So funktionieren DDoS-Angriffe

‍

Ein DDoS-Angriff beginnt mit einem Botnetz. Ein Botnetz ist ein Netzwerk von Computern, die mit bösartiger Software infiziert wurden, die für DDoS-Angriffe und andere schändliche Zwecke entwickelt wurde. Benutzer können durch Phishing-E-Mails, infizierte Websites und sogar soziale Netzwerke dazu verleitet werden, die infizierte Software herunterzuladen, indem sie bekannte Exploits in Software und Betriebssystemen ausnutzen.

Sobald diese Computer infiziert sind, kann der Botnet- „Wrangler“ all diese Computer ohne Wissen des Benutzers von einer Anwendung aus fernsteuern. Sobald das Botnetz groß genug ist, kann das Netzwerk genutzt werden, um einen Angriff gegen ein beliebiges Ziel zu starten.

Sobald ein Botnetz bereit ist, kann der Angreifer einen Startbefehl senden, der alle Maschinen im Botnetz dazu veranlasst, eine Flut von Anfragen an das gewünschte Ziel zu senden. Wenn der Angriff die Abwehrmechanismen überwindet, kann er die meisten Systeme schnell überwältigen, was zu Serviceausfällen und möglicherweise zum Absturz von Servern führen kann.

Viele Angreifer, die Botnetze entwickelt haben, bieten ihre Dienste zu einem Preis auf Online- und Darknet-Marktplätzen an, sodass potenziell jeder die Möglichkeit hat, einen DDoS-Angriff zu starten.

Arten von DDoS-Angriffen

DDoS-Angriffe gibt es in vielen Formen, je nachdem, was ein Angreifer zu tun versucht. Drei Hauptkategorien sind volumenbasierte Angriffe, Protokollangriffe und Angriffe auf Anwendungsebene.

‍

Volumenbasierter Angriff

Bei dieser Art von Angriff wird versucht, die gesamte verfügbare Bandbreite zwischen dem Ziel und dem Internet zu nutzen. Eine Möglichkeit, dies zu erreichen, ist die Verstärkung, bei der ein DNS-Server mit einer gefälschten IP-Adresse (der IP-Adresse des Ziels) überflutet wird, wodurch viel größere DNS-Antworten an das Ziel ausgelöst werden. Die SNMP- und NTP-Protokolle werden auch bei volumenbasierten Angriffen verwendet. Schließlich verstopfen die Antworten, die das Ziel erhält, das Netzwerk und blockieren den eingehenden Verkehr.

‍

Protokollangriff

Protokollangriffe unterbrechen einen Dienst, indem sie die Ressourcen von Netzwerkgeräten wie Load Balancern und Firewalls erschöpfen. Diese Angriffe zielen auf die Netzwerk- und Datenverbindungsebenen des Protokollstapels ab. Eine Art von Protokollangriffen wird als SYN-Flood bezeichnet. Bei dieser Art von Angriff wird der TCP-Handshake verwendet, um ein Netzwerk zu überfluten. Das Botnetz sendet dem Ziel eine riesige Menge von SYN-Paketen für TCP-Verbindungsanfragen, die gefälschte IP-Adressen verwenden. Die Ressourcen des Zielcomputers sind erschöpft und warten auf den letzten Schritt all dieser Anfragen, der niemals passieren wird.

‍

Angriff auf Anwendungsebene

Diese Art von DDoS-Angriff zielt auf Anwendungen ab, die in Ihrem Netzwerk ausgeführt werden, insbesondere auf Webanwendungen, die auf HTTP-Anfragen reagieren. HTTP-Anfragen sind für einen Client leicht, können jedoch viele Ressourcen vom Server erfordern, um die Antwort zu generieren. Eine Anfrage kann die Ausführung von Code, mehrere Bildanforderungen und Datenbankabfragen beinhalten. Ein Botnetz, das einen Angriff auf Anwendungsebene verwendet, kann einen Server zum Erliegen bringen, indem es einfach von jedem seiner Knoten aus gleichzeitig auf dieselbe Webseite zugreift.

