Was ist eine DDos-Attacke und wie können sich Unternehmen schützen?
Hatten Sie das schon einmal, dass Ihre Website kurz ausfällt oder plötzlich falsche Inhalte zeigt, und wissen nicht, warum? Eine mögliche Ursache könnte eine DoS-Attacke oder DDoS-Attacke sein. Diese Form des Cyberangriffs kann schwere Schäden anrichten. Wir erklären Ihnen, was eine DoS-Attacke und eine DDoS-Attacke sind und wie Sie Ihr Unternehmen effektiv dagegen schützen können.
Was ist eine DDoS-Attacke?
Stellen Sie sich vor, Ihr Unternehmensgebäude hat nur einen Eingang und plötzlich versuchen Tausende Menschen gleichzeitig, durch diese eine Tür zu gelangen. Ähnlich funktionieren eine DoS-Attacke und eine DDoS-Attacke.
Man unterscheidet zwischen einer DoS-Attacke (Denial of Service) und einer DDoS- Attacke (Distributed Denial of Service). Der Unterschied liegt in der Art und Weise, wie der Angriff durchgeführt wird:
DoS-Attacke
- Es ist ein Angriff, der von einem einzigen Computer ausgeht.
- Ziel ist es, einen Service, wie beispielsweise eine Webseite, unzugänglich zu machen.
- Der Angreifer überflutet das Ziel mit Anfragen von einem Punkt aus, bis es überlastet ist und legitime Anfragen nicht mehr beantworten kann.
DDoS-Attacke
- Bei einem DDoS-Angriff werden viele Computer verwendet, oft sind das gekaperte Maschinen (sogenannte "Bots"), die ein Botnetz bilden.
- Diese "Bots" senden gleichzeitig Anfragen an das Ziel, was die Kraft des Angriffs erhöht.
- Es ist deutlich schwieriger, DDoS-Attacken abzuwehren, weil sie von vielen verschiedenen Orten gleichzeitig kommen.
Also, während eine DoS-Attacke vergleichbar ist mit einer Person, die versucht, durch ständiges Klopfen an einer Tür diese zu blockieren, ist eine DDoS-Attacke wie eine Menge von Personen, die gleichzeitig an verschiedenen Türen und Fenstern eines Hauses klopfen, was es wesentlich schwieriger macht, allen gleichzeitig zu begegnen.
Im folgenden Beitrag sehen wir uns die DDoS-Attacke genauer an, da diese gefährlicher ist als eine DoS-Attacke. Wenn Sie in der Lage sind, eine DDoS-Attacke in Ihrem System zu erkennen und abzuwehren, so hat auch eine DoS-Attacke keine Chance.
Bei DDoS-Attacken nutzen Cyberkriminelle eine Armee von ferngesteuerten Rechnern – ein sogenanntes Botnetz – um eine Flut von Anfragen auf Ihre Netzwerkressourcen zu senden. Ziel ist es, Ihre Online-Dienste unerreichbar zu machen, sodass weder Sie noch Ihre Kunden darauf zugreifen können. Diese Attacken können von einfachen Störungen bis hin zu komplexen Angriffsstrategien reichen, die auf bestimmte Dienste oder Anwendungen abzielen.
Arten von DDoS-Angriffen
DDoS-Angriffe können auf unterschiedliche Art und Weise stattfinden. Jede Variante hat ihre eigenen Merkmale und erfordert spezifische Gegenmaßnahmen. Hier sind die gängigsten Arten, auf die Sie achten sollten:
- Protokoll-Angriffe: Sie nutzen Schwächen in den Protokollebenen, um Server oder Netzwerkkomponenten zu überlasten. Ein Beispiel ist der „SYN-Flood“ Angriff, bei dem unzählige Verbindungsanfragen die Kapazität Ihrer Server binden. Im nächsten Abschnitt gehen wir genauer auf den SYN-Flood Angriff ein.
- Volumetrische Angriffe: Diese sind die verbreitetsten und zielen darauf ab, Ihre Internetverbindung mit einer massiven Menge an Daten zu überfluten. Sie erschweren oder verhindern so den regulären Datenverkehr. Weiter unten im Beitrag finden Sie weiterführende Infos zu dieser Angriffsart.
- Application-Layer-Angriffe: Diese richten sich gezielt gegen Anwendungen. Sie sind subtiler und schwerer zu erkennen, da sie legitimen Traffic imitieren können.
