Was ist ein DDoS-Angriff?

Der übliche Zweck von Cyberkriminalität ist entweder Geld zu verdienen oder ein Unternehmen zu diffamieren; keines von beiden ist akzeptabel. DDoS-Angriffe werden jedoch häufig ausgeführt, um ein Zeichen zu setzen, einen Wettbewerber zu schädigen oder in einigen Fällen den Betrieb lahmzulegen, indem Malware oder Ransomware installiert wird.

Die Zahl der DDoS-Angriffe nimmt in letzter Zeit zu; daher müssen Unternehmen ihre Mitarbeiter schulen, um solche Angriffe zu erkennen und zu verhindern. DDoS-Angreifer haben es in der Regel auf Server, Websites und andere Netzwerkressourcen renommierter öffentlicher und privater Organisationen abgesehen.

Lesen Sie weiter, um zu verstehen, wie ein DDoS- und DDos-Botnet-Angriff funktioniert, welche Tools verwendet werden, welche Branchen betroffen sind, wie lange die Angriffe dauern und welche Angriffsarten es gibt.

Sind Sie bereit? Dann fangen wir an.

Was ist ein DDoS-Angriff?

Wenn Sie wissen, was ein DDoS-Angriff ist, können Sie ihn mit den richtigen Sicherheitsmaßnahmen verhindern. Bei einem DDoS-Angriff (Distributed Denial-of-Service) überfluten Bedrohungsakteure einen Server mit gefälschtem Datenverkehr, so dass dieser abgeschaltet wird. Ein Server wird mit mehreren kompromittierten Systemen als Verkehrsquelle überflutet, um zu verhindern, dass Nutzer die Website besuchen oder den Online-Dienst nutzen.

Im Februar 2021 störten Angreifer mit einem DDoS-Angriff den Betrieb der britischen Krypto-Börse EXMO für fast fünf Stunden. Das Unternehmen teilte mit, dass sein Volumen nach dem Vorfall um 4,9% sank. Statistiken wie diese machen es für Unternehmen noch wichtiger, ihre Mitarbeiter darüber aufzuklären, was ein DDoS-Angriff ist und wie er funktioniert.

Wie funktioniert ein DDoS-Angriff?

DDoS-Angriffe werden versucht, indem Netzwerke von Geräten (wie Computer und IoT-Geräte) mit aktiven Internetverbindungen ausgenutzt werden. Sie werden mit Malware wie Viren und Trojanern infiziert, um den Hackern den Fernzugriff zu ermöglichen. Diese verseuchten Geräte werden als Bots bezeichnet, und eine Gruppe von Bots wird als Botnets bezeichnet.

Das Hauptmotiv ist die Einrichtung eines Botnets, damit die Angreifer den einzelnen Bots Anweisungen für verschiedene Arten von DDoS-Angriffen erteilen können. Sobald sie eingerichtet sind, weisen die Hacker die Botnets an, den anvisierten Server mit bösartigem Datenverkehr zu überfluten und seine Funktionsweise zu blockieren, so dass er abgeschaltet wird.

Ein DDoS-Angriff ist erfolgreich, weil Bots legitime Geräte sind und es schwierig ist, sie vom normalen Datenverkehr zu unterscheiden.

DDoS- vs. DoS-Angriffe: Was ist der Unterschied?

Die Begriffe DDoS- und DoS-Angriffe werden oft synonym verwendet, sind aber nicht dasselbe. Ein DDoS-Angriff ist eine Unterkategorie eines DoS-Angriffs (Denial-of-Service).

Im Abschnitt „Was ist ein DDoS-Angriff“ haben wir bereits erörtert, wie Cyber-Akteure mehrere infizierte Geräte oder Botnets verwenden, um einen Server mit einem DDoS-Angriff zu treffen. Bei einem DoS-Angriff wird jedoch nur ein einziger Computer verwendet, um den Datenverkehr mit gefälschten Anfragen zu überlasten oder eine Systemschwachstelle zu missbrauchen. Im Allgemeinen besteht das Ziel darin, Serverressourcen wie RAM und CPU zu erschöpfen.

Sie unterscheiden sich auch in der Art der Ausführung, da ein DoS-Angriff mit selbstgebauten Skripten oder DoS-Tools durchgeführt wird, während ein DDoS-Angriff über Botnets versucht wird.

Was ist die Motivation hinter DDoS-Angriffen?

