Support

DDoS-Angriffe und DDoS-Schutz

Was ist DDoS und wie kann man sich vor DDoS-Angriffen schützen?

DDoS-Angriffe: Begriffsklärung und Schutzstrategien

Was versteht man unter einem DDoS-Angriff?

Mit einem DDoS-Angriff (Distributed Denial of Service) versucht ein Angreifer, die Ressourcen eines Netzwerks, einer Anwendung oder eines Diensts zu überlasten, damit diese den eigentlichen Nutzern nicht mehr zur Verfügung stehen.

Seit 2010, und nicht zuletzt gefördert durch den aufkommenden Hacktivismus, erleben DDoS-Angriffe eine Renaissance. Gleichzeitig wurden zahlreiche Innovationen in Bezug auf die eingesetzten Tools und Techniken sowie die Wahl der Angriffsziele beobachtet.

Heute hat sich DDoS zu einer Angriffswelle entwickelt, zu der sowohl hochvolumige als auch subtile und schwer zu erkennende Angriffe zählen, die sich gegen Anwendungen und die vorhandene IT-Sicherheitsinfrastruktur wie Firewalls und IPS-Systeme richten.

Welche Arten von DDoS-Angriffen gibt es?

DDoS-Angriffe können sehr unterschiedlich sein und es gibt unzählige Ausführungsmöglichkeiten (so genannte „Angriffsvektoren“). Generell lässt sich jedoch jeder Angriffsvektor einer der folgenden Hauptkategorien zuordnen:

Hochvolumige Angriffe: Hierbei handelt es sich um den Versuch, den Bandbreitenverbrauch im anvisierten Netzwerk/Dienst oder zwischen dem anvisierten Netzwerk/Dienst und dem restlichen Internet zu erhöhen. Diese Angriffe führen zu Überlastungen und Engpässen.

TCP-State-Exhaustion: Bei diesen Angriffen wird versucht, die Kapazität von Zustandstabellen (State Tables) für die Verbindungen zu überlasten, die in vielen Infrastrukturkomponenten wie Loadbalancern, in Firewalls und in den eigentlichen Applikationsservern vorhanden sind. Selbst Geräte mit hoher Kapazität, die in der Lage sind, den Zustand von Millionen von Verbindungen zu speichern und zu verwalten, können durch diese Art von Angriffen außer Kraft gesetzt werden.

Angriffe auf Applikationsebene: Diese Angriffe sind gegen bestimmte Aspekte einer Anwendung oder eines Diensts der Applikationsschicht (Layer 7) gerichtet. Hierbei handelt es sich um die gefährlichste Art von Angriffen, da mit nur einem angreifenden Gerät, das eine niedrige Datenrate generiert, ein sehr effizienter Angriff ausgeführt werden kann (aus diesem Grund ist eine proaktive Erkennung und Bekämpfung äußerst schwierig). Diese Angriffe haben in den letzten drei bis vier Jahren stark zugenommen und einfache Flooding-Angriffe auf Applikationsebene (HTTP GET etc.) zählen zu den am häufigsten beobachteten DDoS-Angriffen.

Bei den ausgeklügelten Angriffen von heute werden hochvolumige und State-Exhaustion-Angriffe mit Angriffen auf Applikationsebene gegen Infrastrukturgeräte zu einem anhaltenden Einzelangriff kombiniert. Diese Angriffe sind populär, da sie nur schwer abzuwehren und meist sehr effektiv sind.

Doch das Problem ist noch weitaus komplexer. Laut Frost & Sullivan sind DDoS-Angriffe ein neues Phänomen, das zunehmend als Ablenkmanöver für gezielte, lang anhaltende Angriffe genutzt wird. Die Angreifer starten DDoS-Angriffe, um die Netzwerk- und Sicherheitsverantwortlichen abzulenken. Währenddessen versuchen sie, Malware in das Netzwerk einzuschleusen, um IP-Adressen und/oder sensible Kunden- oder Finanzdaten zu stehlen.

Warum sind DDoS-Angriffe so gefährlich?

DDoS kann die Aufrechterhaltung des unterbrechungsfreien Geschäftsbetriebs ernsthaft gefährden. Da die Wirtschaft inzwischen sehr stark vom Internet sowie von webbasierten Anwendungen und Diensten abhängig ist, kommt deren Verfügbarkeit inzwischen eine ebenso hohe Bedeutung zu wie einer unterbrechungsfreien Stromversorgung.

DDoS stellt nicht nur für Einzelhändler, Finanzdienstleister und Gaming-Provider eine Gefahr dar, bei denen die ständige Verfügbarkeit eine offenkundige Notwendigkeit ist. DDoS-Angriffe richten sich auch gegen strategische Geschäftsanwendungen, auf die Organisationen im operativen Tagesgeschäft angewiesen sind. Hierzu gehören beispielsweise E-Mail, Vertriebsautomatisierung, CRM und viele andere. Hinzu kommt, dass andere Industriezweige wie die Fertigung, die pharmazeutische Industrie und das Gesundheitswesen mit internen Webinhalten arbeiten, auf die die Logistikkette und andere Geschäftspartner im operativen Tagesgeschäft angewiesen sind. Sie alle sind Ziele der komplexen Angriffsstrategien von heute.

Welche Auswirkungen hat eine erfolgreiche DDoS-Attacke?

Wenn eine öffentliche Website oder Anwendung nicht verfügbar ist, kann dies zu verärgerten Kunden, entgangenen Umsätzen und Imageschäden führen. Wenn unternehmenskritische Anwendungen nicht verfügbar sind, kann dies den Geschäftsbetrieb lahmlegen und die Produktivität gegen null sinken lassen. Nicht verfügbare interne Websites, auf die Geschäftspartner angewiesen sind, haben Unterbrechungen in der Logistikkette und Produktionsunterbrechungen zur Folge.

