Was ist ein Distributed-Denial-of-Service-Angriff (DDoS)?

Ein DDoS-Angriff beeinträchtigt die Infrastruktur, indem er die Zielressource mit Datenverkehr überflutet und sie bis zur Funktionsunfähigkeit überlastet oder eine speziell gestaltete Nachricht sendet, die die Anwendungsleistung beeinträchtigt. DDoS-Angriffe können auf die Netzwerkinfrastruktur (z. B. Statustabellen der Firewall) sowie auf Anwendungsressourcen (z. B. Server und CPUs) abzielen. DDoS-Angriffe können schwerwiegende Folgen haben: Sie beeinträchtigen die Verfügbarkeit und Integrität von Online-Diensten und verursachen erhebliche Störungen, die zu finanziellen Verlusten und Reputationsschäden führen können. Diese Angriffe können auch als Ablenkungsmanöver genutzt werden, um Sicherheits- und Risikoteams von der Datenexfiltration abzulenken. 

Ein DDoS-Angriff ist so, als würden Tausende von Menschen gleichzeitig versuchen, durch eine Tür zu drängen. Dies hat zur Folge, dass niemand durch die Tür gelangen kann, auch nicht die Menschen, die einen legitimen Grund haben, auf die andere Seite zu gelangen. Oder der Angriff kann so erfolgen, dass eine einzelne Person mit einem Schlüssel die Tür nach dem Durchgehen abschließt und so verhindert, dass jemand anderes hineinkommt. 

Angriffe dieser Art werden normalerweise über eine große Anzahl von Clientcomputern und anderen mit dem Netzwerk verbundenen Geräten koordiniert. Diese vom Angreifer kontrollierten Ressourcen wurden möglicherweise zu diesem ausdrücklichen Zweck eingerichtet oder sind wahrscheinlicher mit Schadsoftware infiziert, die es dem Angreifer ermöglicht, das Gerät fernzusteuern und für Angriffe zu nutzen.

Da der Angriff aus so vielen verschiedenen Quellen kommt, kann es äußerst schwierig sein, ihn abzuwehren. Stellen Sie sich noch einmal die Menschenmenge vor, die den Eingang vollstopft. Es hilft nichts, einfach nur einer unrechtmäßigen Person (oder böswilligen Datenverkehrsquelle) den Durchtritt zu verwehren, da es Tausende andere gibt, die ihren Platz einnehmen können. Fortschritte bei Automatisierungsframeworks ermöglichen Angriffen das Fälschen von IP-Adressen, autonomen Systemnummern (ASNs), Browser-Benutzeragenten und anderen Telemetriedaten, um herkömmliche Sicherheitskontrollen zu umgehen. 

Es ist wichtig, zwischen Distributed Denial of Service (DDoS)- und Denial of Service (DoS)-Angriffen zu unterscheiden. Bei beiden handelt es sich um Cyberangriffe, deren Ziel darin besteht, die Verfügbarkeit eines Zielsystems oder -netzwerks zu stören. Sie unterscheiden sich jedoch in der Art und Weise, wie die Angriffe ausgeführt werden. 

Ein DoS-Angriff wird typischerweise von einer einzigen Quelle oder einer kleinen Anzahl von Quellen gestartet, wobei der Angreifer das Zielsystem oder -netzwerk mit einer Flut von Datenverkehr oder Anfragen überlastet und dessen Kapazität zur Verarbeitung übersteigt.

Bei DDoS-Angriffen hingegen sind mehrere Quellen oder ein Botnetz beteiligt, also ein Netzwerk kompromittierter Computer oder Geräte unter der Kontrolle des Angreifers. Der Angreifer koordiniert diese verschiedenen Quellen, um den Angriff gleichzeitig gegen das Ziel zu starten. DDoS-Angriffe sind im Allgemeinen schwieriger abzuwehren als DoS-Angriffe, da sie aus mehreren Quellen stammen und es daher schwierig ist, legitimen von bösartigem Datenverkehr zu unterscheiden.

Während sich die DDoS-Bedrohungslandschaft ständig weiterentwickelt, hat F5 festgestellt, dass die meisten Angriffe in die folgenden allgemeinen Kategorien fallen. 