Um DDoS-Angriffe von vornherein zu verhindern, müssen Sie die Absichten der Cyber-Akteure kennen und wissen, was sie antreibt. Es ist offensichtlich, dass die meisten DDoS-Angriffe zu Ransomware-Angriffen werden, bei denen sich Hacker Zugang zu einem Netzwerk verschaffen und Daten oder Codedateien verschlüsseln. Sie fordern hohe Lösegelder im Austausch für einen Entschlüsselungsschlüssel und drohen, die Daten zu löschen oder zu verändern, wenn sie nicht bezahlt werden.

Ein DDoS-Angriff kann jedoch auch zu politischen oder religiösen Zwecken erfolgen. Hacker könnten versuchen, Militär oder Zivilisten während politischer Auseinandersetzungen zu verwirren.

DDoS-Angriffe sind in der Geschäftswelt weit verbreitet. Rivalisierende Marken setzen oft Taktiken ein, um das öffentliche Image eines Wettbewerbers zu beschädigen. Hacktivisten verwenden handelsübliche Tools, um ihre Missbilligung über fast alles zum Ausdruck zu bringen, von Regierungsentscheidungen über religiöse Überzeugungen bis hin zu Geschäftsankündigungen und dergleichen.

Bei einem DDoS-Angriff verwendete Tools

Bei einem DDoS-Angriff setzen die Cyber-Akteure verschiedene Tools ein, darunter die folgenden:

  • Dienste
  • Netzwerkgeräte
  • Botnets
  • IoT-Geräte
  • KI
  • Die Ausnutzung von veralteten Geräten

Auf welche Branchen zielen DDoS-Angreifer ab?

Nachdem Sie nun wissen, was ein DDoS-Angriff ist und wie er funktioniert, ist es an der Zeit herauszufinden, welche Branchen am häufigsten Ziel von DDoS-Angriffen sind.

Gaming

Jedes Unternehmen, das mit Spielen zu tun hat, ist anfällig für DDoS-Angriffe von Spielern, die sich böswillig einen Wettbewerbsvorteil verschaffen wollen. Sie können auch versuchen, vertrauliche Informationen über rivalisierende Spieler zu erhalten, um damit emotionalen oder finanziellen Schaden anzurichten. 22% aller DDoS-Angriffe zwischen 2020 und 2021 zielten auf die Gaming-Branche ab.

Software und Technologie

Unternehmen, die sich mit SaaS- und Cloud-basierten Technologien befassen, sind häufig im Visier von DDoS-Angriffsexperten. Fast 9% der DDoS-Angriffe zwischen 2020 und 2021 zielten darauf ab, die Software- und Technologiebranche mit DNS- und NTP-Reflexionstechniken zu schädigen.

Medien und Unterhaltung

Obwohl die Zahl der Medien- und Unterhaltungsunternehmen, die Ziel von DDoS-Angriffen sind, etwas zurückgegangen ist, bleibt diese Branche eine der am stärksten gefährdeten. Solche Angriffe verschaffen den Hackern mehr Sichtbarkeit, da die Medien über die Kampagnen berichten und ihre Reichweite vergrößern.

Finanzdienstleistungen

Bösewichte haben es schon immer auf Banken, Krypto-Handelsplattformen und andere Finanzorganisationen abgesehen, weshalb fast 6% aller DDoS-Angriffe auf diese Branche abzielen.

Im März 2012 traf eine Welle von DDoS-Angriffen die Bank of America, JPMorgan Chase, U.S. Bank, Citigroup, Wells Fargo und PNC Bank. Die Hacktivistengruppe Izz ad-Din al-Qassam Cyber Fighters soll den Angriff durchgeführt und mehr als 60 GB Datenverkehr pro Sekunde erzeugt haben.

Internet und Telekommunikation

DDoS-Angriffe in der Internet- und Telekommunikationsbranche sind in erster Linie auf geschäftliche Rivalität zurückzuführen. Die Angreifer setzen Taktiken ein, um den Datenverkehr im Netz ihres Wettbewerbers zu überwältigen, so dass dieses vorübergehend abgeschaltet wird. Dadurch entsteht bei den Nutzern ein negatives Image, das sie dazu veranlasst, zu einem anderen Dienstanbieter zu wechseln.

Wie lange dauern DDoS-Angriffe?

