How to Detect DDoS Attacks? | EasyDMARC

How to Detect DDoS Attacks?

7 Min Lesezeit

Die Cybersicherheit ist weltweit bedroht, und DDoS-Angriffe stellen nach wie vor ein großes Problem dar. Infotech-Unternehmen, kleine Firmen und Großkonzerne sind allesamt potenzielle Ziele solcher Cyberangriffe, die den Betrieb zum Erliegen bringen können.

Was ist ein DDoS-Angriff?

Es handelt sich um eine Art von Cyberangriff, der darauf abzielt, einen Server mit bösartigem Datenverkehr zu überlasten, so dass eine Website vorübergehend oder dauerhaft außer Betrieb gesetzt wird.

Er wird in der Regel über mit Malware infizierte Geräte, so genannte Bots, ausgeführt, und ihr Verbund wird als Botnet bezeichnet. Zu diesen Bots gehören Laptops, Smartphones, Smart-TVs, tragbare Geräte, Thermometer, Sicherheitskameras, Infotainmentsysteme in Fahrzeugen usw.

Welche Branchen sind das Ziel von DDoS-Angreifern? Sie zielen in der Regel auf die Branchen Spiele, Software und Technologie, Medien und Unterhaltung, Finanzen sowie Internet und Telekommunikation ab.

Einige beliebte Tools, die bei DDoS-Angriffen eingesetzt werden, sind LOIC, HULK, Tor’s Hammer, RUDY, DDoSISM, Slowloris, Golden Eye und HOK.

Frühzeitige und exakte Erkennung ist entscheidend

Frühzeitige Erkennung und Überwachung des Datenverkehrs sind entscheidend für die Verhinderung von DDoS-Angriffen. Sie können bösartigen Datenverkehr, Anfragen und Datenpakete durch intelligente Scan-Programme und Firewalls verwalten, überwachen und filtern.

Eine Firewall ist ein Netzwerksicherheitselement, mit dem der ein- und ausgehende Netzwerkverkehr entsprechend den gewählten Sicherheitsstandards und Protokollen gefiltert wird.

Sie hilft Ihnen, automatisch oder manuell zwischen normalen und gefährlichen Anfragen zu unterscheiden, und zwar auf der Grundlage von Verhaltensweisen, Mustern und Signaturanalysen. Darüber hinaus helfen Ihnen diese intelligenten Tools, bösartige Anfragen zu blockieren und DDoS-Angriffe abzuwehren.

Heutzutage werden Firewalls durch künstliche Intelligenz unterstützt, um Schwachstellen zu scannen und sie von vornherein zu beheben. Die Techniken zur Erkennung von DDoS-Angriffen gehen jedoch weit über Firewalls allein hinaus.

Indikatoren für DDoS-Angriffe

Um zu wissen, wie man einen DDoS-Angriff erkennt, sollten Sie die folgenden Indikatoren kennen. Sie können diese Signale nutzen, um Tools zur Erkennung von DDoS-Angriffen zu automatisieren, damit Sie rechtzeitig benachrichtigt werden.

Zu viele unerwartete Anfragen von einer bestimmten IP-Adresse

Mit diesem Indikator können Sie Ihren Router vorübergehend anweisen, Datenverkehr von einer bestimmten IP-Adresse an Blackhole-Router zu senden. Ein Blackhole ist ein Netzwerkpunkt, an dem ein- oder ausgehender Datenverkehr entsorgt wird.

Wenn Sie den Router anweisen, eine angreifende IP-Adresse in eine Sackgasse zu leiten, schützen Sie damit Ihre Server. Dies ist jedoch nicht empfehlenswert, da Sie damit auch jeglichen nicht bösartigen Datenverkehr blockieren.

Mit diesem Indikator können Sie keine Warnungen für Programme zur Verhinderung und Erkennung von DDoS-Angriffen einstellen, da diese auch legitime Bots markieren würden.