Volumetrische Angriffe gehören zu den häufigsten Arten von DDoS-Angriffen. Ziel dieser Angriffe ist die Überlastung der Netzwerkbandbreite des Ziels durch Überflutung mit enormen Daten- oder Verkehrsmengen. Zu solchen Techniken zählen UDP-Floods (User Datagram Protocol), ICMP-Floods (Internet Control Message Protocol) und Reflection-Angriffe, bei denen Protokolle wie NTP (Network Time Protocol), Memcached und DNS genutzt werden, um die Menge des vom Ziel empfangenen Datenverkehrs zu erhöhen. Das enorme Datenverkehrsaufkommen belastet die Netzwerkinfrastruktur des Ziels stark und führt dazu, dass dieser für legitime Benutzer nicht mehr verfügbar ist. Flood-basierte Angriffe zielen oft auf die Schichten 3, 4 oder 7 ab, wobei SYN-Flood ein sehr verbreiteter Angriff ist, der Netzwerk-Firewalls und andere kritische Netzwerkinfrastrukturen überfordern kann. 

• Ein Beispiel für einen volumetrischen DDoS-Angriff ist die Softwareentwicklungsplattform GitHub, die im Jahr 2018 Opfer eines massiven volumetrischen DDoS-Angriffs wurde, der ihre Dienste störte. Der Angriff erreichte einen beispiellosen Höhepunkt von 1,35 TBps und war damit einer der größten DDoS-Angriffe, die bis dahin jemals registriert wurden. Infolgedessen kam es auf der Website und den Diensten von GitHub zeitweise zu Ausfällen und Leistungseinbußen.  

Protokollangriffe , beispielsweise solche, die auf Schwachstellen im TCP/IP-Protokollstapel abzielen, der die Grundlage der Internetkommunikation bildet. Diese Angriffe zielen speziell auf die Fähigkeit der Netzwerkinfrastruktur ab, den Datenverkehr zu verfolgen und abzuwickeln. Beispielsweise überfluten SYN-Flood-Angriffe das Ziel mit einer Flut von TCP-SYN-Paketen und überfordern so die Fähigkeit des Ziels, legitime Verbindungen herzustellen. Diese werden auch als „rechnerische“ Angriffe bezeichnet, da sie häufig die Rechenkapazität von Netzwerkgeräten wie Routern und Firewalls überlasten.

• Im November 2021 beobachtete und wehrte F5 den größten Protokollangriff ab, den das Unternehmen je erlebt hatte. Der Angriff zielte auf einen Kunden aus dem Finanzdienstleistungssektor, dauerte nur vier Minuten und erreichte seine maximale Angriffsbandbreite von fast 1,4 TBps in nur 1,5 Minuten. 

Angriffe auf Anwendungsschwachstellen , auch als Layer-7-Angriffe bekannt, zielen speziell auf die Anwendungsschicht des Netzwerkstapels ab . Bei diesen Angriffen geht es darum, Software-Schwachstellen in den auf dem Zielserver ausgeführten Anwendungen oder Diensten auszunutzen, um die Ressourcen des Servers wie CPU, Speicher oder Datenbankverbindungen zu erschöpfen. Beispiele für Angriffe auf Anwendungsebene sind HTTP-GET-Floods (Senden einer großen Anzahl von HTTP-Anfragen), Slowloris-Angriffe (Offenhalten von Verbindungen mit Teilanfragen), HTTP-POST-Floods, TLS-Neuverhandlungen und DNS-Abfragen.

• Eine bekannte prorussische Hacktivistengruppe namens Killnet startete im Februar 2023 einen ausgeklügelten L7-DDoS-Angriff auf eine große europäische Organisation. Ziel des Angriffs war es, die Server des Unternehmens mit enormen Datenmengen zu überlasten und den Benutzern so den Zugriff auf die Website zu erschweren. Der Angriffsdatenverkehr erreichte in der Spitze 120.000 Anfragen pro Sekunde. Dieser spezielle DDoS-Angriff verteilte sich auf 35 verschiedene IP-Adressen und 19 Länder und konzentrierte sich auf die Anwendungsebene. 