‍

Symptome eines DDoS-Angriffs

Ein Symptom eines DDoS-Angriffs ist eine Website oder ein Dienst, der offensichtlich und plötzlich langsam geworden ist oder nicht mehr reagiert, aber nicht jede langsame Website wird angegriffen. Traffic-Spitzen und legitime Serverprobleme können zu derselben Art von Reaktionsunfähigkeit führen.

Um festzustellen, ob Sie einem DDoS-Angriff ausgesetzt sind, müssen Sie mithilfe von Traffic-Analysetools eingehender untersuchen, um festzustellen, welche Art von Traffic Sie erhalten, woher er kommt und wohin er geht. Zu den Anzeichen eines DDoS-Angriffs gehören:

• Ungewöhnliche Mengen an Datenverkehr, der von einer einzelnen IP-Adresse oder einem Adressbereich stammt
• Seltsame Verkehrsspitzen, die zu seltsamen Tageszeiten, für eine begrenzte Zeit auftreten oder einem bestimmten Muster folgen
• Eine plötzliche Flut von Traffic auf eine einzelne Webseite oder einen Dienst
• Eine Flut von Traffic von Nutzern, die ein ähnliches Profil haben, wie Geolokalisierung, Browserversion oder Gerätetyp

‍

Verhinderung von DDoS-Angriffen

Der Schutz eines Netzwerks vor einem DDoS-Angriff ist nicht die einfachste Aufgabe. Es ist nicht wie Malware oder Viren, die Sie von den infizierten Systemen entfernen können. DDoS-Angriffe kommen von außerhalb eines Netzwerks und können wie normaler Verkehr erscheinen, bis Sie sich die Details ansehen. Es ist wichtig, schnell zu handeln, sobald ein DDoS-Angriff erkannt wird, da diese Art von Angriffen eine Website oder einen Dienst innerhalb von Minuten zum Erliegen bringen kann.

‍

Sichern Sie Ihren Router

Ihr Router ist das Gateway in und aus Ihrem Netzwerk. Wenn die Bots in einem Botnetz den Router nicht passieren können, können sie die darauf befindlichen Dienste nicht beeinträchtigen. Es ist Ihre erste Verteidigungslinie und sollte so konfiguriert sein, dass der Datenverkehr nach Priorität gefiltert und alle bedrohlichen Daten oder Datenverkehr blockiert werden.

‍

Sichere IoT-Geräte

Viele Menschen, die ihre Laptops und Telefone sichern, denken nicht zweimal darüber nach, das Standardkennwort auf ihren IoT-Geräten zu belassen. Auf vielen IoT-Geräten laufen vollständige Linux-Betriebssysteme, die mit Schadsoftware angegriffen werden können und wurden, die sie zu einem Bot in einem Botnetz macht. Aus diesem Grund sind sie ein beliebtes Ziel. Wenn Sie Ihre IoT-Geräte mit einem sicheren Passwort sichern, verhindern Sie, dass sie zu einem weiteren Bot in einem Botnetz werden.

‍

Verwenden Sie maschinelles Lernen

Die Erkennung eines DDoS-Angriffs beinhaltet eine Verkehrsanalyse. Es ist möglich, dies manuell zu tun, aber die Technologie des maschinellen Lernens kann bösartigen Datenverkehr schnell erkennen. Der Datenverkehr kann in Echtzeit auf bekannte DDoS-Muster und -Anomalien hin analysiert werden, und jeder verdächtige Verkehr kann blockiert werden, bevor er einen Dienst oder eine Website verlangsamt.

‍

Fazit

Ein Distributed-Denial-of-Service- oder DDoS-Angriff ist ein Versuch, den Zugriff auf eine Website oder einen Dienst zu blockieren, indem diese mit Anfragen überflutet wird, um das System zu überlasten. Angreifer erreichen dies, indem sie eine Armee von Computern mit Malware infizieren, mit der sie jede beliebige Website oder jeden Dienst ins Visier nehmen können. Die Behebung und Verhinderung von DDoS-Angriffen ist nicht einfach und beinhaltet die Analyse des Datenverkehrs auf Anomalien. Mit den richtigen Tools können DDoS-Angriffe jedoch marginalisiert oder verhindert werden.