Ein DDoS-Angriff (Distributed-Denial-of-Service-Angriff) ist eine Form der Cyberkriminalität, bei der Bedrohungsakteure böswillig versuchen, eine Website oder Anwendung für die Benutzer unerreichbar zu machen. Es gibt verschiedene Arten von DDoS-Angriffen, bei denen ein Server mit unrechtmäßigem Datenverkehr überlastet wird, so dass ein Online-Dienst vorübergehend oder dauerhaft außer Betrieb gesetzt wird.
Wissen Sie, wie ein DDoS-Angriff funktioniert? Er nutzt mit Malware infizierte Geräte, so genannte Bots, und eine Ansammlung von Bots wird als Botnet bezeichnet. Cyber-Akteure setzen sie ein, um ein System ohne die Erlaubnis, das Bewusstsein und die Einwilligung des Eigentümers zu stören.
Es gibt mehrere Arten von DDoS-Angriffen, die auf unterschiedliche Komponenten einer Netzwerkverbindung abzielen und in der Regel in drei Kategorien eingeteilt werden: Angriffe auf der Anwendungsebene, auf das Protokoll und volumetrische Angriffe.
Bevor man sich mit ihnen befasst, ist es jedoch nützlich zu verstehen, wie eine Netzwerkverbindung hergestellt wird.
Wie wird eine Netzwerkverbindung hergestellt?
Eine Netzwerkverbindung besteht aus mehreren Schichten, und jede von ihnen hat einen bestimmten Zweck. Das OSI-Modell (Open Systems Interconnection) charakterisiert die verschiedenen Funktionen, die die Funktionsfähigkeit zwischen Online-Geräten, -Produkten und -Diensten unterstützen.
Gemäß dem OSI-Modell arbeiten diese Kommunikationen zusammen, um eine Netzwerkverbindung herzustellen, und bestehen aus sieben Ebenen in einem Rahmen:
Layer 7 – Anwendungsebene
Eine Mensch-Computer-Interaktionsebene für Endnutzer beim Zugang zu Netzwerkdiensten.
Layer 6 – Präsentationsebene
Diese Ebene sorgt dafür, dass die Daten in einem brauchbaren Format vorliegen, und legt fest, wie zwei Geräte Daten kodieren, verschlüsseln und komprimieren sollen.
Layer 5 – Sitzungsebene
Erstellt nach der Authentifizierung einen Kommunikationskanal und sorgt dafür, dass die Sitzungen während der Datenübertragung offen bleiben. Sobald die Daten übertragen sind, werden sie geschlossen.
Layer 4 – Transportebene
Empfängt die in der Sitzungsebene übertragenen Daten und zerlegt sie in „Segmente“. Ihre Aufgabe ist es, die Segmente oder Datenpakete auf der Empfängerseite wieder zusammenzusetzen und letztlich die Datenübertragung zu regeln.
Layer 3 – Netzwerkebene
Zerlegt Segmente in Netzwerkpakete, setzt sie anschließend wieder zusammen und leitet sie an den richtigen Pfad weiter. Auf dieser Ebene werden die Datenpakete von Layer 2 unter Verwendung von IP-Adressen usw. an das gewünschte Ziel weitergeleitet.
Layer 2 – Datenverbindungsebene
Verantwortlich für das Starten und Beenden einer Verbindung zwischen zwei physisch verbundenen Knoten in einem Netzwerk.
Layer 1 – Physikalische Ebene
Layer 1 definiert den Anschluss und das elektrische Kabel zur Übertragung von Rohdaten.
Angriffe auf der Anwendungsebene
Zu den gängigen Arten von DDoS-Angriffen gehören Angriffe auf der Anwendungsebene, die darauf abzielen, die Anwendung selbst anzugreifen. Sie nutzen bestimmte Systemschwachstellen (wie SIP-Sprachdienste, Webserver und BGP) aus, so dass die Anwendungen ihren Nutzern nicht die gewünschten Inhalte liefern können.
Im Vergleich zu volumetrischen und Protokollangriffen benötigen Angriffe auf der Anwendungsebene weniger Ressourcen, um bestimmte Funktionen oder Merkmale einer Website zu stören. Sie imitieren legitimes Benutzerverhalten und sind daher schwer zu erkennen.
