Ein „verteilter“ Denial-of-Service-Angriff (DDoS) liegt dann vor, wenn ein Hacker absichtlich die Kapazität eines Netzwerks überschreitet, indem er es mit seinen Anfragen überlastet. Aufgrund dieses massiven Datenverkehrs können legitime Besucher die Website nicht aufrufen oder nutzen.
Dieser Artikel untersucht die Angriffe im Einzelnen. Sie erfahren, wie DDoS funktioniert, welche Arten von DDoS-Angriffen es gibt und wie man sie erkennt. Vor allem erhalten Sie Informationen darüber, wie Ihr Unternehmen DDoS-Angriffe verhindern kann.
Jedes Netz hat begrenzte Ressourcen. So hat zum Beispiel die Infrastruktur, die Ihre Unternehmens-Website unterstützt, keine ausreichenden Kapazitäten, um eine grenzenlose Menge an parallelen Anfragen oder Datenverkehr zu bewältigen.
Bei einem DDoS-Angriff überflutet ein Hacker Ihr Netzwerk oder Ihren Server mit einer Fülle von Anfragen. Sein Ziel besteht darin, die Kapazität des Systems zu überschreiten, so dass es legitime Anfragen von internen Benutzern oder Online-Käufern nicht mehr beantworten kann.
DDoS-Angriffe können Ihren Dienst ganz lahm legen oder ihn so stark verlangsamen, dass Mitarbeiter oder Geschäftspartner nicht mehr mit Ihnen kooperieren können. Die Mitarbeiter können ihre Aufgaben nicht effizient erledigen, wenn Ihr Netzwerk ausfällt oder nur noch langsam läuft. Potenzielle Kunden können Ihre Website entweder gar nicht erreichen oder verlassen sie, weil sie von der langsamen Reaktion frustriert sind.
Sie können sich daher sicher vorstellen, dass ein Hacker, der Ihre Website oder Ihr Netzwerk am ordnungsgemäßen Funktionieren hindert, Ihr Unternehmen für Stunden, Tage oder länger lahm legen kann. Es ist durchaus möglich, dass Sie außerdem mehrere Tausend Dollar pro Stunde durch verlorene Transaktionen verlieren, wenn die Kunden Sie nicht erreichen können.
DDoS-Angreifer können jede Art von Organisation ins Visier nehmen, haben es aber zumeist auf folgende Ziele abgesehen:
E-Commerce-Websites
Online-Kasinos
Jedes Unternehmen, das auf Online-Verbindungen angewiesen ist, um Geschäfte zu tätigen oder Dienstleistungen anzubieten
Die Attacke auf ein Unternehmen kann unterschiedliche Motive haben. Mögliche Angreifer sind beispielsweise:
Ein übelwollender Konkurrent, der Ihre Transaktionsfähigkeit behindern will
Ein Angreifer, der durch das Unterbrechen Ihrer Dienste den Ruf Ihres Unternehmens schädigen will
Ein Cyberkrimineller, der die Absicht hat, für die Beendigung des Angriffs einen hohen Geldbetrag zu erpressen
Für einen einfachen Denial-of-Service-Angriff (DoS) reicht es, dass ein einzelner Benutzer mit einem einzigen Computer das anvisierte Netzwerk mit Anfragen überflutet. Ein DoS kann auch verursacht werden, ohne dass ein großes Datenvolumen an einen Dienst gesendet wird. Es kann stattdessen ein Fehler im Code einer Anwendung vorliegen, der dazu führt, dass ihr die Ressourcen ausgehen. Wenn z. B. aufgrund eines Programmierfehlers ein bestimmter API-Aufruf eine Endlosschleife verursacht, kann dies einen DoS mit einer einzigen Anfrage auslösen.
Hacker verlegen sich in der Regel jedoch auf einen „verteilten“ Denial-of-Service-Angriff. Dies bedeutet, dass sie mit einem ganzen Netz von Geräten den Datenverkehr erhöhen, um den Zielserver zu überschwemmen. Ein Angreifer-Netzwerk kann aus einer beliebigen Anzahl von Computern oder Internet-of-Things-Geräten (IoT) bestehen.
Der DDoS-Angreifer rekrutiert für den Aufbau seines Netzwerks zunächst eine Armee von Geräten, indem er sie mit Malware infiziert, um sie dann fernzusteuern. Mit diesem Botnet können die Angreifer nun eine DDoS-Attacke starten: Sie befehlen jedem Bot, Anfragen an die anvisierte IP-Adresse zu senden und so das Netzwerk oder den Server des Opfers zu überfluten. Damit ist die Website des Opfers durch den DoS-Angriff außer Gefecht gesetzt.
Eine häufig verwendete Form des DDoS ist die DNS-Verstärkung (Domain Name Server). Hierbei nutzt der Angreifer öffentliche DNS-Server, um das System des Opfers mit DNS-Antwortverkehr zu überlasten. Weitere Informationen über die DNS-Verstärkung erhalten Sie bei der US-Agentur für Cyber- und Infrastruktursicherheit (CISA).