Es gibt keine bestimmte Zeitspanne für einen DDoS-Angriff, da sie von der Zielsetzung und der verwendeten Technik abhängt. Eine langfristige Episode dauert Stunden oder Tage, während ein kurzfristiger DDoS-Angriff nur einige Minuten oder Sekunden dauert.

Arten von DDoS-Angriffen

Verschiedene Hacker greifen je nach ihren Zielen unterschiedliche Elemente eines Netzwerks an. Es ist wichtig zu wissen, dass die Internationale Organisation für Normung sieben Schichten im OSI-Modell (Open System Interconnection) entwickelt hat.

Dabei handelt es sich im Grunde um einen Rahmen, der die Aufgaben und Zuständigkeiten des Netzwerksystems erklärt und es verschiedenen Computern ermöglicht, miteinander zu kommunizieren.

Schauen wir uns also die Arten von DDoS-Angriffen und deren Ausführungsmethoden an.

Angriffe auf der Anwendungsebene

Bei einem Angriff auf der Anwendungsebene zwingt der DDoS-Angreifer den Server des Opfers, mehr als den üblichen Datenverkehr zuzulassen. Er wird auch als Layer-7-DDoS-Angriff bezeichnet und zielt auf die siebte Schicht ab, auf der HTTP-Antworten erfolgen. Die angegriffene Website kollabiert aufgrund zu vieler HTTPS-Anfragen.

Protokoll-Angriffe

Ein Protokoll-Angriff ist eine ressourcenverzehrende Methode, die die Kapazität von Webservern beansprucht. Dabei werden auch Schwachstellen in den Schichten 3 und 4 des OSI-Protokolls aufgedeckt, um das Ziel unzugänglich zu machen.

Volumetrische Angriffe

Volumetrische Angriffe verstopfen ein Netzwerk, indem sie die gesamte verfügbare Bandbreite durch umfangreiche, über Botnets gesendete Anfragen verbrauchen. Das beste Beispiel dafür ist die DNS-Verstärkung, bei der Hacker die Adresse eines Opfers fälschen und eine DNS-Namensabfrage starten. Die Antwort des DNS-Servers wird dann an den Server des Opfers gesendet, wodurch die ursprüngliche Anfrage des Angreifers verstärkt wird.

Wie erkennt man einen DDoS-Angriff?

Konzentrieren wir uns darauf, zu lernen, wie man einen DDoS-Angriff erkennt, um die Folgen zu mildern. Es ist schwierig, einen DDoS-Angriff zu erkennen, da die Symptome typische Erscheinungen wie eine verlangsamte Leistung oder eine Spitze im Netzwerkverkehr imitieren.

Wenn Sie also nicht zu viele Beschwerden von Nutzern erhalten, werden Sie nichts davon mitbekommen. Nichtsdestotrotz gibt es einige Anzeichen für einen DDoS-Angriff:

  • Es werden zu viele Anfragen von einer IP-Adresse oder einem IP-Bereich empfangen.
  • Nutzer, die den Fehler 503 melden, weisen darauf hin, dass ein Server nicht in der Lage ist, die Anfrage zu bearbeiten.
  • TTL (Time to Live) läuft ab. TTL ist die Zeit, die ein Paket oder Daten auf einem Computer oder im Netzwerk verbleiben sollten, bevor sie verworfen werden.

Bewährte Praktiken zur Reaktion auf DDoS-Angriffe

Automatisierte Ressourcen sind die einzige Möglichkeit, solche Angriffe zu erkennen, da eine stündliche manuelle Überprüfung der Protokolle mühsam ist. Automatisierte Lösungen ermöglichen es Ihrem Sicherheitsteam, alle gefährdeten Bereiche effizient zu überwachen. Hier sind einige weitere Präventivmaßnahmen:

  • Erstellung oder Änderung von Richtlinien: Entwerfen Sie Richtlinien und legen Sie Sanktionen für Verstöße gegen diese fest. Wenn Sie noch mit einer älteren Version der Richtlinie arbeiten, ist es an der Zeit, diese zu überarbeiten.
  • Identifizieren Sie kritische Dienste: Kritische Dienste sind solche, die den Geschäftsbetrieb stören können, z. B. Datenbanken und Websites. Die Identifizierung dieser Dienste kann dabei helfen, fundierte Entscheidungen über Reaktionen zu treffen.
  • CDN-Informationssicherung: Ein CDN oder Content-Delivery-Network ist eine Gruppe von geografisch verteilten Servern, die für eine schnellere Bereitstellung von Webinhalten verantwortlich sind. Die Sicherung geschäftskritischer Daten und ein CDN verkürzen die Reaktions- und Wiederherstellungszeit.
  • Mehrere ISP-Verbindungen: Mit mehreren Internetanbietern sind Sie vorbereitet, falls einer von ihnen mit dem Datenverkehr überfordert ist oder einen wichtigen Filterdienst nicht rechtzeitig bereitstellen kann.
  • Server- und Endpunkt-Backup: Sichern Sie Serverressourcen, Workstations und andere Geräte für die ganzheitliche Sicherheit Ihrer Geschäftsdaten.
  • Risikoanalyse: Erstellen Sie ein DDoS-Vorbereitungsschema, um Schwachstellen zu erkennen, falls Hacker eine Ressource kompromittieren.
  • Identifizierung und Zuweisung von Verantwortlichkeiten: Weisen Sie Verantwortlichkeiten für die DDoS-Reaktion während oder nach einem Angriff zu.
  • Schulungen: Klären Sie Ihre Mitarbeiter darüber auf, wie sie die Risiken eines DDoS-Angriffs verhindern und abschwächen können. Regelmäßige Schulungen können ihnen helfen, ein Bewusstsein dafür zu entwickeln, wie sie auf einen realen Angriff reagieren können.

Was sind DDoS-Botnets?

Ein Botnet ist eine Gruppe von Computern, Mobilgeräten oder IoT-Geräten, die mit Malware infiziert sind und von Angreifern gekapert werden. Die Malware ermöglicht es ihnen, aus der Ferne auf Computer zuzugreifen und deren Betrieb ohne das Wissen und die Einwilligung der Nutzer zu stören.

Botnets helfen böswilligen Akteuren, DDoS-Angriffe durchzuführen, Malware einzuschleusen, wichtige Daten abzufangen und zu exportieren, Ransomware-Angriffe durchzuführen, Spam zu versenden usw. Sie sind nicht immer sichtbar oder auffindbar und haben auch keine direkten Auswirkungen auf die Systeme.

Wie funktionieren DDoS-Angriffe über Botnets?

Ein Bot-Herder oder Botmaster steuert DDoS-Botnets mit Hilfe von Zwischenrechnern, die als Command-and-Control- oder C&C-Server bezeichnet werden. Sie stellen Verbindungen her und tauschen Nachrichten über HTTP-Websites, IRC-Protokolle und bekannte Internetdienste wie Facebook und Instagram aus. Dies wird als Peer-to-Peer- oder P2P-Botnet bezeichnet.

Da mehrere Personen auf ein P2P-Netz zugreifen und es kontrollieren können, kann ein DDoS-Angriff von überall und von jedem ausgehen. Diese Botnets können auf Online-Schwarzmärkten für nur 5 US-Dollar erworben werden.

Berühmte DDoS-Botnets

Hier sind einige bekannte DDoS-Botnets, die weiter wachsen und Systeme schädigen:

  • Mirai: Die Mirai-Malware zielt auf Geräte wie Heimrouter und intelligente IP-Kameras als Teil eines Zombie-Netzwerks von Bots ab, die massive DDoS-Angriffe ausführen.
  • Billgates: Ein Botnet, das dem Cyberangreifer ChinaZ zugeschrieben wird und auf Windows- und Linux-Systeme abzielt.
  • Nitol: Ein Botnet, das durch das Vorladen von Malware auf PCs erstellt wurde, die in China gebaut wurden, mit vielen Varianten, die denselben Code wie andere in China ansässige Botnets teilen.
  • IMDDOS undAVzhan: IMDDOS ist ein kommerzieller DDoS-Angriffsdienst, der auf einer in China gehosteten Website zum Verkauf angeboten wird. AVzhan ist eine verwandte Malware-Familie mit ähnlichen Merkmalen
  • The Storm Botnet: Ein massives Botnet, das 2007 mit dem Storm Worm, einem per E-Mail verbreiteten Trojanervirus, erstellt wurde. Es wurde beobachtet, wie es sich mit DDoS-Gegenangriffen verteidigte.
  • MrBlack: Ein Botnet, das sich über 109 Länder erstreckt und auf Linux-Betriebssysteme abzielt. Es breitet sich über den Trojaner Linux Spike aus, der auf Heimroutern (insbesondere solchen mit Standard-Anmeldedaten) installiert ist.
  • The Cutwail Botnet: Ein Botnet, das gemietet und für bösartige Spam-E-Mail-Kampagnen verwendet werden kann. Es infiziert Rechner unter Windows über einen Trojaner namens Pushdo. Cutwail enthält schätzungsweise bis zu 2 Millionen Zombie-PCs, die in der Lage sind, 74 Milliarden Spam-Nachrichten pro Tag zu versenden.

