DDoS-Schutz

DDoS-Schutz und Cybersecurity

DDoS-Angriffe erkennen und abwehren

DDoS-Schutz und Cybersecurity

DoS steht für Denial of Service, die Steigerungsform davon ist DDoS – das zusätzliche D steht für Distributed Denial of Service. Das ist eine häufig genutzte Angriffsart im Internet. Bei diesem Security-Vorfall werden unzählige Requests / Anfragen auf diesen Dienst (YouTube, GitHub, Twitter etc.) in kürzester Zeit gesendet. Dies führt letztendlich zu einer Überforderung und die entsprechende Seite ist dann für die Nutzer nicht mehr verfügbar. Das kann zu erheblichen finanziellen Schäden für den Betreiber des Internetdienstes bedeuten. Angreifer können die Betreiber auf Schutzgeld erpressen. Erfahren Sie hier mehr Details rund um das Thema und zum DDoS-Schutz.

DDoS-Angriff ohne entsprechenden DDoS-Schutz

DDoS-Angriffe haben eine immer größere Auswirkung. Sie überfordern Dienste mit immer größeren Datenmengen. Für einen guten DDoS-Schutz braucht es DDoS Protection Tools, um diese Datenmengen zu zerstreuen. Gleichzeitig werden auch immer mehr Angriffe verzeichnet, bei denen nur spezifische Bereiche von der IT-Infrastruktur attackiert und diese gestört werden. Diese Angriffe fallen weniger auf. Je kleiner die Anwendung oder der Service, umso weniger Datenmenge wird für den Angriff gebraucht. Zum anderen dienen DDoS-Angriffe nicht mehr nur dazu, den Dienst zu verweigern, sondern werden zunehmend als Deckmantel zur Tarnung anderer Cyberangriffe verwendet. Dazu gehören z.B. Datenverletzungen und Finanzbetrug. Organisationen sollten ein DDoS Monitoring Tool einsetzen, das alle potenziellen DDoS-Angriffe erkennt und blockiert, sobald sie auftreten. Damit erhalten sie einen umfassenden Überblick über ihre Netzwerke.

Botnetze spielen entscheidende Rolle

Bei DDoS-Angriffen werden in den meisten Fällen Botnets eingesetzt. Dabei werden von Angreifern im Vorfeld fremde Computer gekapert. Das erfolgt meist durch Malware wie Trojaner oder Würmer. Die fremden Rechner werden dann im Verbund zusammengenommen durch die C&C Server (Command & Control Server), der Angreifer ferngesteuert. Im Falle von DDoS werden die Bandbreiten der Opfersysteme ausgenutzt. Damit werden gleichlautende Anfragen auf die Server der Opfer gleichzeitig getätigt. Ein DDoS-Schutz verhindert solch einen Angriff.

Memcached-Server: Cyberangriffe sind auch ohne Botnetze möglich

Das Kapern von fremden Rechnern oder IoT-Geräten kann für die Angreifer mitunter sehr mühselig sein. Deswegen kommen bei manchen Angriffen auch keine Botnetze zum Einsatz, wie z.B. beim Angriff auf Github 2018. Hier wurde der Einsatz von Memcached-Servern ausgenutzt. Diese Database-Caching-Dienste erfüllen den Zweck, dass Netzwerke und Webseiten schneller sind. Der Zugriff aus dem Internet auf diese Server ist ohne Authentifikation möglich, man muss nur in den Besitz der IP-Adresse kommen. Dann senden die Angreifer kleine Anfragen an mehrere Memcached-Server gleichzeitig – etwa 10 pro Sekunde pro Server. Diese Memcached-Server sind dann darauf ausgelegt, eine viel größere Antwort hervorzurufen. Sie geben dann das 50-fache der angefragten Daten an das Opfersystem zurück. So lassen sich Datenanfragen von mehreren Terabytes pro Sekunde generieren – diese führen mit Leichtigkeit zum Kollaps eines Dienstes. Ein DDoS-Schutz verhindert effektiv auch diese Art des Cyberangriffs.

Ein DDoS-Schutz verhindert Angriffe via DNS-Reflection

Genauso kommen DDoS-Cyberangriffe via DNS-Reflection-Techniken zum Einsatz. Der Angreifer macht die DNS-Anfrage mithilfe der IP-Adresse des Opfers (IP-Spoofing) und ist damit erfolgreich. Der DNS-Server sendet die Anfrage an das Opfer. Hier kommt dann die Amplification, also die Verstärkung im nächsten Schritt zum Einsatz.

