Als Distributed Denial of Service (DDoS)-Angriff wird der Versuch bezeichnet, einen Webserver oder ein Online-System durch Überlastung mit Daten zum Absturz zu bringen. DDoS-Angriffe können böswillige Streiche, Racheakte oder politische Hackeraktivitäten sein und reichen von kleinen Ärgernissen bis zu langfristigen Störungen mit entsprechenden Geschäftsverlusten.
Im Februar 2018 haben Hacker GitHub bei einem DDoS-Angriff mit 1,35 Terabyte Daten pro Sekunde angegriffen. Das ist ein massiver Angriff und wahrscheinlich nicht der letzte seiner Art.
DDoS-Angriffe werden üblicherweise mit Botnets durchgeführt, einer großen Gruppe von Computern, die aufeinander abgestimmt aktiv werden, um gleichzeitig eine Website oder einen Dienst mit Anfragen zu bombardieren.
Die Angreifer nutzen Malware oder nicht gepatchte Sicherheitslücken, um Command and Control (C2)-Programme auf den Systemen der Benutzer zu installieren und so ein Botnet aufzubauen. DDoS-Angriffe verwenden eine große Anzahl von Computern im Botnet, um den gewünschten Effekt zu erzielen. Die einfachste und billigste Art, die Kontrolle über so viele Rechner zu übernehmen, ist die Nutzung von Sicherheitslücken: Beim letzten DYNDNS-Angriff wurden Wi-Fi-Kameras mit Standardpasswörtern genutzt, um ein gigantisches Botnet aufzubauen.
Nachdem ihr Botnet bereit ist, senden die Angreifer den Startbefehl an alle Knoten im Botnet, woraufhin die Botnets die programmierten Anfragen an die Zielserver senden. Wenn der Angriff die äußeren Verteidigungslinie durchbrechen kann, überwältigt er bald die meisten Systeme und führt zu Dienstausfällen und in manchen Fällen zu Serverabstürzen. Das Ergebnis eines DDoS-Angriffs sind vor allem Produktivitätsausfälle oder Dienstunterbrechungen – die Kunden können eine Website nicht aufrufen.
Während das zwar harmlos klingen mag, beliefen sich sie durchschnittlichen Kosten eine DDoS-Angriffs im Jahr 2017 auf 2,5 Millionen USD.
DDoS-Angriffe auf Anwendungsebene sollen die Ressourcen des Ziels überlasten und den Zugriff auf die Website oder den Dienst des Angegriffenen stören. Die Angreifer speisen die Bots mit einer komplizierten Anfrage, die den Zielserver bei dessen Versuch, zu reagieren, stark belastet. Die Anfrage könnte mit einem Datenbankzugriff oder großen Downloads verbunden sein. Wenn das Ziel mehrere Millionen derartiger Anfragen in einem kurzen Zeitraum erhält, kann es schnell überlastet sein und auf Kriechgeschwindigkeit verlangsamt werden oder sich komplett aufhängen.
Ein HTTP-Flood-Angriff ist beispielsweise ein Angriff auf Anwendungsebene, bei dem ein Webserver mit zahlreichen schnellen HTTP-Anfragen angegriffen wird, um ihn zum Absturz zu bringen. Stellen Sie sich das vor, als ob Sie „Aktualisieren“ im Schnellfeuermodus auf Ihrem Gamepad drücken. Derartiger Verkehr von mehreren Tausend Computern auf einmal wird den Webserver schnell überfluten.
DDoS-Protokollangriffe greifen die Netzwerkebene des Zielsystems an. Das Ziel ist, die Tablespaces der zentralen Netzwerkdienste, der Firewall oder des Load-Balancers, die Anfragen an das Ziel weiterleiten, zu überlasten.
Im Allgemeinen arbeiten Netzwerkdienste Warteschlangen nach den First-in-first-out-Prinzip (FIFO) ab. Die erste Anfrage trifft ein, der Computer verarbeitet die Anfrage, ruft dann die nächste Anfrage aus der Warteschlange ab und so weiter. Es gibt nun jedoch eine begrenzte Anzahl an Plätzen in der Warteschlange, und bei einem DDoS-Angriff würde die Schlange so riesig, dass der Computer nicht ausreichend Ressourcen hat, um die erste Abfrage zu bearbeiten.
Ein SYN-Flood-Angriff ist ein besonderer Protokollangriff. Bei einer Standardtransaktion im TCP/IP-Netzwerk gibt es einen 3-Way-Handshake. Er besteht aus SYN, ACK und SYN-ACK. SYN macht den Anfang als Anfrage in irgendeiner Form, ACK ist die Antwort des Ziels und mit SYN-ACK sagt der ursprüngliche Anfragesteller: „Danke, ich habe die angefragten Informationen erhalten.“ Bei einem SYN-Flood-Angriff erstellen die Angreifer SYN-Pakete mit falschen IP-Adressen. Das Ziel sendet dann ein ACK-Paket an die falsche Adresse, die niemals antwortet, und wartet dann darauf, dass der Timeout für all diese Antworten abläuft, was wiederum die Ressourcen für die Bearbeitung der massenhaften vorgetäuschten Transaktionen überlastet.