Asymmetrische Angriffe , auch als reflektierende oder Verstärkungsangriffe bezeichnet, nutzen die Funktionalität bestimmter Netzwerkprotokolle, um das Volumen des Angriffsverkehrs zu erhöhen. Bei einem asymmetrischen DDoS-Angriff sendet der Angreifer eine kleine Menge speziell gestalteter Netzwerkpakete an ein anfälliges Netzwerk oder einen anfälligen Dienst. Dabei verwendet er normalerweise eine gefälschte Quell-IP-Adresse. Diese Pakete lösen die Generierung wesentlich umfangreicherer Antworten des Zielsystems oder -netzwerks aus, was zu einem erheblichen Verstärkungseffekt führt.  

• Im Februar 2021 drohten Bedrohungsakteure einem Technologieunternehmen, das Informationssicherheitsdienste für Gaming- und Glücksspielorganisationen anbietet, mit einem DDoS-Angriff, falls das Unternehmen kein Lösegeld zahlte. Die Angreifer starteten sofort als Warnschuss einen 4-Gbit/s-SYN-Flood-Angriff; innerhalb von fünf Tagen danach begann die DDoS-Belagerung. Fast einen ganzen Monat lang folgte ein Angriff auf den anderen, wobei die Bedrohungsakteure immer mehr Vektoren hinzufügten. Schließlich erreichten die Angriffe einen Spitzenwert von 500 Gbit/s und umfassten eine mehrvektorielle Salve volumetrischer UDP-, LDAP-Reflexions-, DNS-Reflexions-, NTP-Reflexions- und UDP-Fragmentierungsangriffe.

Multivektorangriffe , die mehr als eine der oben genannten Methoden nutzen, kommen immer häufiger vor. Durch den Einsatz mehrerer Angriffstechniken können Angreifer die Wirkung verstärken und die Verteidigung gegen mehrere Angriffsvektoren gleichzeitig erschweren.

• Im Oktober 2016 wurde Dyn, ein DNS-Anbieter, der den Internetverkehr verwaltet und leitet, Opfer eines massiven DDoS-Angriffs, der zahlreiche beliebte Websites und Dienste, darunter Twitter, Reddit, Netflix und Spotify, lahmlegte. Die Angreifer nutzten eine Kombination verschiedener DDoS-Techniken, darunter DNS-Reflection- und Amplification-Angriffe sowie Botnetze. Der Angriff nutzte anfällige IoT-Geräte wie Webcams und Router aus, die über schwache Sicherheitsmaßnahmen oder standardmäßige Anmeldeinformationen verfügten. Durch die Kompromittierung dieser Geräte erstellten die Angreifer ein riesiges Botnetz, das enorme Datenmengen erzeugen konnte.

Nachfolgend finden Sie einige wichtige Konzepte und Definitionen im Zusammenhang mit DDoS-Angriffen sowie deren Eindämmung und Prävention.