Ein erfolgreicher DDoS-Angriff manifestiert sich unmissverständlich dadurch, dass eine Website oder ein Dienst im Schneckentempo kriecht oder gar nicht mehr reagiert. In manchen Fällen kann jedoch auch ein legitimer Anstieg des Verkehrsaufkommens ähnliche Probleme verursachen. Wenn Sie vermuten, Opfer eines DDoS-Angriffs zu sein, kann Ihnen die Analyse Ihres Datenverkehrs Klarheit schaffen. Es gibt zwar spezifische Anzeichen für einzelne Arten von DDoS-Angriffen, hier finden Sie aber ein paar Dinge, auf die Sie generell achten können:
Seltsame Muster, z. B. Verkehrsspitzen außerhalb der dafür üblichen Zeiten, oder wiederholtes Spitzenaufkommen in ungewöhnlichen Abständen
Ein plötzlicher Anstieg des Datenverkehrs von Nutzern mit Profilmerkmalen, die sich decken (z. B. gleicher Standort oder Gerätetyp)
Ein hohes Aufkommen an Datenverkehr von einer IP-Adresse oder einem IP-Bereich
Eine plötzliche Flut von Anfragen, die an einen einzelnen Endpunkt oder eine Website gerichtet sind
Die eigentliche Schwierigkeit bei der Eindämmung von DDoS-Angriffen besteht in der Unterscheidung zwischen dem legitimem Datenverkehr und dem des Angreifers. DDoS-Verkehr kann viele verschiedene Formen annehmen, von einer einzelnen Quelle ohne Spoofing (Verschleierung) bis hin zu Multi-Vektor-Angriffen, die sich an Ihre Gegenmaßnahmen anpassen. Mit zunehmender Komplexität der Angriffe wird es immer schwieriger, den DDoS-Verkehr von normalem Datenverkehr zu unterscheiden, was die Schadensbegrenzung erschwert.
Obwohl Sie einen DDoS-Angriff natürlich so schnell wie möglich aufhalten sollten, ist es dennoch nicht ratsam, den Datenverkehr wahllos einzuschränken oder zu blockieren. Aus diesem Grund ist ein mehrschichtiger Ansatz die beste Lösung für die DDoS-Abwehr.
Mit der Durchsatzbegrenzung können Sie die Anzahl der Anfragen (z. B. Anmeldeversuche) begrenzen, die Ihr Server innerhalb eines bestimmten Zeitraums entgegennimmt. Die Anfragen werden bis zu der IP-Adresse zurückverfolgt, von der sie kommen, und es wird ermittelt, wie nahe die Anfragen zueinander stehen. Wenn innerhalb eines kurzen Zeitraums zu viele Anfragen von derselben IP kommen, kann die Durchsatzbegrenzung dafür sorgen, dass die Anfragen dieser IP für eine bestimmte Dauer nicht berücksichtigt werden.
Durchsatzbegrenzung ist deswegen nützlich, weil sie einige Arten von Bot-Angriffen abschwächen und außerdem verhindern kann, dass eine Datenflut Ihre Netzwerkkapazität überlastet. Zudem kann sie Angreifer daran hindern, Inhalte zu stehlen und Anmeldeversuche bei Brute-Force-Angriffen vereiteln.
Aufgrund ihrer Eigenschaften ist die Durchsatzbegrenzung auch hilfreich gegen eine übermäßige Inanspruchnahme der Anwendungsprogrammierschnittstelle (API). Selbst wenn eine API-Überlastung nicht immer auf Bot-Aktivitäten oder böswilliges Handel zurückzuführen ist, sollte sie doch auf jeden Fall vermieden werden.
Die Durchsatzbegrenzung wird innerhalb einer Anwendung ausgeführt, nicht auf dem Webserver. Alleine wird sie wahrscheinlich nicht ausreichen, um einen komplexen DDoS-Angriff abzuwehren, kann aber als unterstützende Komponente einer umfassenderen Sicherheits- und DDoS-Abwehrstrategie nützlich sein.
Als letztes Mittel zur Abwehr eines DDoS-Angriffs können Netzwerkadministratoren in der Regel auch auf das Einrichten einer Black-Hole-Route (auch „Null-Route“ genannt) zurückgreifen, um den Datenverkehr darüber umzuleiten. Anschließend fällt jeglicher, über die Black-Hole-Route geführte Datenverkehr aus dem Netz.
Bei verbindungslosen Protokollen, wie beispielsweise dem User Datagram Protocol (UDP), werden keine Informationen über die herausgeworfenen Daten an die Quelle zurückgegeben. Bei Protokollen wie dem Transmission Control Protocol (TCP), die eine Handshake-Verbindung mit dem Netzwerk des Ziels erfordern, wird jedoch eine Benachrichtigung über den Datenverlust an die Quelle gesendet.