Dies ist gefährlich, da die neuesten Tools, die bei einem DDoS-Angriff eingesetzt werden, auf Millionen von Botnets zugreifen und Systeme in einem nie dagewesenen Ausmaß schädigen können. Das Ausmaß solcher Angriffe wird in der Regel in Anfragen pro Sekunde gemessen. Hier sind zwei beliebte Unterkategorien von Angriffen auf der Anwendungsebene:
Angriffe auf DNS-Server
Das DNS oder Domain Name System wandelt Domain-Namen in IP-Adressen um, die von Ihrem Browser zur Anzeige von Ergebnissen verwendet werden. Da DNS-Server mit Domain-Namen-Informationen verknüpft sind, können Angreifer sie für DDoS- oder DoS-Angriffe anvisieren.
Die Hacker verwenden Spoofing und Amplifikation, d. h., dass eine kleine Anfrage eine umfangreichere Antwort in Bytes widerspiegelt. Sie greifen DNS-Server mit Hilfe von Bots an, um gefälschte DNS-Anfragen für einen Amplifikationseintrag zu erzeugen.
Der Server stellt seine eigene Anfrage an einen infizierten Server, um auf den Amplifikationseintrag zuzugreifen. Der gesamte Prozess beinhaltet auch Spoofing und findet auf Layer 3 oder 4 des OSI-Modells statt.
DNS-Flood-Angriffe überwältigen DNS-Server, indem sie legitim aussehende DNS-Anfragen von mehreren gefälschten IP-Adressen (Bots) mit einer hohen Paketrate senden. Verstärkte DNS-Floods sind mächtiger und zielen auf rekursive DNS-Server mit großen Mengen von DNS-Anfragen.
HTTP/S-verschlüsselte Flood
HTTP- oder HTTPS-verschlüsselte Flood-Angriffe finden auf Layer 7 des OSI-Modells statt. Wie der Name schon sagt, überfluten diese häufigen Arten von DDos-Angriffen Server mit HTTP-Anfragen von einzelnen oder mehreren URLs, die aus einem Botnet stammen.
HTTP-Floods zielen darauf ab, die Ressourcen von Webservern mit kontinuierlichen Anfragen zu erschöpfen und können Skripte und Bilder (GET), Formulare und Dateien (POST) oder kombinierte GET- und POST-HTTP-Anfragen umfassen. Raffiniertere Angriffe können auch DELETE- oder PUT-Anfragen usw. verwenden.
Eine Dienstverweigerung tritt ein, wenn der Server seine maximale Anzahl gleichzeitiger Verbindungen erreicht und nicht mehr in der Lage ist, auf legitime Benutzeranfragen zu reagieren.
Es ist zwar schwierig, einen solchen DDoS-Angriff zu entdecken, aber wenn man weiß, wie er zu erkennen ist, kann man die Folgen abmildern.
Protokoll-Angriffe
Protokollangriffe zielen darauf ab, Serverressourcen und zwischengeschaltete Kommunikationsgeräte – die Vermittler zwischen einer Website und einem Server – zu erschöpfen. Sie funktionieren, indem sie die Serverressourcen mit gefälschten Protokollanfragen überlasten, um die verfügbaren Ressourcen zu belegen.
Im Folgenden werden vier gängige DDoS-Angriffsarten aus dieser Kategorie vorgestellt:
Ping of Death
Hier manipulieren die Bedrohungsakteure IP-Protokolle, indem sie Ping-Pakete an den Opferserver senden, die größer sind als die maximal zulässige Größe. Der Ping of Death (PoD) ist eine veraltete Art von DDoS-Angriff, wird aber immer noch verwendet, um Anwendungen und Hardware anzugreifen.
Er führt entweder zum Absturz eines Servers oder zum Neustart und legt ein ganzes Rechenzentrum lahm. Während PoD-Angriffe heute seltener vorkommen, ist eine verwandte DDoS-Angriffsart, die so genannte ICMP-Flood, viel häufiger. Weitere Informationen dazu finden Sie im Abschnitt über volumetrische Angriffe.
SYN-Flood
Das TCP- oder Übertragungskontroll-Protokoll ist eine Kommunikationsstruktur, die mit einem Client, einem Host und einem Server auf Layer 4 verbunden ist. Böswillige Akteure nutzen TCP-Schwachstellen aus und senden SYN-Pakete mit gefälschten Quell-IPs an den Zielserver.
SYN ist die Abkürzung für synchronisierte TCP-Pakete, die an einen anderen Computer gesendet werden, wenn ein Client versucht, eine TCP-Verbindung zu einem Server herzustellen. SYN-Floods werden auch als TCP-Floods oder SYN-TCP-Floods bezeichnet und beanspruchen die Verbindungsressourcen der Backend-Server.