• Botnetze sind Netzwerke aus kompromittierten Computern, Servern oder Geräten, die unter der Kontrolle eines Angreifers stehen. Diese kompromittierten Geräte, oft als Bots oder Zombies bezeichnet, werden verwendet, um kollektiv DDoS-Angriffe zu starten. Der Angreifer kann dem Botnetz aus der Ferne befehlen, das Ziel mit Datenverkehr oder Anfragen zu überfluten und so die Wirkung des Angriffs zu verstärken.
• Beim Spoofing handelt es sich um das Verfälschen oder Verschleiern der wahren Quelle oder Identität von Netzwerkpaketen oder -kommunikationen. Bei DDoS-Angriffen wird häufig Spoofing eingesetzt, um den Ursprung des Angriffsverkehrs zu verschleiern. 
• SYN-Flooding ist ein DDoS-Angriff, der den Drei-Wege-Handshake-Prozess des TCP ausnutzt, um die Ressourcen des Ziels zu überlasten. Der Angreifer sendet eine große Menge an SYN-Paketen an das Ziel, antwortet jedoch entweder nicht auf die SYN-ACK-Pakete oder fälscht die Quell-IP-Adressen. Dies führt dazu, dass das Zielsystem auf ACK-Pakete wartet, die nie ankommen, wodurch seine Ressourcen blockiert werden und keine legitimen Verbindungen hergestellt werden können.
• UDP-Flooding (User Datagram Protocol) ist eine Art von DDoS-Angriff, der auf das verbindungslose UDP-Protokoll abzielt, das keinen Handshake erfordert. Bei diesem Angriff sendet der Angreifer eine große Menge an UDP-Paketen an das Netzwerk oder die Dienste des Ziels und überlastet so dessen Ressourcen. 
• DNS (Domain Name System)-Amplification ist eine Art von DDoS-Angriff, der Schwachstellen in DNS-Servern ausnutzt, um ein erhebliches Angriffsverkehrsvolumen zu erzeugen. Der Angreifer sendet kleine DNS-Abfragen mit gefälschten Quell-IP-Adressen an anfällige offene DNS-Resolver. Diese Resolver sind sich des Spoofings nicht bewusst und reagieren mit größeren DNS-Antworten. Dadurch wird das Volumen des auf das Ziel gerichteten Datenverkehrs verstärkt, die Ressourcen des Ziels werden überlastet und es kommt möglicherweise zu Dienstunterbrechungen. 
• Unter DDoS-Minderung versteht man die Strategien und Techniken, die eingesetzt werden, um sich gegen DDoS-Angriffe zu verteidigen und deren Auswirkungen zu minimieren. Abwehrlösungen können eine Kombination aus Netzwerkinfrastruktur-Upgrades, Verkehrsfilterung, Ratenbegrenzung, Anomalieerkennung und Verkehrsumleitung umfassen, um den Angriffsverkehr zu absorbieren und abzuschwächen. Über die Cloud bereitgestellte Lösungen zur DDoS-Minderung sind besonders effektiv bei der Erkennung und Abwehr von Angriffen, bevor diese die Netzwerkinfrastruktur und Anwendungen erreichen. Angesichts der jüngsten Zunahme von Anwendungs-/L7-DoS-Angriffen müssen Sicherheitskontrollen jedoch auch in der Nähe der geschützten Ressourcen bereitgestellt werden. 
• Unter Incident Response versteht man den Prozess der Erkennung, Analyse und Reaktion auf DDoS-Angriffe. Dabei geht es darum, Anzeichen eines laufenden Angriffs zu erkennen, die Quelle und Art des Angriffs zu untersuchen, Abwehrmaßnahmen zu implementieren und den Normalbetrieb wiederherzustellen. Mithilfe von Vorfallreaktionsplänen können Unternehmen DDoS-Angriffe wirksam bewältigen und ihre Auswirkungen minimieren.

DDoS-Angriffe können schwerwiegende Folgen für Unternehmen, Organisationen und Einzelpersonen haben. 

DDoS-Angriffe können zu erheblichen finanziellen Verlusten führen. Wenn Dienste gestört oder nicht verfügbar sind, kann es aufgrund unterbrochener Transaktionen, geringerer Kundenbindung oder verpasster Gelegenheiten zu Umsatzeinbußen für Unternehmen kommen. Darüber hinaus können für Unternehmen Kosten im Zusammenhang mit der Eindämmung des Angriffs sowie mit der Durchführung von Maßnahmen zur Reaktion auf den Vorfall und zur Wiederherstellung entstehen und es können rechtliche Sanktionen drohen.

Erfolgreiche DDoS-Angriffe können den Ruf eines Unternehmens schädigen und das Vertrauen der Kunden zerstören. Wenn die Dienste eines Unternehmens wiederholt gestört oder nicht verfügbar sind, verlieren die Kunden möglicherweise das Vertrauen in die Fähigkeit des Unternehmens, zuverlässige Dienste bereitzustellen. Vertrauen wiederherzustellen und einen beschädigten Ruf wiederherzustellen, kann ein schwieriger und zeitaufwändiger Prozess sein.

DDoS-Angriffe können schwerwiegende Betriebsstörungen verursachen . In Unternehmen, die in hohem Maße von Onlinediensten abhängig sind, kann es zu Produktivitätsverlusten kommen, da die Mitarbeiter nicht auf kritische Systeme zugreifen oder nicht effektiv zusammenarbeiten können. Serviceunterbrechungen können sich auf Lieferketten, Kundensupport und den gesamten Geschäftsbetrieb auswirken und zu Verzögerungen, Ineffizienzen und höheren Betriebskosten führen.

Durch die Investition in robuste DDoS-Minderungsstrategien und die Einbindung von Cybersicherheitsexperten zur Entwicklung und Implementierung von Sicherheitsmaßnahmen können Unternehmen das Risiko und die Auswirkungen erfolgreicher DDoS-Angriffe deutlich reduzieren, ihre finanzielle Stabilität und ihren Ruf schützen und die Kontinuität ihrer Betriebsabläufe sicherstellen.