Wie können Sie also verschiedene Arten von DDoS-Angriffen stoppen, indem Sie ungewöhnlichen Datenverkehr erkennen? Die Antwort ist einfach: Sie können Warnungen einstellen, wenn eine bestimmte IP-Adresse innerhalb kurzer Zeit zu viele Anfragen sendet. Dies funktioniert am besten mit der Erlaubnislistenmethode, da es Ausnahmen wie Googlebots geben wird.

Server zeigt „Fehler 503“ an

Der HTTP-Fehler 503 zeigt an, dass der Server einer Website nicht verfügbar ist oder keine Anfragen bearbeiten kann, was auf einen DDoS-Angriff zurückzuführen sein könnte.

Sie können Warnmeldungen einrichten, wenn ein bestimmtes Ereignis eintritt. Unter Windows können Sie dies in der Ereignisanzeige tun. Weisen Sie jedem Ereignis, das Sie für untersuchungswürdig halten, eine Aufgabe zu, z. B. „Fehler 503“.

Eine Aufgabe kann in zwei einfachen Schritten zugewiesen werden:

  1. Öffnen Sie die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf das Ereignis.
  2. Ein Konfigurationsbildschirm wird geöffnet. Füllen Sie die Spalten aus, um Benachrichtigungs-E-Mails an ausgewählte Mitarbeiter zu senden.

TTL-Zeitüberschreitung

TTL ist die Abkürzung für Time to Live – die Zeit, die ein Paket in einem Netzwerk verbleibt, bevor es von einem Router zurückgewiesen wird. Sie können Ping-Benachrichtigungen automatisieren, und mehrere Dienstanbieter bieten dies an. Auf diese Weise wird Ihre Website rund um die Uhr überwacht. Die Ping-Zeit ist die Dauer, die kleine Datensätze benötigen, um von einem Gerät zu einem Server übertragen zu werden.

Dies beruht auf dem Prinzip, dass DDoS- oder DoS-Angriffe zu viel Bandbreite verbrauchen, so dass die Ping-Zeit zu lang ist oder ganz überschritten wird.

In-Line- vs. Out-of-Band-Überwachung

Die In-Line-Paketprüfung und die Out-of-Band-Überwachung sind Methoden zur Erkennung von DDoS-Angriffen sowohl in der Cloud als auch vor Ort.

Sobald Sie wissen, wie ein DDoS-Angriff funktioniert, können Sie Tools verwenden, die im Hauptdatenpfad platziert sind (In-Line) oder außerhalb des Pfads aufgestellt sind (Out-of-Band). Hier erfahren Sie mehr über diese Erkennungstechniken.

In-Line-DDoS-Schutz

In-Line-DDoS-Schutz-Tools arbeiten innerhalb des Rechenzentrums oder als In-Line-Schicht zur Verhinderung und Erkennung von DDoS-Angriffen, die über Ihrer Infrastruktur eingerichtet wird.

Solche Tools überwachen sowohl den betroffenen als auch den nicht betroffenen Datenverkehr, wobei bösartige Anfragen herausgefiltert werden und nur der ein- und ausgehende legitime Datenverkehr zugelassen wird.

Die Tools lernen normale Verkehrsmuster und erkennen so anormale Aktivitäten.

Vorteile von In-Line-DDoS-Schutz-Tools

  • Schnelle Erkennung von bösartigem Datenverkehr und Entschärfung eines Angriffs.
  • Keine unvorhersehbaren Netzwerkprobleme.
  • Nutzt Lernmechanismen, um sich selbst auf Schutzkonfigurationen einzustellen.
  • Weiß, wie ein DDoS-Angriff zu identifizieren ist, der nicht auf Volumen basiert.
  • Keine zusätzliche Hardware wie Flow Analyzer und BGP-Tools erforderlich.
  • Diese Technik zur Erkennung von DDoS-Angriffen kann echte Layer-7-Sicherheitsdienste nutzen.

Nachteile von In-Line-DDoS-Schutz

  • Hohe Wahrscheinlichkeit von Fehlalarmen bei abnormaler IP-Nutzung.
  • Erhöhte Latenzzeit.

Out-of-Band-DDoS-Schutz

Out-of-Band-Tools verarbeiten passiv Paketdaten, um bestimmte Aspekte von Live-Datenströmen zu bewerten. IDS oder Intrusion Detection System ist eine Art von Out-of-Band-Schutzinstrument, das zur Überwachung und Filterung des Datenverkehrs eingesetzt wird.

Vorteile von Out-of-Band-DDoS-Schutz

  • Kann verwendet werden, um volumenbasierte Angriffe zu erkennen und abzuwehren.
  • Keine erhöhte Latenzzeit im Nicht-Angriffsmodus, da der Verkehr nicht untersucht wird.
  • Geringe Wahrscheinlichkeit von Fehlalarmen.

Nachteile von Out-of-Band-DDoS-Schutz

  • Langsame Erkennung.
  • Entschärfung dauert aufgrund von unbestimmten Netzwerkproblemen lange.
  • Kann sich nicht automatisch an die Schutzkonfiguration anpassen.
  • Langsame Layer-7-Sicherheitsdienste sind nicht möglich.
  • Erfordert zusätzliche Hardware wie Analysatoren und BGP-Tools.

Weitere Tipps

Im Vergleich zu 2020 ist die Zahl der DDoS-Angriffe im Jahr 2021 um 11% auf fast 5,4 Millionen gestiegen. Aufgrund dieser Zahlen ist es umso wichtiger zu verstehen, was die Motivation für DDoS-Angriffe ist und wie man sie rechtzeitig erkennt.

Hier finden Sie weitere nützliche Tipps, wie Sie einen DDoS-Angriff erkennen können.

Web-Scanner, WAF und Erkennung von Anomalien im Datenverkehr

Web-Scanner, Web Application Firewalls (WAF) und Tools zur Erkennung von DDoS-Angriffen durch Anomalien im Datenverkehr können dazu beitragen, Schäden zu reduzieren und Datenverkehrsprofile zu erstellen. Web-Scanner überwachen Webanwendungen regelmäßig, insbesondere nach einem Angriff, während WAF den Datenverkehr mithilfe von Algorithmen für maschinelles Lernen filtert.

Sie erkennen ungewöhnliche Aktivitäten, identifizieren und blockieren Bots und senden die Daten zur Analyse und für weitere Maßnahmen an ein Scrubbing-Center.

Integrieren Sie DDoS-Erkennung in Ihre Infrastruktur

Ihre IT-Struktur muss durch einen robusten Schutzschild gesichert sein, der volumetrische und protokollbasierte DDoS-Angriffe abwehrt. Ignorieren Sie niemals Software-Updates, da sie Code enthalten können, der neue Techniken von Bedrohungsakteuren bekämpfen kann.

Eine DDoS-resistente Infrastruktur verwaltet den übermäßigen Datenverkehr, wenn ein Server angegriffen wird. Solche Lösungen können den Datenverkehr an Scrubbing-Zentren weiterleiten, die Netzwerkanfragen prüfen, legitimen Datenverkehr filtern und Regeln und Richtlinien anwenden, um künftige Angriffe abzuwehren.

Fazit

DDoS-Angriffe überschwemmen Server mit bösartigem Datenverkehr und führen dazu, dass eine Website vorübergehend oder dauerhaft abgeschaltet wird. Unternehmen können solche Bedrohungen mit In-Line- oder Out-of-Band-Schutz-Tools verhindern und erkennen.

Sie können auch Warnmeldungen für zu viele unerwartete Anfragen von einem bestimmten Server einrichten. In diesem Fall können sie damit beginnen, die bösartigen Anfragen mit Hilfe von Tools zu filtern.

Web-Scanner und Firewalls können dazu beitragen, die Nachwirkungen eines Angriffs abzuschwächen oder ihn sogar von vornherein zu verhindern. Sie können ungewöhnliche netzwerkbezogene Aktivitäten beobachten und auch Warnungen ausgeben.

Mit einer DDoS-resistenten Infrastruktur und den richtigen Tools zur Erkennung von DDoS-Angriffen können solche Angriffe wirksam abgewehrt werden.