Eine erfolgreiche DDoS-Attacke kommt einer Einladung zu weiteren Angriffen gleich. Die betroffenen Organisationen müssen damit rechnen, dass weitere Angriffe folgen, bis zuverlässigere Abwehrmaßnahmen implementiert sind.

Welche Optionen gibt es für den DDoS-Schutz?

Da DDoS-Angriffe eine große öffentliche Beachtung finden und verheerende Auswirkungen haben können, bieten viele Anbieter im Bereich der IT-Sicherheit nun auch Lösungen für den DDoS-Schutz an. Da so viel von der richtigen Entscheidung abhängt, ist es unerlässlich, die Stärken und Schwächen der verschiedenen Optionen zu verstehen.


Vorhandene Infrastrukturlösungen (Firewalls, IDS/IPS-Geräte, ADCs / Loadbalancer)

IPS-Geräte (Intrusion Prevention Systems), Firewalls und andere Sicherheitsprodukte sind wichtige Elemente einer mehrstufigen Abwehrstrategie, sind aber für grundlegend andere Sicherheitsprobleme konzipiert als spezielle Produkte für die Erkennung und Abwehr von DDoS-Angriffen. IPS-Geräte blockieren beispielsweise Eindringversuche, die zu Datendiebstahl führen können. Eine Firewall hingegen wird zur Durchsetzung von Nutzungsrichtlinien eingesetzt, um den unberechtigten Zugriff auf Daten zu verhindern. Diese Sicherheitslösungen sind zwar effizient, wenn es um die Netzwerkintegrität und die Vertraulichkeit der Daten geht, sind aber nicht in der Lage zu verhindern, dass die Verfügbarkeit des Netzwerks durch DDoS-Attacken gefährdet wird. Hinzu kommt, dass IPS-Geräte und Firewalls Inline-Geräte mit Stateful-Inspection sind, die Schwachstellen aufweisen, die von DDoS-Angriffen ausgenutzt werden können. Deshalb werden sie häufig selbst zu Angriffszielen.

Ähnlich wie IDS-/IPS-Geräte und Firewalls bieten auch ADCs (Application Delivery Controllers) und Loadbalancer keine detaillierten Einblicke in den Netzwerkdatenverkehr und auch keine integrierte Funktion zum Erfassen von Daten zu Angriffsaktivitäten. Sie sind außerdem Stateful-Geräte, die anfällig für Überlastungsangriffe (State-Exhaustion) sind. Die Zunahme hochvolumiger State-Exhaustion-Angriffe und konvergenter Angriffe auf Applikationsebene macht ADCs und Loadbalancer zu einer eingeschränkten und unvollständigen Lösung für Kunden, die den bestmöglichen Schutz vor DDoS-Angriffen benötigen.

CDN (Content Delivery Networks)
Tatsache ist, dass ein CDN nur auf die Symptome eines DDoS-Angriffs reagiert und große Datenmengen einfach absorbiert werden. Alle Daten werden empfangen und weitergeleitet. Alle Daten werden akzeptiert. Und genau darin liegen drei Gefahren. Zum einen muss für das Absorbieren der großen Datenmengen ausreichend Bandbreite verfügbar sein, denn einige dieser volumetrischen Angriffe übersteigen 300 Gbps. Die Bereitstellung dieser hohen Kapazität ist außerdem sehr teuer. Zum anderen gibt es Möglichkeiten, das CDN zu umgeben. Nicht jede Webseite und nicht jeder Inhalt nutzt das CDN. Die dritte Gefahr besteht darin, dass ein CDN nicht vor einem Angriff auf Applikationsebene schützen kann. Deshalb sollte ein CDN auch nur für seinen eigentlichen Verwendungszweck eingesetzt werden.

Wie sieht der Lösungsansatz von Arbor für den DDoS-Schutz aus?

Arbor schützt bereits seit mehr als einem Jahrzehnt die größten und komplexesten Netzwerke der Welt vor DDoS-Angriffen. Arbor ist der festen Überzeugung, dass Ressourcen am besten durch eine mehrstufige Implementierung einer maßgeschneiderten Lösung für die DDoS-Angriffsabwehr vor modernen DDoS-Angriffen geschützt werden können.

Für die hochvolumigen Angriffe von heute, die 300 Gbps überschreiten, ist ein Cloud-basierter Schutz erforderlich. Darüber hinaus wird auch ein Vor-Ort-Schutz vor verdeckten Angriffen auf Applikationsebene benötigt sowie vor Angriffen auf vorhandene Infrastrukturgeräte wie Firewalls, IPS und ADCs, die mit Stateful Inspection arbeiten.

Nur mit einem eng integrierten, mehrstufigen Abwehrkonzept können Unternehmen ausreichend vor dem ganzen Spektrum von DDoS-Angriffen geschützt werden.

Arbor-Kunden haben einen beträchtlichen Wettbewerbsvorteil, da sie über unsere Produkte sowohl Einblicke in ihr eigenes Netzwerk (Mikroebene) erhalten und zusätzlich über das ATLAS-System mit seinen Daten zu Angriffsaktivitäten auch über den gesamten Internetverkehr (Makroebene) informiert sind. Diese leistungsstarke Kombination von Informationen über die Netzwerksicherheit ist bislang konkurrenzlos. Durch diesen einzigartigen Ansatz hat das mit der Sicherheitsforschung befasste Team von Arbor die allerbesten Voraussetzungen für die Bereitstellung von Informationen über DDoS, Malware und Botnets, die heute die Verfügbarkeit von Internetinfrastrukturen, Netzwerken und Diensten gefährden.