Im Folgenden sind einige gängige DDoS-Minderungstechniken zur Abwehr von Angriffen aufgeführt. Organisationen setzen häufig eine Kombination dieser Methoden ein, um eine mehrschichtige Verteidigungsstrategie zu entwickeln, mit der die Auswirkungen von DDoS-Angriffen wirksam gemindert werden können . Eine frühzeitige Erkennung ist außerdem der Schlüssel zur sofortigen Einleitung von Maßnahmen zur Reaktion auf Vorfälle und deren Eindämmung. So können Unternehmen die Auswirkungen eindämmen, bevor sie eskalieren.

Bei der Verkehrsfilterung wird der eingehende Netzwerkverkehr untersucht und Filter angewendet, um bestimmte Arten von Verkehr zu blockieren oder zuzulassen. Diese Technik kann auf verschiedenen Ebenen eingesetzt werden, beispielsweise in Netzwerk-Edge-Routern, Firewalls oder speziellen Geräten zur DDoS-Minderung. Durch das Herausfiltern bösartigen oder unerwünschten Datenverkehrs können Unternehmen die Auswirkungen von DDoS-Angriffen verringern und sicherstellen, dass legitimer Datenverkehr das beabsichtigte Ziel erreicht.

Durch die Ratenbegrenzung wird die Anzahl eingehender Anfragen oder Pakete von einer bestimmten Quelle oder innerhalb eines angegebenen Zeitrahmens eingeschränkt. Durch die Durchsetzung von Ratenbegrenzungen können Unternehmen die Auswirkungen von DDoS-Angriffen abmildern, indem sie einen überwältigenden Zustrom von Datenverkehr verhindern. 

Bei der Anomalieerkennung geht es um die Überwachung von Netzwerkverkehrsmustern und -verhalten, um Abweichungen von normalen Mustern zu identifizieren. Es nutzt statistische Analysen und Algorithmen maschinellen Lernens, um das Basisverhalten festzustellen und anomale Aktivitäten zu erkennen, die auf einen DDoS-Angriff hinweisen könnten. Systeme zur Anomalieerkennung können ungewöhnliche Verkehrsspitzen, Paketfluten oder andere Muster identifizieren, die auf einen laufenden Angriff hinweisen. 

Bei der Verhaltensanalyse geht es darum, das Verhalten von Benutzern, Systemen oder Netzwerkeinheiten zu überwachen, um verdächtige oder böswillige Aktivitäten zu erkennen und zu identifizieren . Techniken zur Verhaltensanalyse können dabei helfen, zwischen legitimem Datenverkehr und Angriffsdatenverkehr zu unterscheiden. So können Unternehmen effektiv auf DDoS-Angriffe reagieren und gleichzeitig Fehlalarme minimieren. Diese Analyse kann sowohl auf der Client- als auch auf der Serverseite durch intelligente Proxys durchgeführt werden, die Systembelastungen erkennen, die auf einen Denial-of-Service-Angriff hinweisen können. 

Der Einsatz eines Content Delivery Network (CDN) kann dazu beitragen, die Auswirkungen volumetrischer Angriffe zu mildern und für verbesserte Verfügbarkeit und Leistung zu sorgen. CDNs können ihre verteilte Netzwerkinfrastruktur nutzen, um bösartigen Datenverkehr zu identifizieren und zu blockieren und so sicherzustellen, dass legitime Anfragen das Ziel erreichen.

Load Balancer und Application Delivery Controller (ADCs) können durch die intelligente Verteilung und Verwaltung des Datenverkehrs auch als Abwehrmechanismus gegen DDoS-Angriffe dienen. Load Balancer können DDoS-Angriffe durch die Anwendung verschiedener Techniken wie Ratenbegrenzung, Traffic Shaping oder die Umleitung des Datenverkehrs auf spezielle DDoS-Schutzlösungen erkennen und abschwächen. 

Durch die Implementierung cloudbasierter DDoS-Schutzdienste können dedizierte und skalierbare Abwehrfunktionen zum Schutz vor DDoS-Angriffen bereitgestellt werden. Durch die Umleitung des Datenverkehrs über diese Dienste können Unternehmen von fortschrittlichen Abwehrtechniken, Bedrohungsinformationen in Echtzeit und der Expertise spezialisierter Anbieter profitieren.

