DDoS – der Angriff aus dem Netz auf das Netz

Seit mehr als 20 Jahren schon, werden DDoS-Angriffe von Kriminellen genutzt, um Unternehmen und Institutionen gezielt Schaden zuzufügen. Ihre gewaltigen Folgen machen sie zu einer sehr ernstzunehmenden Gefahr. Ein guter und passender DDoS-Schutz sichert die IT-Infrastruktur und schützt so vor Ausfällen der Systeme.

Was ist DDoS?

Ein Distributed-Denial-of-Service-Angriff (DDoS-Angriff) ist die Überflutung einer Online-Website oder eines Online-Dienstes mit großen Mengen an unerwünschten Daten, um die Verarbeitung des regulären Datenverkehrs zu verhindern.

Bei dieser Strategie führt eine Vielzahl unterschiedlicher Systeme einen großflächig koordinierten Angriff. Das kann dazu führen, dass das betroffene System verlangsamt wird oder auch ganz ausfällt.

DDoS-Attacken werden meist von einer Vielzahl von Bedrohungsakteuren durchgeführt, etwa von einzelnen kriminellen Angreifern, organisierter Verbrecherringen und Regierungsbehörden. Die Gründe für derartige Angriffe können z.B. Erpressung oder die Schwächung der Marktposition sein.

Wie erkennt man einen DDoS-Angriff?

Grundsätzlich verursacht ein DDoS-Angriff ein Verfügbarkeitsproblem. Doch gehören Schwierigkeiten mit der Verfügbarkeit und Diensten oft zu normalen Vorgängen in einem Netzwerk. Darum ist es wichtig unterscheiden zu können, zwischen normalen Betriebsproblemen und DDoS-Angriffen. Erste Anzeichen sind:

• Verschlechterung der Netzwerkperformance
• Verfügbarkeitsprobleme bestimmter Websites
• Keine Website ist mehr erreichbar
• Unverhältnismäßig hohes Aufkommen von Spam-Mails

Im Folgenden sind Beispiele für Netzwerk- und Serververhalten aufgeführt, die auf einen DDoS-Angriff hindeuten können. Eine oder eine Kombination dieser Verhaltensweisen sollte Anlass zur Sorge geben (Quelle: https://www.computerweekly.com/de/definition/Distributed-Denial-of-Service-DDoS-Angriff):

• Eine oder mehrere bestimmte IP-Adressen stellen in einem kurzen Zeitraum viele aufeinander Anfragen.
• Es ist ein Anstieg des Datenverkehrs von Benutzern mit ähnlichen Verhaltenseigenschaften zu verzeichnen. Beispielsweise, wenn viel Traffic von Benutzern eines ähnlichen Gerätes, eines einzigen geografischen Standortes oder desselben Browsers kommt.
• Es gelingt nicht, Server mit einem Ping-Dienst ordnungsgemäß zu testen.
• Ein Server antwortet mit einer 503-HTTP-Fehlerantwort, was bedeutet, dass der Server entweder überlastet ist oder wegen Wartungsarbeiten nicht funktioniert.
• Die Logfiles zeigen eine starke und konstante Bandbreitenspitze, die nicht des Verlaufs einem normal funktionierenden Server entspricht.
• Die Protokolle zeigen Traffic-Spitzen zu ungewöhnlichen Zeiten oder in einer unüblichen Reihenfolge.
• Die Logfiles zeigen ungewöhnliche große Spitzen im Datenverkehr zu einem Endpunkt oder einer Website.

Prävention und Abwehr

DDoS-Angriffe können erhebliche Auswirkungen auf den Geschäftsbetrieb mit nachhaltigen Folgen haben. Daher ist es wichtig, die Bedrohungen, Schwachstellen und Risiken im Zusammenhang mit DDoS-Angriffen zu verstehen.

Sind diese Angriffe erstmal zugange, ist es fast unmöglich, sie zu stoppen. Einige grundlegende Verfahren der Informationssicherheit können jedoch dabei helfen, die Auswirkungen für den Geschäftsbetrieb zu verringern. Dazu gehört die Durchführung laufender Sicherheitsbewertungen, um nach DoS-bezogenen (Denial-of-Service) Schwachstellen zu suchen und diese zu beheben. Gleichfalls sollten entsprechende Kontrollen in Sachen Netzwerksicherheit zum Einsatz kommen. Dazu gehört auch gegebenenfalls die Inanspruchnahme der Dienste von Cloud-Service-Anbietern, die sich auf die Reaktion von DDoS-Angriffen spezialisiert haben.

Sobald ein Angriff gemeldet wird, kann ein DDoS-Defence die Gefahr abfangen und vor einem Kollaps schützen. Namhafte Anbieter wie die Deutsche Telekom, Vodafone, Ecotel, Plusnet oder Versatel bieten derartige Schutzmechanismen an. Diese bestehen meist aus:

• Back-Holding – der Datenverkehr zu IP-Adresse oder IP-Adressbereich wird unterbrochen
• Filtering – Protokollpakte werden anhand bestimmter Eigenschaften gefiltert
• Rate-Limits – Nur ein Teil der IP-Pakete wird zur Zieladresse geroutet
• Mitigation Device – Datenverkehr wird umgeleitet und auf einer sicheren Plattform gereinigt

Unsere Spezialisten beraten Sie gerne zu diesem aktuellen Thema, das auch beim Kunden als wichtiges Verkaufsargument angebracht werden kann. Sprechen Sie uns an und wir klären Sie über Anbieter und Möglichkeiten auf.

Eva Siemek
Öffentlichkeitsarbeit

municall
new communication GmbH
Schatzbogen 62
81829 München

Änderungen und Irrtümer vorbehalten.