- Amplification- und Reflection-Angriffe: Hierbei werden Anfragen an Dritte gesendet, die dann verstärkt an das Ziel zurückgespiegelt werden. Das führt zu einer Verstärkung der Angriffswirkung.
Jeder dieser Angriffe kann schwerwiegende Auswirkungen auf Ihre Geschäftsabläufe haben. Umso wichtiger ist es, dass Sie ein umfassendes Sicherheitssystem implementieren, das auf diese verschiedenen Angriffsarten vorbereitet ist. Im Folgenden gehen wir noch näher auf zwei der häufigsten DDoS-Angriffe ein, den SYN-Flood Angriff und den Volumetrischen Angriff.
Der SYN-Flood Angriff
Der SYN-Flood-Angriff ist der am häufigsten beobachtete Angriff. Hier versucht ein Angreifer, Verbindung zu einer Internetanwendung des Unternehmens herzustellen. Bei einer normalen Verbindung gibt es einen Austausch von Signalen, dem „Drei-Wege-Handshake“. Zuerst sendet der Angreifer ein Signal – das SYN-Paket – als Anfrage zum Starten einer Verbindung. Der Webserver antwortet mit einem SYN-ACK-Paket. Das bedeutet, er ist bereit, die Verbindung zu bestätigen.
Beim SYN-Flood-Angriff greift der Angreifer zu einer List: Er sendet sehr viele SYN-Pakete, ohne auf die Antwort des Webservers zu warten. Der Server wartet darauf, die Verbindung abzuschließen, aber diese Antwort kommt nie. Das überlastet den Server, weil er immer auf die Antworten wartet, die nicht kommen. Schließlich kann der Server keine neuen echten Verbindungen mehr aufnehmen. Das Ergebnis? Die Internetdienste des Unternehmens sind nicht mehr erreichbar.
Der Volumetrische DDoS-Angriff
Volumetrische DDoS-Angriffe sind eine andere häufige Angriffsart. Sie überfluten ein Ziel – also z.B. den Webshop eines Unternehmens – mit so viel Datenverkehr aus vielen verschiedenen Quellen, dass die Internetleitung des Ziels komplett ausgelastet ist. Die normalen Besucher kommen dann nicht mehr durch, weil die Leitung schon ausgelastet ist. Das ist so, als ob zu viele Autos gleichzeitig auf eine Straße wollen ein Stau entsteht.
Bei diesen volumetrischen DDoS-Angriffen gibt es zwei Typen:
- UDP-Floods: Hierbei werden viele unnötige UDP-Pakete gesendet. UDP steht für User Datagram Protocol. Das ist die Art, wie Daten im Internet verschickt werden. Sie ist normalerweise schnell, weil sie nicht überprüft, ob alle Daten richtig ankommen.
- ICMP-Floods: Bei diesen Angriffen werden viele ICMP-Pakete verschickt. ICMP steht für Internet Control Message Protocol, das normalerweise hilft, Fehler im Netzwerk zu finden. Es ist, als ob jemand so viele Fehlermeldungen schickt, dass man nicht mehr zum Arbeiten kommt.
Welche Auswirkungen können DDoS-Attacken auf die betroffenen Unternehmen haben?
Stellen Sie sich vor, Ihre Webseite oder Ihr Online-Service ist plötzlich nicht mehr erreichbar. Kunden können keine Bestellungen aufgeben und Mitarbeiter kommen nicht an wichtige Informationen. Das kann schwerwiegende Folgen nach sich ziehen. Hier haben wir einige mögliche Auswirkungen einer DDoS-Attacke für Sie aufgelistet:
- Umsatzeinbußen: Ihr Online-Service steht nicht zur Verfügung, Kunden können nicht einkaufen oder Dienstleistungen nutzen.
- Reputationsverlust: Kunden und Partner verlieren das Vertrauen in die Zuverlässigkeit Ihres Unternehmens.
- Zusätzliche Cyberangriffe: Während einer DDoS-Attacke könnten Hacker weitere Schwachstellen ausnutzen, um Daten oder Passwörter zu stehlen, Falschinformationen zu platzieren oder Systeme zu infizieren.
- Langfristiger Schaden: Selbst nach Beendigung der Attacke kann das Vertrauen der Kunden beschädigt bleiben, was zukünftige Geschäfte beeinträchtigt.