Zu den weiteren Best Practices zum Schutz vor DDoS-Angriffen gehört die Aktivierung der Anforderungsverwaltung für Transmission Control Protocol (TCP) und User Datagram Protocol (UDP), um sicherzustellen, dass nur legitime Anforderungen verarbeitet werden. Regelmäßiges Monitoring und Protokollieren tragen dazu bei, Angriffe frühzeitig zu erkennen und negative Auswirkungen abzumildern. Muster von erhöhtem Datenverkehr, Fehlern oder ungewöhnlicher Aktivität können Warnmeldungen zur weiteren Untersuchung auslösen. Durch die Verschlüsselung des Datenverkehrs zwischen Anwendungen und Clients kann es für einen Angreifer schwieriger werden, den Datenverkehr abzufangen und zu ändern. Regelmäßige Softwareupdates stellen sicher, dass Ihre Systeme durch die neuesten Sicherheitsfunktionen und Patches geschützt sind, um bekannte Bedrohungen, einschließlich DDoS-Angriffen, abzuwehren.

Da DDoS-Angriffe immer umfangreicher und komplexer werden, benötigen Unternehmen mehrere Schutzebenen, um diese Angriffe zu stoppen, bevor sie das Unternehmensnetzwerk erreichen. Bei diesen Angriffen wird häufig hoher Datenverkehr mit versteckten, langsamen und auf die jeweilige Anwendung ausgerichteten Angriffstechniken kombiniert, die entweder von automatisierten Botnetzen oder von Menschen gesteuerten Tools ausgeführt werden. Da die Häufigkeit dieser Angriffe und die durch Ausfälle verursachten Kosten weiter steigen, ist eine ganzheitliche, mehrschichtige Verteidigung zur Eindämmung dieser Angriffe heute von entscheidender Bedeutung .

Informieren Sie sich über reale DDoS-Angriffe und wie diese abgeschwächt wurden, indem Sie die folgenden Fallstudien ansehen oder lesen.

• Erfahren Sie, wie F5 einen volumetrischen DDoS-Angriff mit 26 Gbit/s auf einen E-Mail-Anbieter gestoppt hat .
• Lesen Sie, wie die australische Heritage Bank eine Reihe von F5-Produkten implementiert hat, die rund um die Uhr DDoS-Schutz bieten und die regulatorischen Richtlinien der Bank erfüllen.

Da sich DDoS-Angriffe ständig weiterentwickeln , müssen Unternehmen über die neuesten Trends und Entwicklungen auf dem Laufenden bleiben. 

Ein aktueller Trend ist die zunehmende Verbreitung von Botnetzen für das Internet der Dinge (IoT) . IoT-Geräte wie intelligente Kameras, Router und vernetzte Geräte verfügen oft über schwache Sicherheitsmaßnahmen und sind anfällig für Kompromisse. Angreifer nutzen Schwachstellen dieser Geräte aus, um sie mit Schadsoftware zu infizieren und sie als Teil eines Botnetzes zu registrieren. Die kombinierte Rechenleistung Tausender kompromittierter IoT-Geräte kann enorme Mengen an DDoS-Angriffsverkehr erzeugen. 

Angriffe auf Anwendungsebene , die darauf abzielen, Serverressourcen zu erschöpfen oder Schwachstellen in bestimmten Anwendungen auszunutzen, ahmen häufig das legitime Benutzerverhalten nach und sind daher schwieriger zu erkennen und abzuwehren. Die Abwehr von Angriffen auf Anwendungsebene ist besonders schwierig, da sie ein tieferes Verständnis des Anwendungsverhaltens und spezielle Schutzmechanismen erfordern.

Durch die Einführung von DDoS-as-a-Service-Plattformen ist die Durchführung von DDoS-Angriffen auch für Personen mit weniger technischen Kenntnissen leichter möglich. Diese Plattformen sind im Dark Web zu finden und bieten benutzerfreundliche Schnittstellen, über die Benutzer Ressourcen für DDoS-Angriffe mieten und einsetzen können. Dabei kommen oft gemietete Botnets zum Einsatz.