Eine Black-Hole-Route kann ohne einschränkende Kriterien über die Art von Datenverkehr, der in diese Route fließen darf, eingerichtet werden. Dies bedeutet, dass der legitime Datenverkehr gemeinsam mit dem schädlichen Verkehr aus dem Netzwerk fällt.
Wenn Blackholing Ihre einzige Option ist, kann Ihr Internetdienstanbieter (ISP) den gesamten Datenverkehr Ihrer Website über die Black-Hole-Route leiten. Damit machen Sie jedoch Ihr gesamtes Netzwerk unerreichbar, und der Angreifer hat sein Ziel erreicht.
Ein weiterer Nachteil des Blackholing ist, dass ein ausgeklügelter Angriff variable Angriffsvektoren und IP-Adressen verwenden kann, was Sie wiederum dazu zwingt, Ihre Black-Hole-Route anzupassen, um den Angriff aufzuhalten.
Blackholing kann jedoch nützlich sein, wenn der DDoS-Angriff eine kleinere Website anvisiert, die zu einem größeren Netzwerk gehört. In diesem Fall kann das Sperren des gesamten Datenverkehrs zu dieser Website eine Beeinträchtigung des restlichen Netzwerks verhindern.
Eine Web Application Firewall (WAF) überwacht und filtert den HTTP-Verkehr zwischen dem Internet und den Webanwendungen und schützt so vor DDoS- und anderen bösartigen Attacken wie Cross-Site-Scripting, SQL-Injection und Remote File Inclusion. Eine WAF kann ein Unternehmen zwar nicht gegen alle Arten von Angriffen schützen, ist jedoch ein wichtiger Bestandteil eines umfassenden Systems für Cybersicherheit.
Wenn die WAF einer Webanwendung vorgeschaltet wird, fungiert sie als Schutzschild zwischen dem Internet und dieser Anwendung. Als Reverse-Proxy schützt sie einen Server vor böswilligen Angriffen, indem die Clients erst die Firewall passieren müssen, bevor sie zum Server gelangen.
Die Richtlinien des WAF-Filters dienen dazu, schädlichen Datenverkehr herauszufiltern. Einmal eingerichtet, lassen sich diese Richtlinien bei Bedarf relativ schnell und einfach an veränderte Angriffsvektoren anpassen. Dadurch kann das Ziel mit mehr Agilität reagieren. So kann mit einer WAF im Falle eines DDoS-Angriffs die Durchsatzbegrenzung rasch umgesetzt werden.
Im Zuge des digitalen Fortschritts der letzten Jahre wurden die APIs in hohem Maße weiterentwickelt, da sie eine Schlüsselrolle im IoT und bei mobilen Anwendungen einnehmen. Infolgedessen wird auch die API-Sicherheit zu einem immer wichtigeren Anliegen. Leider sind APIs anfällig für DDoS-Angriffe und damit ein attraktives Ziel für Cyberkriminelle.
Gartner hat diese Entwicklung bereits 2017 vorhergesehen und die Einschätzung abgegeben, dass im Jahr 2022 der „Missbrauch von APIs der am häufigsten attackierte Angriffsvektor“ sein würde, „der zu Datenverletzungen bei Webanwendungen von Unternehmen führt.“ Sie empfahlen den Unternehmen die Implementierung eines „kontinuierlichen Ansatzes für die API-Sicherheit… und ein API-Design mit integrierter Sicherheit.“
Da APIs häufig über öffentliche Netze zugänglich sind, auf die von jedem Ort mit Internetanschluss zugegriffen werden kann, sind sie für die Öffentlichkeit gut sichtbar und anfällig für Reverse Engineering. Eine umfassende API-Sicherheit kann dazu beitragen, diese Anwendungsschicht besser abzusichern und mögliche Angriffe abzuwehren.
Die regelbasierte Sicherheit ist zwar auch ein Schritt in die richtige Richtung, aber immer nur so effektiv wie die Regeln selbst. Einzelne Maßnahmen für die Sicherheit von APIs, wie zum Beispiel Content Delivery Networks und WAF können einen gewissen Basisschutz gegen DDoS und andere Arten von Angriffen bieten. Sie reichen aber keinesfalls aus, um erfahrene und entschlossene Hacker davon abzuhalten, die individuellen Schwachstellen der einzelnen APIs auszunutzen.
Angesichts der Zunahme bei der Entwicklung von APIs und ihrer potenziellen Anfälligkeit ist heute eine Komplettlösung für API-Sicherheit wichtiger denn je.
API Intelligence von Ping Identity setzt KI ein, um die Transparenz des Datenverkehrs zu verbessern, Bedrohungen zu blockieren und Anomalien zu erkennen, um auf diesem Weg Ihr Unternehmen vor DDoS und anderen Bedrohungen zu schützen. Weitere Informationen dazu finden Sie in unserem Whitepaper zur API-Sicherheit, das Sie bei Ping herunterladen können.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern