Ein DDoS-Angriff (Distributed Denial of Service) ist ein Versuch, einen Webserver oder ein Online-System zum Absturz zu bringen, indem er mit Daten überwältigt wird. DDoS-Angriffe können einfacher Unfug, Rache oder Hacktivismus sein und von geringfügigen Ärgernissen bis hin zu langfristigen Ausfallzeiten reichen, die zu Geschäftsverlusten führen.
Hacker trafen GitHub mit einem DDoS-Angriff von 1.35 Terabyte Daten pro Sekunde im Februar von 2018. Das ist ein massiver Angriff, und es ist zweifelhaft, dass es der letzte seiner Art sein wird.,
Holen Sie sich den kostenlosen Stift Testen Active Directory-Umgebungen eBook
Im Gegensatz zu Ransomware oder Angriffen von APT-Gruppen, die finanziell motiviert sind, sind DDoS-Angriffe störender und ärgerlicher. Wie schlimm kann es werden? Tausende von begeisterten Spielern konnten wegen eines DDoS-Angriffs nicht auf klassisches WoW kommen! Der Punkt ist, dass Angreifer mit einem DDoS-Angriff kein Geld verdienen – sie tun es einfach, um Schmerzen zu verursachen.,
- DoS vs DDoS
- Auswirkungen auf die Sicherheit
- Arten von Angriffen
- Prävention
- DDoS-Angriffe heute
- DDoS-Angriff FAQ
Wie funktioniert ein DDoS-Angriff?
DDoS – Angriffe werden am häufigsten von Botnetzen ausgeführt –einer großen Gruppe verteilter Computer, die miteinander zusammenarbeiten-und gleichzeitig eine Website oder einen Dienstanbieter mit Datenanforderungen spammen.
Angreifer verwenden Malware oder nicht gepatchte Sicherheitslücken, um Command and Control (C2) – Software auf den Systemen des Benutzers zu installieren und ein Botnetz zu erstellen., DDoS-Angriffe basieren auf einer hohen Anzahl von Computern im Botnetz, um den gewünschten Effekt zu erzielen, und der einfachste und billigste Weg, die Kontrolle über so viele Computer zu erlangen, besteht darin, Exploits zu nutzen.
Der DYNDNS-Angriff nutzte WIFI-Kameras mit Standardkennwörtern aus, um ein riesiges Botnetz zu erstellen. Sobald sie das Botnetz bereit haben, senden die Angreifer den Startbefehl an alle ihre Botnetzknoten, und die Botnetze senden dann ihre programmierten Anforderungen an den Zielserver., Wenn der Angriff die äußeren Abwehrkräfte überschreitet, überwältigt er schnell die meisten Systeme, verursacht Serviceausfälle und stürzt in einigen Fällen den Server ab. Das Endergebnis eines DDoS-Angriffs ist in erster Linie ein Produktivitätsverlust oder eine Serviceunterbrechung – Kunden können keine Website sehen.
Während das gutartig klingen mag, betrugen die Kosten eines DDoS-Angriffs im Jahr 2017 durchschnittlich 2.5 Millionen US-Dollar. Kaspersky berichtet, dass DDoS-Angriffe kleine Unternehmen $120.000 und Unternehmen $2.000.000 kosten. Hacker greifen DDoS-Angriffe für alles an, was von kindlichen Streichen über Rache an einem Unternehmen bis hin zu politischem Aktivismus reicht.,
DDoS-Angriffe sind nach dem Computer Fraud and Abuse Act illegal. Das Starten eines DDoS-Angriffs auf ein Netzwerk ohne Erlaubnis kostet Sie bis zu 10 Jahre Gefängnis und bis zu 500,000 US-Dollar Geldstrafe.
Was ist der Unterschied zwischen einem DoS-und einem DDoS-Angriff?
Ein DOS-Angriff (Denial of Service) umfasst viele Arten von Angriffen, die alle Dienste stören sollen. Zusätzlich zu DDoS können Sie Application Layer DoS, Advanced Persistent DoS und DoS als Dienst verwenden. Unternehmen werden DoS als Service nutzen, um ihre Netzwerke zu Stresstest.,
Kurz gesagt, DDoS ist eine Art DoS-Angriff – DoS kann jedoch auch bedeuten, dass der Angreifer einen einzelnen Knoten verwendet hat, um den Angriff zu initiieren, anstatt ein Botnetz zu verwenden. Beide Definitionen sind korrekt.
Was bedeutet ein DDoS-Angriff für meine Sicherheit?
Sie müssen einen DDoS-Angriff auf Ihre Systeme vorbereiten und planen. Sie müssen überwachen, Warnungen generieren und einen laufenden DDoS-Angriff schnell diagnostizieren. Der nächste Schritt besteht darin, den Angriff schnell herunterzufahren, ohne Ihre Benutzer zu beeinträchtigen., Sie können die IP-Adressen mithilfe Ihrer Firewall der nächsten Generation blockieren oder eingehenden Datenverkehr zum Zielsystem schließen und ein Failover für ein Backup durchführen. Es gibt andere Antwortpläne, die Sie implementieren können, stellen Sie sicher, dass Sie einen haben.
Häufige Arten von DDoS-Angriffen
Es gibt verschiedene Möglichkeiten, wie Angreifer einen DDoS-Angriff verewigen. Hier sind einige der bekanntesten:
Application Layer Attacks
Application Layer DDoS-Angriffe zielen darauf ab, die Ressourcen des Ziels zu erschöpfen und den Zugriff auf die Website oder den Dienst des Ziels zu unterbrechen., Angreifer laden die Bots mit einer komplizierten Anforderung, die den Zielserver beim Antworten belastet. Die Anforderung erfordert möglicherweise Datenbankzugriff oder große Downloads. Wenn das Ziel in kurzer Zeit mehrere Millionen dieser Anfragen erhält, kann es sehr schnell überwältigt und entweder zu einem Crawl verlangsamt oder vollständig gesperrt werden.
Ein HTTP-Flood-Angriff ist beispielsweise ein Angriff auf die Anwendungsebene, der auf einen Webserver auf dem Ziel abzielt und viele schnelle HTTP-Anforderungen verwendet, um den Server zum Stillstand zu bringen. Stellen Sie sich vor, Sie drücken die Refresh-Taste im Schnellfeuermodus auf Ihrem Gamecontroller., Diese Art von Datenverkehr von vielen Tausenden von Computern auf einmal wird den Webserver schnell ertränken.
Protokollangriffe
Protokoll-DDoS-Angriffe zielen auf die Netzwerkschicht der Zielsysteme ab. Ihr Ziel ist es, die Tablespaces der Kernnetzwerkdienste, der Firewall oder des Load Balancers zu überwältigen, die Anforderungen an das Ziel weiterleiten.
Im Allgemeinen arbeiten Netzwerkdienste aus einer First-in, First-out (FIFO) Warteschlange. Die erste Anforderung kommt herein, der Computer verarbeitet die Anforderung, und dann wird die nächste Anforderung in der Warteschlange usw. abgerufen., Jetzt gibt es eine begrenzte Anzahl von Stellen in dieser Warteschlange, und bei einem DDoS-Angriff könnte die Warteschlange so groß werden, dass der Computer keine Ressourcen für die erste Anforderung hat.
Ein SYN-flood-Angriff ist ein bestimmtes Protokoll angreifen. In einer Standard-TCP / IP-Netzwerktransaktion gibt es einen 3-Wege-Handshake. Sie sind das SYN, das ACK und das SYN-ACK. Das SYN ist der erste Teil, bei dem es sich um eine Anfrage handelt, das ACK ist die Antwort des Ziels und das SYN-ACK ist der ursprüngliche Anforderer, der sagt: „Danke, ich habe die Informationen erhalten, die ich angefordert habe.,“Bei einem SYN-Flood-Angriff erstellen die Angreifer SYN-Pakete mit gefälschten IP-Adressen. Das Ziel sendet dann einen ACK an die Dummy-Adresse, die niemals antwortet, und es sitzt dann dort und wartet auf all diese Antworten auf Time Out, was wiederum die Ressourcen erschöpft, um all diese gefälschten Transaktionen zu verarbeiten.
Volumetrische Angriffe
Ziel eines volumetrischen Angriffs ist es, das Botnetz zu verwenden, um eine große Menge an Datenverkehr zu generieren und die Arbeiten am Ziel zu verstopfen. Denken Sie an wie ein HTTP-Flood-Angriff, aber mit einer zusätzlichen exponentiellen Antwortkomponente., Wenn Sie und 20 Ihrer Freunde beispielsweise alle dieselbe Pizzeria angerufen und 50 Kuchen gleichzeitig bestellt haben, kann diese Pizzeria diese Anforderungen nicht erfüllen. Volumetrische Angriffe arbeiten nach dem gleichen Prinzip. Sie fordern etwas vom Ziel an, das die Größe der Antwort erheblich erhöht, und die Menge an Datenverkehr explodiert und verstopft den Server.
DNS-Verstärkung ist eine Art volumetrischer Angriff., In diesem Fall greifen sie den DNS-Server direkt an und fordern eine große Datenmenge vom DNS-Server an, was den DNS-Server zum Erliegen bringen und jeden lähmen kann, der diesen DNS-Server für Namensauflösungsdienste verwendet.
Wie können DDoS-Angriffe verhindert werden?
Wie hat GitHub diesen massiven DDoS-Angriff überlebt? Planung und Vorbereitung, natürlich. Nach 10 Minuten intermittierender Ausfälle aktivierten die GitHub-Server ihren DDoS-Minderungsdienst., Der Minderungsdienst leitete den eingehenden Datenverkehr um und scrubbte die schädlichen Pakete, und etwa 10 Minuten später gaben die Angreifer auf.
Zusätzlich zur Bezahlung von DDoS-Minderungsdiensten von Unternehmen wie Cloudflare und Akamai können Sie Ihre Standard-Endpunktsicherheitsmaßnahmen einsetzen. Patchen Sie Ihre Server, halten Sie Ihre Memcached-Server vom offenen Internet fern und trainieren Sie Ihre Benutzer, Phishing-Angriffe zu erkennen.
Sie können das Black Hole Routing während eines DDoS-Angriffs aktivieren, um den gesamten Datenverkehr in den Abgrund zu senden., Sie können eine Ratenbegrenzung einrichten, um die Anzahl der Anforderungen zu begrenzen, die ein Server in kurzer Zeit erhält. Eine ordnungsgemäß konfigurierte Firewall kann auch Ihre Server schützen.
Varonis überwacht Ihre DNS, VPN, Proxys und Daten, um Anzeichen eines bevorstehenden DDoS-Angriffs auf Ihr Unternehmensnetzwerk zu erkennen. Varonis verfolgt Verhaltensmuster und generiert Warnungen, wenn das aktuelle Verhalten mit einem Bedrohungsmodell übereinstimmt oder vom Standardverhalten abweicht. Dies kann Malware-Botnet-Angriffe oder signifikante Erhöhungen des Netzwerkverkehrs umfassen, die auf einen DDoS-Angriff hinweisen.,
DDoS-Angriffe Heute
Genau wie alles andere im Computing entwickeln sich DDoS-Angriffe und werden für das Geschäft zerstörerischer. Die Angriffsgrößen nehmen zu und steigen von 150 Anfragen pro Sekunde in den 1990er Jahren – was einen Server dieser Ära nach unten bringen würde – auf den jüngsten DYNDNS-Angriff und GitHub-Angriff bei 1.2 TBs bzw. Das Ziel bei beiden Angriffen war es, zwei wichtige Produktivitätsquellen auf der ganzen Welt zu stören.
Diese Angriffe verwendeten neue Techniken, um ihre große Bandbreite zu erreichen., Der Dyn-Angriff verwendete einen Exploit, der in Internet of Things (IoT) – Geräten gefunden wurde, um ein Botnetz namens Mirai Botnet Attack zu erstellen. Mirai verwendete offene Telnet-Ports und Standardkennwörter, um WiFi-fähige Kameras zu übernehmen, um den Angriff auszuführen. Dieser Angriff war ein kindischer Streich, stellte jedoch eine große Sicherheitslücke dar, die mit der Verbreitung der IoT-Geräte einhergeht.
Der GitHub-Angriff nutzte die vielen tausend Server aus, auf denen Memcached im offenen Internet ausgeführt wird, einem Open-Source-Speicher-Caching-System., Memcached reagiert glücklich mit großen Datenmengen auf einfache Anfragen, so dass diese Server im offenen Internet zu verlassen ist ein definitives Nein-Nein.
Beide Angriffe weisen ein erhebliches Risiko zukünftiger Exploits auf, insbesondere wenn das IoT-Universum weiter wächst. Wie lustig wäre es für Ihren Kühlschrank, Teil eines Botnetzes zu sein? Auf der hellen Seite wurde GitHub nicht einmal durch den Angriff gestürzt.
Darüber hinaus waren DDoS-Angriffe noch nie einfacher auszuführen., Mit mehreren verfügbaren DDoS-as-a-Service-Optionen können böswillige Akteure eine geringe Gebühr zahlen, um ein Botnetz infizierter Computer zu „mieten“, um einen DDoS-Angriff gegen ihr Ziel ihrer Wahl auszuführen.
Im September 2019 trafen Angreifer sowohl Wikipedia als auch Classic World of Warcraft mit DDoS-Angriffen. Derzeit gibt es keinen Hinweis darauf, dass diese Angriffe eine neue Technologie sind, aber bleiben Sie auf Updates eingestellt.
DDoS Attack FAQ
Ein kurzer Blick auf die Antworten auf häufige Fragen, die Menschen über DDoS-Angriffe haben.
F: Was passiert bei einem DDoS-Angriff?,
A: Während eines DDoS – Angriffs spammen die verteilten Computer – Botnet-das Ziel mit möglichst vielen Datenanfragen.
F: Sind DDoS-Angriffe illegal?
A: Ja, es ist illegal, DDoS-Techniken zu verwenden, um ein Ziel ohne Erlaubnis zu stören. Es ist eine gute Praxis, einen DDoS-Drill einzurichten, damit Sie Ihren Incident Response Plan für DDoS-Angriffe üben können, bei dem es sich um eine legale Verwendung von DDoS handelt.
F: Welcher Kommunikationskanal wird bei einem DDoS-Angriff üblicherweise zur Orchestrierung des Angriffs verwendet?
A: HTTP -, DNS-und TCP/IP-Anforderungen sind gängige Protokolle für DDoS-Angriffe.