- Kosten für Wiederherstellung: Es entstehen zusätzliche Kosten für die Analyse des Angriffs, die Reparatur betroffener Systeme und die Verbesserung der Sicherheitsmaßnahmen.
Präventive Maßnahmen zum Schutz Ihres Unternehmens
Sichere Verbindungen prüfen
Wie ist Ihr Unternehmen mit dem Internet verbunden? Manchmal nutzen Firmen noch einfache VPN-Internetverbindungen für kritische Dienste. Es gibt jedoch alternative und sicherere Wege, die sie nutzen können.
Direkte Verbindungen nutzen
Zum Beispiel könnten anstelle von Internet-basierten-Verbindungen direkte Layer 2 basierte Verbindungen eingesetzt werden oder sogar dedizierte Cloud-Anbindungen wie sie die meisten Hyperscaler wie Microsoft, Google, Amazon, Oracle, IBM, u.v.m. innerhalb großer Rechenzentren – wie jenen von Digital Realty – anbieten.
Neue Technologien einsetzen
Es gibt auch moderne Netzwerk-Lösungen, sogenannte Fabric-Lösungen. Oder Sie nutzen spezielle Datenleitungen, die "Metro-Wave" oder "Long-Haul-Wave" genannt werden. Diese immer sicherer als Internet-basierte Verbindungen.
Cloudbasierte Schutzmaßnahmen verwenden
Wenn das öffentliche Internet genutzt werden muss, hilft ein cloudbasiertes Scrubbingcenter. Dieser Dienst ist die effektivste Maßnahme zum Schutz vor DDoS-Angriffen. Hier wird der Datenverkehr, der zu Ihrem Unternehmen kommt, zuerst gereinigt. Das hält viele Angriffe ab. Mehr zum Scrubbingcenter lesen Sie weiter unten im Beitrag.
Eigene Filterung überdenken
Es ist weniger effektiv, den Datenverkehr selbst in Ihrem Unternehmen zu filtern. Die eigenen Internetleitungen verfügen oft nicht über die notwendige Bandbreite. Außerdem ist es kostspielig, das nötige Equipment und geschultes Personal dafür bereitzustellen.
Hybride Modelle mit günstiger Abo-Lösung
Manchmal kann es sinnvoll sein, kleine Angriffe selbst zu stoppen. Wenn die Angriffe größer werden, leiten Sie sie an ein Scrubbingcenter weiter. Mit diesem schließen Sie einen Abo-Vertrag ab, bei dem sie nur dann zahlen, wenn es bei einem Angriff aktiv wird. Grundvoraussetzung für hybride Modelle ist eine professionell betriebene 24/7 Monitoringlösung, welche in Ihrem System implementiert ist. Nur so können Sie auch erkennen, dass ein Angriff stattfindet.
CDN für Schutz einsetzen
Eine weitere Möglichkeit ist die Nutzung eines CDN (Content Delivery Network). Dieser Dienst hilft, den Datenverkehr gezielt zu beschleunigen und kann DDoS-Attacken direkt am Rand des Netzwerks stoppen.
DDoS-Schutz beim Provider wählen
Wenn Sie Ihren Internetanschluss bestellen, wählen Sie einen Anbieter, der schon DDoS-Schutz anbietet. Das kann Ihnen von Anfang an helfen, sicherer zu sein.
Technologien gegen DDoS-Attacken
Ein gut aufgesetztes Monitoring der Netzwerkschnittstellen sowie die permanente Analyse des kommenden und gehenden Datenverkehrs sind die Grundlage, um eine DDoS-Attacke früh zu erkennen und darauf reagieren zu können. Wird zusätzlich ein SIEM System eingesetzt, können Sie Attacken noch früher erkennen. Folgende Technologien werden gegen DDoS-Attacken eingesetzt:
- Überwachung und Analyse Ihres Netzwerks
Um DDoS- und DoS-Angriffe früh zu erkennen, ist es wichtig, ständig Ihr Netzwerk im Auge zu behalten. Ein Monitoring-System schaut genau hin, welche Daten ein- und ausgehen. So können Sie ungewöhnliche Aktivitäten, die auf eine Attacke hinweisen, schnell bemerken. - SIEM-Systeme: Die Wächter Ihrer Sicherheit
Security Information and Event Management – kurz: SIEM-Systeme – helfen Ihnen dabei, Angriffe noch früher als ein „normales“ Monitoring-System zu entdecken. SIEM-Systeme überwachen den Datenverkehr und schlagen Alarm, wenn etwas nicht stimmt. - Scrubbingcenter: Ihre Profi-Verteidiger
Experten für DDoS-Schutz nutzen spezielle Scrubbingcenter. Scrubbingcenter setzen unterschiedliche Technologien ein, um Angriffe zu erkennen und zu stoppen. Diese Zentren schauen sich den Datenverkehr in Echtzeit an und filtern die „bösen“ Daten heraus, bevor diese Ihr System stören können.
