel hergestellte Sperrlisten über die Firewall automatisieren.
o Filterung: Mit dem Ziel, gefährliche Datenpakete herauszufiltern, ist es machbar, Grenzwerte für Datenmengen in dem bestimmten Zeitraum zu bestimmen. Hierbei ist jedoch zu berücksichtigen, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Webserver registriert und möglicherweise grundlos geblockt werden.
o SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt die Sicherheitsmaßnahme zum Gebrauch, werden Daten über SYN-Pakete nicht mehr ausschließlich auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen so zwar Rechenkapazität, belasten hingegen nicht den Speicher des Zielsystems.
o Load-Balancing: Eine effektive Gegenmaßnahme gegen Überanstrengung ist die Lastenverteilung auf mehrere Systeme, wie sie durch Load-Balancing gewährt wird. Dabei wird die Hardware-Auslastung bereitgestellter Dienste auf unterschiedliche physische Geräte verteilt. So lassen sich Distributed-Denial-of-Service-Attacken bis zu einem gewissen Maß auffangen.
Behalten Sie Ihre Internetrisiken im Blick!
Distributed-Denial-of-Service-Attacken nehmen zu und können in Zukunft noch größer und komplexer ausfallen.
Um große Betriebsunterbrechungsschäden sowie teils unkalkulierbaren Reputationsverlust zu vermeiden, ist es höchste Zeit, dass Unternehmen eine verbesserte Sensibilität zu Distributed-Denial-of-Service-Attacken erzeugen und präzise IT-Schutzmaßnahmen zur Prävention und Mitigation einführen.
Mit dem Ziel, die Unternehmen bei der Recherche und Selektion zu stützen hat das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, eine Hilfestellung zur Kennung qualifizierter Überwachungsunternehmen für die Verteidigung von Distributed Denial-of-Service-Attacken veröffentlicht.
Möchten auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten sowie Services mit leistungsfähigen DDoS-Sicherheitslösungen schützen? Sind sie auf der Suche nach einem geeigneten Sicherheitsdienstleister oder haben noch Fragen zu Distributed Denial-of-Service-Attacken? Kontaktieren Sie uns gerne!
Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de