Die gefälschten Pakete werden so lange gesendet, bis die Verbindung mit dem Tabellenspeicher zusammenbricht, wodurch ein Online-Dienst lahmgelegt wird. Da der TCP-Backlog voll ist, kann der Server keine neuen Verbindungen mehr empfangen.
Tsunami-SYN-Flood
Ein Tsunami-SYN-Flood-Angriff ist eine aggressivere Form des DDoS-Angriffs. Während eine reguläre SYN-Flood in der Regel geringe Datenmengen enthält, ist diese Variante durch Pakete mit jeweils rund 1.000 Byte gekennzeichnet.
Connection Exhaustion
Bei einem Connection-Exhaustion-Angriff zielen Hacker auf Infrastrukturkomponenten wie Next Gen Firewalls, Webanwendungsserver und Edge-Load-Balancer ab, um die Verbindungsstatustabellen mit gefälschten Daten zu überlasten. Diese Art von DDoS-Angriffen hilft Bedrohungsakteuren bei der Überwachung und Anpassung ihrer Angriffe, um eine hohe Intensität zu erreichen.
Sie werden in der Regel mit diskreten Smart Clients geplant, die nicht gefälscht werden können. Es ist fast unmöglich, sie in zustandslosen Edge-Router-Infrastrukturen abzuwehren oder abzuschwächen.
Diese Art von DDoS-Angriffen, die auch als State-Exhaustion-Angriffe bezeichnet werden, verbrauchen weniger Bandbreite (bis zu 20 Gigabit pro Sekunde) und werden daher oft als weniger gefährlich angesehen.
Die Angreifer haben jedoch die standardmäßigen Connection-Exhaustion-, TCP- und Flood-Angriffe angepasst, um auch SSL-Dienste (Secure Socket Layer) anzugreifen. Netzwerkkommunikationsprotokolle verwenden SSL häufig zur Verschlüsselung, um die Sicherheit zu erhöhen und Datenschutzprobleme zu lösen.
DDoS-Angriffe, die den SSL-Zustand ausnutzen, zielen in der Regel auf das SSL-Handshake-Protokoll auf eine von zwei Arten ab:
- Durch Ausnutzung des SSL-Handshake-Protokolls selbst mit ständigen Anfragen zur Neuaushandlung der Verschlüsselung, die Ressourcen verbrauchen, so dass Dienste für legitime Benutzer nicht verfügbar sind.
- Durch das Senden ungültiger Datenpakete an SSL-Server, die Zeit und Ressourcen verschwenden, um solche Daten als legitim zu verarbeiten, was zu Verbindungsproblemen für echte Benutzer führt.
Die meisten Firewalls können diese Arten von DDoS-Angriffen nicht abwehren, da sie nicht zwischen echten und gefälschten SSL-Handshake-Datenpaketen unterscheiden können.
Volumetrische Angriffe
Volumetrische Angriffe erschöpfen die Bandbreite einer anvisierten Website durch Verstärkungsmethoden. Diese Art von DDoS-Angriffen wird in Bps oder Bits pro Sekunde gemessen. In der Regel liegen die Anfragen in der Größenordnung von 100 Gbit/s, doch wurden in jüngster Zeit auch Vorfälle mit über 1 Tbit/s verzeichnet.
Die Motivation für DDoS-Angriffe dieser Art ist der Aspekt der Tarnung.
Sie lassen sich nur schwer zurückverfolgen, da sie als authentischer Datenverkehr erscheinen, der von mehreren IP-Adressen generiert wird, aber aus dem Bot-Netz des Angreifers stammt.
Volumenbasierte DDoS-Angriffe dienen dazu, den legitimen Datenverkehr zu stoppen und ganze Websites lahmzulegen. Hier sind einige der berüchtigtsten Arten:
DNS-Amplifikation
Bei der DNS-Amplifikation werden öffentliche DNS-Server ausgenutzt, um ein Zielnetz mit Datenverkehr zu überlasten. Böswillige Akteure senden DNS-Namensabfragen an einen öffentlichen DNS-Server, indem sie die Quell-IP-Adresse als die IP-Adresse des Ziels vortäuschen.
Die Antwort auf den DNS-Eintrag wird dann stattdessen an das Ziel gesendet. Diese gefälschten Anfragen sind vom Typ „ANY“, d. h., alle Details werden in eine einzige Anfrage gepackt. Dadurch erzeugen sie umfangreiche Antworten, so dass die Web-Ressource des Opfers einen erhöhten Datenverkehr erhält, der das Netzwerk verstopft und es unzugänglich macht.