In einem Scrubbingcenter arbeiten Computerprogramme mit speziellen Algorithmen, die den Datenverkehr überprüfen. Finden sie verdächtigen Datenverkehr, trennen sie diesen ab. Dann wird der schlechte Verkehr in eine sichere Ecke umgeleitet. Schädliche Daten werden nach Möglichkeit repariert oder entfernt.
Cloud-Dienste tragen dazu bei, Unternehmen vor DDoS-Attacken zu schützen
In unseren Datenzentren setzen wir bei Digital Realty auf cloudbasierte Lösungen.
Cloud-Dienste helfen Unternehmen dabei, sich vor DDoS-Angriffen zu schützen. Sie haben starke und anpassbare Infrastrukturen, die es möglich machen, den Datenverkehr zu überwachen und nur die „guten“ Daten durchzulassen. Mit speziellen Werkzeugen, wie Blacklisting und Scrubbingcentern, halten sie schlechten Datenverkehr ab. Cloud-Dienste können den Lauf des Datenverkehrs so einstellen, dass es schwieriger wird, sie anzugreifen. Sie verteilen den Datenverkehr auch über unterschiedliche Wege, sodass nicht alles über eine einzige Verbindung läuft. Das macht sie stabiler und sicherer.
Cloud-Anbieter bieten auch extra Sicherheitsteams an. Diese Experten schauen rund um die Uhr nach möglichen Gefahren und arbeiten daran, die Daten Ihres Unternehmens sicher zu halten. Sie sind gut vorbereitet und wissen bei einer DDoS-Attacke, was zu tun ist, um den Schaden klein zu halten oder den Angriff abzuwehren.
Spezielle Sicherheitslösungen in der Cloud zur DDos-Prävention
Einige Cloud-Anbieter bieten DDoS-Schutzdienste an, welche den Datenverkehr überwachen, verdächtige Aktivitäten erkennen und Angriffe von legitimen Anfragen trennen können. Diese Lösungen nutzen oft Machine-Learning-Algorithmen und Echtzeit-Analyse. Diese erkennen Angriffe noch früher und wehren diese ab.
Zusätzlich gibt es spezialisierte Security Provider, die sich ausschließlich auf die Milderung und Abwehr von DDoS-Attacken konzentrieren und ihre Security-Services als cloudbasierten Service zur Verfügung stellen.
Fazit: Vorsorge ist der beste Schutz
Während eine DoS-Attacke von einem einzelnen Angreifer ausgeht, wird eine DDoS-Attacke von mehreren Angreifern oder infizierten Geräten aus koordiniert. Ihr Netzwerk oder Service wird überlastet, lahmgelegt, ausspioniert, von Schadsoftware infiziert etc.
Um Ihr Unternehmen vor einer solchen Attacke zu schützen, müssen sie Ihr Netzwerk ständig überwachen. Nur so haben sie im Falle eines Angriffs die Chance, diesen frühzeitig zu erkennen und abzuwehren.
Es ist also notwendig, gut vorbereitet zu sein. Die richtige Strategie und Technologie sind entscheidend, um die vielfältigen Auswirkungen von DDoS-Attacken auf Ihr Unternehmen abzumildern. Dazu gehört die Auswahl passender Schutzmaßnahmen, die auf die individuellen Bedürfnisse Ihres Unternehmens zugeschnitten sind.
Wenn auch Sie sich als Unternehmen bestmöglich von DoS-Attacken und DDoS-Angriffen schützen möchten oder Sie noch Fragen zu unseren Rechenzentren haben, stehen wir Ihnen gerne zur Seite. Kontaktieren Sie uns für weitere Informationen und individuelle Beratung via E-Mail an vienna.info@digitalrealty.com.
Herzlichst
Ihr Digital Realty Team
Foto: ©pinkeyes – stock.adobe.com