ake78 (3D & photo) - Fotolia

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren

Die Häufigkeit und Intensität von DDoS-Attacken auf Unternehmen nimmt weiter zu. Mit den richtigen Maßnahmen lässt sich die Angriffsfläche reduzieren.

Ein DDoS-Angriff (Distributed Denial of Service) hat zum Ziel, die Ressourcen eines Netzwerks, einer Anwendung oder eines Dienstes lahmzulegen, so dass tatsächliche Nutzer keinen Zugriff mehr darauf haben. Es existieren zwar verschiedene Typen von DDoS-Attacken, aber im Allgemeinen wird ein DDoS-Angriff von mehreren Systemen aus gestartet und ist in der Lage, auch Websites und Ressourcen von großen Unternehmen außer Gefecht zu setzen.

Für viele Unternehmen sind DDoS-Angriffe längst Alltag, laut dem zehnten weltweiten Infrastructure Security Report von Arbor Networks erfahren 42 Prozent der Befragten mehr als 21 DDoS-Attacken im Monat.

Es nimmt aber nicht nur die Häufigkeit der Angriffe zu, die Attacken werden auch immer größer. So wurden im Jahr 2013 weniger als 40 Angriffe verzeichnet, die mehr als 100 Gbps aufwiesen, im Jahr 2014 waren es bereits 159 Angriffe mit mehr als 100 Gbps, die größten davon wiesen bis zu 400 Gbps auf. Zu tendenziell ähnlichen Ergebnissen kommt der DDoS Threat Landscape Report von Impreva Incapsula. Auch hier werden immer größere Angriffe verzeichnet.

Arten von DDoS-Attacken

  • Volumenangriffe: Diese Attacken zielen darauf ab, die Netzwerkinfrastruktur mit hohem Traffic und Anfragen lahmzulegen.
  • TCP-State-Exhaustion-Angriffe: Hier missbrauchen Angreifer das TCP-Protokoll, um Ressourcen in Servern, Load Balancern oder Firewalls zu blockieren.
  • Angriffe auf Applikationsebene: Aktuelle Angriffe zielen auf auf die Anwendungsschicht (bis Layer 7).

Volumenangriffe sind nach wie vor die häufigste Angriffsart, zunehmend ist eine Kombination aus verschiedenen Typen zu beobachten. Dies sorgt für längere und größere Angriffe. Die Beweggründe für DDoS-Attacken haben sich nur wenig geändert, als da wären: politische und ideologische Motivation, schlichter Vandalismus und Online-Gaming. Bei Letzterem geht es darum, sich einen Wettbewerbsvorteil beim Spielen zu verschaffen.

DDoS wird aber nicht nur als Werkzeug von Hacktivisten und Terroristen verwendet. DDoS kommt auch für die Erpressung von Unternehmen oder die Störung von Mitbewerbern zum Einsatz. Zudem werden DDoS-Angriffe auch als Ablenkungsmanöver eingesetzt. Bei Advanced-Threat-Kampagnen werden DDoS-Attacken gegen ein Netzwerk als Ablenkung eingesetzt, während andernorts ein Datendiebstahl erfolgt.

Abbildung 1: Die Ausmaße der Angriffe auf die Netzwerkschicht haben im Beobachtungszeitraum des Reports von Impreva Incapsula von April 2015 bis März 2016 zugenommen.

Inzwischen kann man komplexe und anspruchsvolle Angriffswerkzeuge als einfach zu bedienende, schlüsselfertige Programme herunterladen. Damit können auch Angreifer ohne großes technisches Know-how ganz einfach diese Lösungen erwerben und ihre eigenen DDoS-Attacken steuern. Und die Situation wird nicht wesentlich besser, seit die Angreifer beginnen, auch Geräte wie Spielekonsolen, Router oder andere netzwerkfähige Devices in Angriffe mit einzubeziehen, um das Volumen des Traffics zu erhöhen.

Viele einfache Netzwerkgeräte haben standardmäßig alle Netzwerkfunktionen aktiviert und sind mit simplen Standardkonten und Passwörtern unterwegs. Das macht sie zu einer leichten Beute für die Angreifer. Zudem sind viele dieser Geräte mit aktiviertem UPnP im Netz, was den Missbrauch erleichtert beziehungsweise die Angriffsfläche erhöht. So hat Akamai Technologies rund 4,1 Millionen mit dem Internet verbundenen Geräte gefunden, bei denen UPnP aktiviert war und die sich für DDoS-Attacken missbrauchen lassen könnten. Mit der zunehmenden Zahl von schlecht gesicherten oder konfigurierten Geräten, die mit dem Internet verbunden sind, können die Angreifer immer leistungsfähigere Attacken fahren.

Systeme absichern

Wenn man mit dem Internet verbundenen Geräte so absichert, als wäre das Internet ein individuelles Netzwerk, hilft dies die Anzahl der Devices zu verringern, die für DDoS-Attacken missbraucht werden könnten.

Die wichtigsten Protokolle, die Hacker für DDoS-Traffic missbrauchen sind: NTP, DNS, SSDP, SNMP, Chargen und DVMRP. Dienste, die diese Protokolle verwenden, sollten entsprechend sorgfältig konfiguriert werden und auf dedizierten, gehärteten Servern laufen. So sollten Unternehmen bei DNS-Servern beispielsweise dem NIST Special Publication 800-81 Secure Domain Name System (DNS) Deployment Guide (PDF) folgen. Auf der Seite zum Network Time Protokoll finden sich entsprechend Empfehlungen für die Konfiguration von NTP-Servern.

Viele Angriffe funktionieren nur, weil die Angreifer den Datenverkehr mit gefälschten IP-Adressen (IP-Spoofing) generieren. Unternehmen sollten daher Anti-Spoofing-Filter implementieren, um zu unterbinden, dass Angreifer Pakete von einem anderen als dem originalen Netzwerk versenden können. Best Practices hierzu finden sich beim IETF in den Dokumenten BCP34 und BCP84.

Die verschiedenen Arten von DDoS-Attacken lassen sich nicht vorhersagen und auch nicht wirklich vermeiden. Selbst gut geschützte Websites können von Angreifern mit begrenzten Ressourcen so attackiert werden, dass es zu erheblichen Störungen kommt. Auch wenn es praktisch unmöglich ist, DDoS-Attacken vollständig zu eliminieren – wenn alle Dienste und Systeme ordentlich konfiguriert sind, reduziert dies die Angriffsfläche erheblich. So lässt sich zumindest das Risiko vermindern, das öffentlich zugängliche Dienste durch Möchtegern-Angreifer missbraucht oder genutzt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DDoS-Angriffe: Anzahl und Häufigkeit nimmt zu.

DDoS-Angriffe erfolgen vermehrt am Wochenende.

So können Unternehmen DDoS-Angriffen richtig begegnen.

DDoS-Attacken erfolgen auch auf firmeninterne Ressourcen.

Artikel wurde zuletzt im September 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Protokolle

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close