UDP-Flood
Zu den verschiedenen Arten von DDoS-Angriffen gehört die UDP-Flood, bei der Hacker mit einer großen Anzahl kleiner UDP-Pakete (User Datagram Protocol) auf zufällige Ports des Hosts zielen. UDP ist ein Kommunikationsprotokoll, das Verbindungen mit geringer Latenz und Verlusttoleranz zwischen Internetanwendungen herstellt.
Ein UDP-Flood-Angriff erschöpft lebenswichtige Ressourcen von Netzwerkelementen, überfordert das Zielsystem und verursacht eine Dienstverweigerung. Dabei kann eine gefälschte IP-Adresse verwendet werden, um sicherzustellen, dass die zurückgesendeten Pakete den Host nicht erreichen, und den Cyberkriminellen zu helfen, ihre Identität zu verschleiern.
ICMP- oder Ping-Flood
ICMP oder das Internet Control Message Protocol wird verwendet, um Probleme im Zusammenhang mit der Online-Übertragung von Daten zu kommunizieren. Angreifer überschwemmen ein Netzwerk mit zahlreichen gefälschten ICMP-Echo-Anfragen. ICMP-Echo-Anfragen (Pings) und Echo-Antwort-Nachrichten werden verwendet, um die Verbindungsstärke eines Netzwerks zu bewerten. In den meisten Fällen werden solche Anfragen beantwortet, wodurch Netzwerkressourcen verbraucht werden. Durch die Überflutung mit diesen Anforderungspaketen sind Online-Dienste für die Benutzer nicht mehr verfügbar.
RST-FIN-Flood
Im Transmission Control Protocol (TCP) verwenden Angreifer gefälschte RST- oder FIN-Pakete, um die Bandbreite zu überlasten, Ressourcen zu belegen und die Netzwerkaktivitäten zu unterbrechen.
Während SYN-Pakete gesendet werden, um neue TCP-Verbindungen aufzubauen, werden FIN-Pakete gesendet, um TCP-Verbindungen zu schließen. RST-Pakete werden in der Regel verwendet, um Verbindungen zwangsweise zurückzusetzen, indem sie abgebrochen werden, wenn ein Problem auftritt.
Bei dieser Art von DDoS-Angriffen senden Bedrohungsakteure große Mengen an gefälschten RST- und FIN-Paketen, um die Ressourcen des Opfernetzwerks auszulasten. Dies wiederum führt zu Störungen, die letztlich zu Systemausfällen führen.
Obwohl RST-FIN-Floods heute nicht mehr so häufig vorkommen, werden sie von Cyberkriminellen immer noch in Verbindung mit anderen Angriffsarten eingesetzt.
Schlumpf-Angriffe
Ein Schlumpf-Angriff findet auf Layer 3 des OSI-Modells statt und ähnelt dem ICMP-Flood-Angriff. Der Name stammt von einem DDoS-Angriffstool, das nach der Zeichentrickserie Die Schlümpfe benannt wurde, da es größere Gegner treffen kann.
Schlumpf-Angriffe überlasten ein Netzwerk mit bösartigen ICMP-Echo-Anfragen oder Pings und nutzen IP-Schwachstellen aus. Eine falsche oder gefälschte IP-Adresse wird an ein Datenpaket angehängt, um diese Anfragen zu senden.
Fazit
Die häufigsten DDoS-Angriffsarten fallen unter Angriffe auf der Anwendungsebene, Protokollangriffe und volumetrische Angriffe. Sie treten auf verschiedenen Ebenen des OSI-Modells auf.
Während Angriffe auf der Anwendungsebene spezifische Schwachstellen ausnutzen und legitime Benutzeraktionen fälschen, fressen Protokollangriffe die Kommunikationsressourcen von Servern mit ungültigen Anfragen auf. Volumetrische Angriffe konzentrieren sich darauf, die Netzwerke der Opfer mit scheinbar authentischem Datenverkehr zu überfluten.
Cyber-Akteure nutzen heute häufig eine Kombination aus DDoS-Angriffsarten und anderen Cyberangriffen. Es ist zwar hilfreich zu wissen, auf welche Branchen DDoS-Angreifer abzielen, aber keine Branche oder Organisation ist vor solchen Bedrohungen sicher.
Es ist nicht einfach, einen DDoS-Angriff zu erkennen, bevor der Schaden entstanden ist. Deshalb ist es besser, Ihre Sicherheitsprotokolle zu stärken und Ihre Mitarbeiter über die Anzeichen zu informieren.