Die berüchtigtsten DDoS-Angriffe der Geschichte

DDoS-Angriffe sind eine globale Bedrohung. Hier sind die berüchtigtsten DDoS-Angriffe aufgeführt. 

Der Google-Angriff, September 2017

Am 16. Oktober 2020 informierte die Threat Analysis Group von Google die Nutzer über Hacker, die ihre Taktik aus politischen Gründen ändern. Google berichtete auch, dass es einen rekordverdächtigen UD-Verstärkungsangriff unter Verwendung mehrerer chinesischer ISPs erlitten hat. Der Angriff fand im September 2017 statt, dauerte sechs Monate und betraf Tausende von Google-IP-Adressen, die verschiedene Netzwerke nutzten, um 2,5 TBit/s an Datenverkehr zu fälschen.

Der Estland-Angriff, 27. April 2007

Diese Reihe von Angriffen erfolgte als Reaktion auf die Entfernung eines sowjetischen Kriegsdenkmals. Die Angreifer nutzten verschiedene Techniken wie Ping-Floods und die Verbreitung von Spam, um ihre Unzufriedenheit mit der estnischen Regierung zu zeigen. Ziel der Angriffe waren öffentliche und private Organisationen, darunter das Parlament, Verteidigungsministerien, Banken, Rundfunkanstalten usw.

Konstantin Goloskokov, ein Kommissar der kremlfreundlichen Jugendbewegung Nashi in Moldawien und Transnistrien, übernahm die Verantwortung für die Beteiligung an den dreiwöchigen Angriffen. Eines der Mitglieder nannte dies eine rücksichtslose Art und Weise, Dissens auszudrücken.

Die Mirai-IoT-Botnet-Angriffe, 2016

Brian Krebs, ein Experte für Cybersicherheit, wurde 2016 Opfer eines DDoS-Angriffs. Seine Blog-Website wurde von einem Mirai-Botnet angegriffen, das 600.000 ausgenutzte IoT-Geräte umfasste. Seine Blog-Site wurde in der Vergangenheit bereits mehrfach angegriffen, aber dieser Angriff hatte aufgrund seiner beispiellosen Natur dreifache Auswirkungen.

Das Mirai-Botnet traf auch OVH, den größten Hosting-Anbieter in Europa. Es richtete sich gegen einen einzigen seiner Nutzer, wobei 145.000 Botnets Anfragen mit einer Geschwindigkeit von 1,1 Terabit pro Sekunde erzeugten. Auch das Unternehmen Dyn, das für die Verwaltung der Internetleistung zuständig ist, war von dem Angriff betroffen, der seine wichtigsten Websites wie Netflix, PayPal und Amazon überlastete.

Die Republik Georgien, 20. Juli 2008

Wochen vor dem Einmarsch Russlands wurde die Republik Georgien Ziel eines DDoS-Angriffs, der sich gegen den georgischen Präsidenten richtete. Mehrere Websites wurden vorübergehend abgeschaltet, um die Kommunikation mit georgischen Sympathisanten zu stören.

Fazit

Ein erfolgreicher DDoS-Angriff kann ein Unternehmen nachhaltig gefährden. Die Bedrohungsakteure überschwemmen Netzwerke, Websites und Online-Dienste, so dass diese abgeschaltet und unzugänglich werden. Die üblichen Ziele sind die Erzielung finanzieller Gewinne, die Erpressung von Organisationen, die Abgabe politischer Erklärungen usw.

Implementieren Sie Abwehrtechniken und bewährte Reaktionsverfahren, um DDoS-Angriffe zu verhindern und sich schnell und effizient von ihnen zu erholen.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle, die Mailservern und ESPs nachweisen,...

Read More
Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Der Austausch von E-Mails ist ein unverzichtbarer Bestandteil eines jeden modernen Unternehmens. Sie werden...

Read More
Sieben Beispiele für Spear-Phishing-Angriffe

Sieben Beispiele für Spear-Phishing-Angriffe

Das Jahr 2022 ist noch nicht vorbei, aber es wurden bereits über 255 Millionen...

Read More