Das Ziel eines volumetrischen Angriffs ist es, das Botnet zum Generieren eine großen Traffic-Menge zu nutzen und die Übertragungswege des Ziels zu verstopfen. Stellen Sie sich das wie einen HTTP-Flood-Angriff vor, aber mit einer zusätzlichen exponentiellen Antwortkomponente. Wenn zum Beispiel Sie und 20 Ihrer Freunde gleichzeitig bei demselben Pizza-Service anrufen und jeweils 50 Pizzen bestellen, könnte dieser Pizza-Service diese Anfragen nicht bedienen. Volumetrische Angriffe funktionieren nach demselben Prinzip. Sie fragen beim Ziel etwas an, das die Größe der Antwort extrem aufbläht. Die Datenverkehrsmenge explodiert und der Server wird blockiert.
Eine Art des volumetrischen Angriffs ist die DNS Amplification. In diesem Fall wird der DNS-Server direkt angegriffen, indem von ihm eine große Datenmenge als Antwort verlangt wird, was den DNS-Server zum Absturz bringen und jeden handlungsunfähig machen kann, der diesen DNS-Server für die Adressauflösung nutzt.
Wie alles andere im Computerwesen, entwickeln sich DDoS-Angriffe laufend weiter und werden dabei immer geschäftsschädigender. Der Umfang der Angriffe nimmt zu, von 150 Anfrage pro Sekunde in den 1990er Jahren – was einen Server jener Zeit zum Absturz brachte – auf die 1,2 TB bzw. 1,35 TB bei den aktuellen Angriffen auf DYNDNS und GitHub. Das Ziel bei diesen beiden Angriffen war, zwei weltweit wichtige Produktivitätsquellen zu stören.
Bei den Angriffen kamen neue Techniken zu Einsatz, um die enormen Bandbreiten zu erreichen. Der DYN-Angriff nutzte einen Exploit bei IoT-Geräten, um ein Botnet aufzubauen, das Mirai Botnet. Mirai machte sich beim Angriff offene Telnet-Ports und Standard-Passwörter zunutze, um Wi-Fi-fähige Kameras zu übernehmen. Der Angriff war ein kindischer Streich, demonstrierte aber eine große Sicherheitslücke, die mit der Verbreitung der IoT-Geräte einhergeht.
Der GitHub-Angriff nutzte aus, dass auf Tausenden Servern ein Open-Source-System für Speichercaching (memchached) ausgeführt wird. Memchached reagiert gerne mit riesigen Datenmengen auf einfache Anfragen, weshalb es absolut nicht auf Servern laufen sollte, die offen aus dem Internet zugänglich sind.
Beide Angriffe weisen auf ein signifikantes Risiko für zukünftige Exploits hin, insbesondere durch das wachsende IoT. Wie würden Sie es finden, wenn Ihr Kühlschrank Teil eines Botnets wäre? Ein Lichtblick ist, dass GitHub von dem Angriff nicht in die Knie gezwungen wurde.
Allerdings war es noch nie einfacher, einen DDoS-Angriff auszuführen. Es gibt sogar DDoS-as-a-Service-Optionen, bei denen böswillige Akteure eine Lizenzgebühr dafür zahlen, um ein Botnet aus infizierten Computern zu „mieten“ und damit einen DDoS -Angriff auf ein Ziel ihrer Wahl durchzuführen.
Wie hat GitHub den massiven DDoS -Angriff überstanden? Durch Planung und Vorbereitung natürlich. Nach 10 Minuten mit zwischenzeitlichen Serverausfällen aktivierten die GitHub-Server ihre DDoS -Abwehr. Der Abwehrdienst routete den eingehenden Datenverkehr um und filterte die böswilligen Pakete aus, so dass die Angreifer ca. 10 Minuten später aufgaben.
Neben kostenpflichtigen DDoS -Abwehrdiensten wie CloudFlare und Akamai können Sie auch Ihre Standard-Endgerätesicherheitsmaßnahmen einsetzen. Patchen Sie Ihre Server, halten Sie Server mit memchache vom offenen Internet fern und schulen Sie Ihre Benutzer darin, Phishing-Angriffe zu erkennen.
Sie können während eines DDoS -Angriffs auf Black Hole Routing zurückgreifen, um den gesamten Datenverkehr ins Nichts zu leiten. Sie können Zugriffslimits einrichten, um die Anzahl der Anfragen zu beschränken, die ein Server innerhalb eines kurzen Zeitraums annimmt. Auch eine ordentlich konfigurierte Firewall kann Ihre Server schützen.
Varonis überwacht Ihre DNS, VPN, Proxies und Daten, um Sie beim Erkennen bevorstehender DDoS-Angriffe auf Ihr Unternehmensnetzwerk zu unterstützen. Varonis Datensicherheitsanalysen verfolgen Verhaltensmuster und geben Warnhinweise aus, wenn aktuelle Verhaltensweisen mit Bedrohungsmodellen übereinstimmen oder vom Standardverhalten abweichen. Dazu können Botnet-Angriffe mit Malware oder erhebliche Steigerungen des Netzwerkverkehrs gehören. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihre Daten vor DDoS-Angriffen und anderen Gefahren schützt.