DDoS-Angriff Was ist ein DDoS-Angriff (Distributed Denial of Service)?
Ein DDoS- oder Distributed Denial of Servicee-Angriff ist ein Cyberangriff, bei dem mehrere kompromittierte Systeme – oft als Botnetz orchestriert – ein Zielnetzwerk, einen Server oder Onlinedienst mit einem überwältigenden Datenverkehr überfluten. Dieser Anstieg des Datenverkehrs kann die Systeme des Ziels verlangsamen oder sogar zum Absturz bringen, wodurch legitimen Benutzern der Zugriff verweigert wird. DDoS-Angriffe zählen zu den verheerendsten Formen der Cyberbedrohung und können erhebliche Ausfallzeiten, finanzielle Verluste und Reputationsschäden verursachen. Da Cloud-basierte Services und Online-Prozesse weiter zunehmen, haben das Risiko und die Auswirkungen von DDoS-Angriffen branchenübergreifend zugenommen.
- DoS- vs. DDoS-Angriffe
- Welche Arten von DDoS-Angriffen gibt es?
- So mildern Sie einen DDoS-Angriff ab
- HPE Aruba Networking und DDoS-Schutz
DoS- vs. DDoS-Angriffe
Sowohl Denial of Service-Angriffe (DoS) als auch DDoS-Angriffe zielen darauf ab, die Verfügbarkeit eines Service zu stören. Allerdings unterscheiden sie sich erheblich hinsichtlich Ansatz und Umfang. Ein DoS-Angriff wird typischerweise von einer einzigen Quelle gestartet, die eine Flut von Anfragen sendet, um einen Server oder eine Netzwerkressource so lange zu überlasten, bis sie nicht mehr ordnungsgemäß funktioniert. DoS-Angriffe sind zwar wirkungsvoll, lassen sich jedoch in der Regel leichter erkennen und abschwächen, da sie von einem einzigen Standort ausgehen.
Im Gegensatz dazu erfolgen DDoS-Angriffe von mehreren – oft über verschiedene geografische Regionen verteilte – Quellen aus. Diese Quellen, normalerweise infizierte Geräte, die von einem Angreifer kontrolliert werden, bilden ein Botnetz. Der Angreifer weist das Botnetz an, ein Ziel (beispielsweise eine Website oder Anwendung) mit einer Flut von Anfragen zu überfluten, die seine Ressourcen erschöpfen und es nicht mehr reagieren lassen. Aufgrund dieser verteilten Natur sind DDoS-Angriffe viel schwieriger zu blockieren, da sie von vielen verschiedenen IP-Adressen und geografischen Standorten zu kommen scheinen. Folglich kann die Abwehr von DDoS-Angriffen weitaus schwieriger sein. Es bedarf fortgeschrittener, mehrschichtiger Abwehrmaßnahmen, um das enorme Datenvolumen zu bewältigen und legitime von böswilligen Benutzern zu unterscheiden.
Welche Arten von DDoS-Angriffen gibt es?
DDoS-Angriffe nutzen Schwachstellen auf verschiedenen Ebenen des OSI-Modells aus. Indem Angreifer auf bestimmte Ebenen abzielen, können sie verschiedene Aspekte der Netzwerkleistung beeinträchtigen und die Serviceverfügbarkeit stören. Die Haupttypen von DDoS-Angriffen lassen sich in drei Kategorien einteilen: volumenbasierte, protokollbasierte und Angriffe auf Anwendungsebene.
Volumenbasierte Angriffe
Volumenbasierte Angriffe zielen darauf ab, die Bandbreite eines Ziels zu überlasten. Dabei zielen sie häufig auf die Netzwerkschicht (Layer 3) ab, um das Netzwerk mit Daten zu überfluten. Das Ziel besteht darin, die gesamte verfügbare Bandbreite zu nutzen und den unverdächtigen Datenverkehr daran zu hindern, den Server zu erreichen.
- UDP Floods: Bei einer UDP Flood zielen große Mengen von UDP-Paketen (User Datagram Protocol) auf zufällige Ports auf dem Server ab, wodurch das Netzwerk überlastet und die Bandbreite erschöpft wird. UDP Floods können dazu führen, dass Server mit der ICMP-Fehlermeldungen „Ziel nicht erreichbar“ antworten, wenn die Ziel-Ports geschlossen sind. Dadurch wird der Netzwerkverkehr verstärkt und der Angriff intensiviert.
- ICMP Flood (Ping Flood): Eine ICMP Flood, auch Ping Flood genannt, sendet eine große Anzahl von ICMP-Echoanforderungen (Pings) an den Zielserver. Der Server versucht, auf jeden Ping zu antworten, verbraucht dabei Netzwerkressourcen und verursacht Latenzen oder in extremen Fällen Serverausfallzeiten.
- Amplifikationsangriffe: Bei dieser Art von Angriff werden anfällige Protokolle wie DNS ausgenutzt, um den auf den Zielserver gerichteten Datenverkehr zu verstärken. Beispielsweise werden bei der DNS-Verstärkung offene DNS-Resolver verwendet, um große Mengen an Antwortdaten an das Ziel zu senden, was zu einer erheblichen Überlastung des Netzwerks führt.
Protokollbasierte Angriffe
Protokollbasierte DDoS-Angriffe nutzen Schwachstellen in Protokollen auf Netzwerkebene (Layer 3) und Transportebene (Layer 4). Diese Angriffe erschöpfen die Serverressourcen wie Arbeitsspeicher oder Verbindungstabellen und erschweren legitimen Benutzern die Verbindung.
- SYN Flood (Layer 4): SYN Floods zielen auf den TCP-Handshake-Prozess ab, indem sie zahlreiche SYN-Anfragen an das Ziel senden, den Handshake jedoch nie abschließen. Dadurch werden die Speicherressourcen des Servers erschöpft, da mehrere unvollständige Verbindungen bestehen bleiben, was schließlich neue Verbindungen blockiert.
Um normalerweise eine TCP-Verbindung herzustellen, sendet ein Client eine SYN-Anfrage an einen Server, die der Server mit einer SYN-ACK-Anfrage bestätigt. Anschließend stellt der Client die Verbindung her, indem er mit einem ACK antwortet. Bei einem SYN-Flood-Angriff überlastet der Angreifer den Server mit SYN-Anfragen und fälscht dabei die Quell-IP-Adresse, sodass der Server keine SYN-ACK-Antworten an den Client zurücksenden kann. - Ping of Death (Layer 3): Ein Ping of Death sendet übergroße ICMP-Pakete, die die durch das IP-Protokoll definierte Größenbeschränkung überschreiten. Wenn das Ziel versucht, das Paket erneut zusammenzusetzen, kann es aufgrund der ungewöhnlich großen Datenmenge abstürzen oder einfrieren, wodurch der Service unterbrochen wird.
- Smurf-Angriff (Layer 3): Bei einem Smurf-Angriff senden Angreifer eine gefälschte ICMP-Anfrage an eine Broadcast-Adresse, was dazu führt, dass mehrere Geräte im Netzwerk auf die gefälschte Adresse antworten. Dies überwältigt das Ziel mit einer Flut von ICMP-Antworten und sättigt das Netzwerk.
- IP-Spoofing (Layer 3 und 4): Beim IP-Spoofing wird die Quell-IP-Adresse von Paketen verschleiert, sodass es so aussieht, als stamme der Angriffsverkehr aus unverdächtigen oder vertrauenswürdigen Quellen. IP-Spoofing erhöht häufig die Effektivität anderer protokollbasierter Angriffe und erschwert somit die Identifizierung und Blockierung der wahren Quelle des Angriffs.
Angriffe auf Anwendungsebene
Bei Angriffen auf Anwendungsebene (Layer 7) liegt der Schwerpunkt auf der Unterbrechung bestimmter Anwendungsservices durch Überlastung des Ziels mit Anfragen. Diese Angriffe sind äußerst effektiv, da sie unverdächtige Datenverkehrsmuster nachahmen und daher schwer zu erkennen und abzuwehren sind.
- HTTP Flood: Eine HTTP Flood sendet zahlreiche HTTP-GET- oder POST-Anfragen an einen Webserver und verbraucht dessen Ressourcen. Durch das gezielte Angreifen spezieller, ressourcenintensiver URLs können HTTP Floods die Verarbeitungskapazität und Bandbreite des Servers erschöpfen.
- Slowloris: Slowloris hält mehrere Verbindungen zum Zielserver offen, indem es teilweise HTTP-Anfragen sendet, ohne sie abzuschließen. Dadurch werden die Ressourcen des Servers verbraucht, da er versucht, jede offene Verbindung aufrechtzuerhalten, was letztendlich zu einer Serviceverweigerung für legitime Benutzer führt.
- DNS-Anfragefluten: Angreifer überfluten den DNS-Server mit übermäßigen DNS-Anfragen, verbrauchen seine Ressourcen und sorgen dafür, dass er auf legitime Anfragen nicht mehr reagiert. Durch einen Angriff auf die DNS-Infrastruktur können Angreifer die Verfügbarkeit von Services stören, die mit einer bestimmten Domäne verknüpft sind.
- Bot-basierte Angriffe: Botnetze oder Netzwerke infizierter Geräte können große Mengen scheinbar unverdächtiger Anfragen an einen Server senden. Diese Anfragen ähneln einem typischen Benutzerverhalten, sodass es schwierig ist, zwischen normalem und böswilligem Datenverkehr zu unterscheiden.
So mildern Sie einen DDoS-Angriff ab
Um einen DDoS-Angriff wirksam abzuwehren, ist eine Kombination aus Abwehrstrategien erforderlich, die bösartigen Datenverkehr filtern, erkennen und darauf reagieren können. Hier sind einige weit verbreitete Methoden:
- Ratenbegrenzung: Durch die Begrenzung der Anzahl zulässiger Anfragen von einer einzelnen IP-Adresse können Unternehmen verhindern, dass ihre Server durch DDoS-Angriffe überlastet werden. Bei der Ratenbegrenzung kann maschinelles Lernen zum automatischen Anpassen der Schwellenwerte für die Anzahl der Anfragen genutzt werden, wodurch eine dynamische und präzise Kontrolle während eines DDoS-Angriffs ermöglicht wird. Die Ratenbegrenzung hilft außerdem, legitime von böswilligen Anfragen zu unterscheiden, indem verdächtiger Datenverkehr gefiltert wird. Fortschrittliche sichere SD-WAN-Lösungen können diese Funktionalität integrieren, um Unternehmen vor DDoS-Angriffen zu schützen.
- Zero Trust Network Access (ZTNA): ZTNA beschränkt den Zugriff auf Netzwerkressourcen basierend auf der Benutzeridentität und setzt das Prinzip der geringsten Rechte durch. Dadurch verringert sich die Wahrscheinlichkeit, dass böswillige Akteure unbefugten Zugriff auf kritische Systeme erhalten. Zudem wird es für DDoS-Angriffe schwieriger, vertrauliche Teile des Netzwerks zu erreichen.
- Firewalls: Web Application Firewalls (WAF) fungieren als Reverse-Proxy zwischen einem Netzwerk und seinen Benutzern. Sie prüfen eingehende Anfragen, um bösartigen Datenverkehr zu erkennen und zu blockieren. WAFs sind besonders nützlich gegen Angriffe auf Anwendungsebene. Alternativ fügen Next Generation Firewalls (NGFW) mit IDS/IPS-Funktionen eine zusätzliche Schutzebene hinzu, indem sie bekannte Angriffssignaturen und abnormales Verkehrsverhalten erkennen und darauf reagieren sowie verdächtige Anfragen, die auf einen DDoS-Versuch hinweisen könnten, proaktiv stoppen.
- Schwarzes-Loch-Routing: Mit dieser Technik wird der Datenverkehr auf eine Nullroute umgeleitet, wo er effektiv verworfen wird. Wenn ein DDoS-Angriff auf eine bestimmte IP-Adresse abzielt, kann der Netzwerkadministrator das Routing so konfigurieren, dass der gesamte Datenverkehr an diese IP-Adresse unterbrochen wird. Darüber hinaus kann eine SD-WAN-Lösung den Datenverkehr dynamisch über nicht betroffene Netzwerkverbindungen weiterleiten und so dazu beitragen, die Konnektivität zu anderen Teilen des Netzwerks aufrechtzuerhalten.
- Content Delivery Networks (CDNs): CDNs verteilen den Netzwerkverkehr auf mehrere Server in verschiedenen geografischen Regionen und minimieren so das Risiko einer Überlastung. Indem sie die Last über die CDN-Infrastruktur verteilen, tragen sie dazu bei, DDoS-Verkehr zu absorbieren und zu verteilen.
Eine wirksame DDoS-Minderung umfasst normalerweise die Kombination mehrerer dieser Techniken, um einen umfassenden Schutz zu gewährleisten. Proaktive Überwachung und regelmäßige Tests tragen außerdem dazu bei, dass die Abwehrmaßnahmen gegen sich entwickelnde DDoS-Taktiken wirksam bleiben.
HPE Aruba Networking und DDos-Schutz
Der in die SASE-Plattform (Secure Access Service Edge) integrierte DDoS-Schutz von HPE Aruba Networking bietet fortschrittliche Tools zur Abwehr von DDoS-Angriffen, indem er sichere SD-WAN-Funktionen mit ML-basiertem adaptivem DDoS-Schutz und Zero Trust Network Access (ZTNA) kombiniert.
HPE Aruba Networking SASE nutzt über sein sicheres EdgeConnect SD-WAN maschinelles Lernen, um DoS-Schwellenwerte basierend auf dem aktuellen Netzwerkverhalten dynamisch und in Echtzeit anzupassen. Diese adaptive DDoS-Funktion umfasst zwei Kernfunktionen – Auto Rate-Limiting und Smart Burst – für ein verbessertes Verteidigungsmanagement. Auto Rate-Limiting legt Mindestschwellenwerte für den Datenverkehr fest. Dabei werden Netzwerkmuster mithilfe maschinellen Lernens analysiert. Smart Burst hingegen verarbeitet unverdächtige Datenverkehrsspitzen und begrenzt so die Nutzung der Netzwerkbandbreite durch bösartigen Datenverkehr. Dazu wird die ungenutzte Flusskapazität auf die Firewall-Zonen verteilt. Zusammen tragen diese Funktionen dazu bei, Unterbrechungen durch böswilligen Datenverkehr zu verhindern und gleichzeitig dafür zu sorgen, dass geschäftskritische Anwendungen weiterhin reibungslos funktionieren.
Darüber hinaus bietet die Lösung eine Reihe von Echtzeit-Analyse- und Berichtstools, mit denen Administratoren Grenzwertüberschreitungen überwachen, die wichtigsten Datenverkehrsquellen anzeigen und DDoS-Ereignisse analysieren können. Diese Transparenz hilft Netzwerkteams dabei, fundierte Anpassungen vorzunehmen und die Netzwerksicherheit mit neu auftretenden Bedrohungen Schritt zu halten. Die in EdgeConnect SD-WAN integrierte Firewall der nächsten Generation schützt das Netzwerk zusätzlich mit Funktionen wie IDS/IPS und rollenbasierter Segmentierung. IDS/IPS erkennt Angriffsmuster; die Segmentierung begrenzt die laterale Bewegung innerhalb des Netzwerks.
HPE Aruba Networking ZTNA verfolgt den Ansatz „Niemals vertrauen, immer überprüfen“, indem interne Services vor dem Internet verborgen bleiben und Einstiegspunkte für DDoS-Angriffe entfernt werden. Nur authentifizierte und autorisierte Geräte können auf bestimmte Ressourcen zugreifen. Dadurch wird verhindert, dass Angreifer Services direkt angreifen. Im Gegensatz zu VPNs gewährt ZTNA keinen umfassenden Zugriff. Dadurch wird die Angriffsfläche reduziert und Bedrohungen werden eingedämmt, indem durch Anwendungssegmentierung strikte, eindeutige Verbindungen zu autorisierten Ressourcen erzwungen werden. Durch die kontinuierliche Überprüfung der Identitäten lässt HPE Aruba Networking ZTNA nur unverdächtigen Datenverkehr zu autorisierten Anwendungen zu. Dadurch wird das Risiko einer Überlastung der Netzwerkressourcen minimiert und groß angelegte Angriffe werden weniger durchführbar.
Zusätzlich zu SD-WAN und ZTNA umfasst HPE Aruba Networking SASE SWG (Secure Web Gateway) zum Schutz von Benutzern und Geräten vor webbasierten Bedrohungen sowie CASB (Cloud Access Security Broker), um den Zugriff auf SaaS-Anwendungen zu sichern, die Nutzung zu überwachen und vor Datenverlust zu schützen.
Durch die Integration dieser Technologien bietet HPE Aruba Networking SASE einen mehrschichtigen Ansatz zur DDoS-Abwehr und hilft Unternehmen, die Auswirkungen von DDoS-Angriffen zu reduzieren, gleichzeitig die Netzwerkintegrität zu schützen und einen sicheren Geschäftsbetrieb aufrechtzuerhalten.