"UDP-Pakete mit DNS-Abfragen sind typischerweise relativ klein (< 100 Byte). Antwort-Pakete sind abhängig vom abgefragten Eintrag deutlich größer (< 500 Byte). Dies hat zu Folge, dass ein Angreifer bei geschickter Wahl der DNS-Anfrage mit vergleichsweise kleiner Bandbreite eine deutliche Erhöhung der Angriffslast auf der Opferseite erzielen kann, der Angriff wird somit verstärkt (Amplification)."
Bundesamt für Sicherheit in der Informationstechnik

DDoS-Schutz: DDoS Protection Tools

Unsere DDoS Protection Tools und Maßnahmen unterbinden DDoS-Angriffe.

Dazu gehören Web Application Firewalls (kurz: WAF), welche Onlinedienste auf dem Application-Layer schützen. Allgemein sorgen diese dafür, dass:

  • Eingehende Verbindungen nur von Diensten zugelassen werden, die auch zugreifen dürfen. Dafür gibt es den Ansatz von Blacklists (Auflistung nicht-erlaubter Verbindungen) oder Whitelists (Auflistung erlaubter Verbindungen).
  • Das Gleiche gilt dann für ausgehende Verbindungen – nur mit einer expliziten Erlaubnis sind diese möglich. Damit können Botnetze z.B. lahmgelegt werden, weil diese dann nicht mehr mit dem Command & Control-Server der Angreifer in Kontakt treten können.

Amplicification-Angriffe via Memcached-Servers:

  • Exponierte Memcached-Server aus dem Internet entfernen und sicher hinter Firewalls in internen Netzwerken implementieren.
  • Filter in WAFs, die Memcached-Verkehr blockieren, wenn eine verdächtige Menge an Anfragen entdeckt wird.
  • Falls Netzbetreiber den verwendeten Angriffsbefehl feststellen können, dann kann der böswillige Datenverkehr schon im Keim erstickt werden, indem alle Memcached-Pakete dieser Länge blockiert werden.

Reflection-Angriffe über Network-Time-Protokoll:

  • Hier hilft die Web Application Firewall und eine entsprechend bestehende Netzwerkinfrastruktur bestehend aus mehreren Rechenzentren.
  • Auch wenn hier eine einzelne IP-Adresse das Angriffsziel ist, so kann mit einem entsprechenden Feature in der Firewall die Datenflut verteilt werden. Die eintreffende Last wird auf verschiedene Rechenzentren verteilt. So ist der angegriffene Dienst weiterhin verfügbar.

Wirksamer DDoS-Schutz: R&S®Web Application Firewall

  • Identifikation von DDoS-Angriffen und Differenzierung zwischen gutem und schädlichem Datenverkehr – Erkennung einer Attacke und Begrenzung des Schadens.
  • Gewährleistung der Verfügbarkeit für die Benutzer während eines Angriffs.
  • Minimierung der Ausfallzeiten.
  • Antizipieren künftiger Angriffe und effektivere Bekämpfung.

Sie haben Fragen? Dann kontaktieren Sie uns!

DDoS-Schutz und Cybersecurity – ausgewählte Inhalte

Webinar: API-Sicherheitsrisiken

In diesem Webinar stellen wir Ihnen die 10 wichtigsten API- Sicherheitsrisiken vor und wie Sie sich davor schützen können.

Jetzt registrieren

White Paper: So schützen Sie Ihre APIs

In diesem White Paper erfahren Sie, wie Sie Ihre APIs mit der R&S®Web Application Firewall schützen können.

Jetzt registrieren

White Paper: Auswahl einer Web Application Firewall

Dieses White Paper hilft Ihnen dabei, die wichtigsten Faktoren für die Auswahl einer Web Application Firewall zu berücksichtigen.

Jetzt registrieren

FAQs

Kann man einen Denial-of-Service nachverfolgen?

Es ist schwer, die Herkunft eines Denial-of-Service nachzuverfolgen. Umso wichtiger ist ein guter DDoS-Schutz. Die meisten Traffic-Fluten stammen von Botnetzen, das sind in den meisten Fällen Rechner von Unbeteiligten. Wer diese Systeme gehackt hat, ist nur selten zurückzuverfolgen. Das Gleiche gilt für Reflection & Amplification Attacken. Das liegt hauptsächlich daran, dass der Angreifer die IP-Adresse des Opfers benutzt. Den Angriff selber wird dann von einem legitimen Dienst durchgeführt, z.B. von einem DNS-Server.

Was bietet optimalen Schutz vor DDoS-Angriffen?

Bestehende Infrastrukturlösungen wie Firewalls, Anwendungsbereitstellungskontrollen und Lastverteilung bieten Ihnen Basisschutz vor DDoS-Angriffen. Allerdings lösen sie nur bekannte Cyberangriffe. Daher ist es unerlässlich, dass Sie zusätzlich die Anwendungsschicht sichern. Webbasierte Angriffe können Sie am besten mit einer Web Application Firewall abwehren, sie ergänzt den Schutz von Organisationen auf der Netzwerkebene um die Anwendungsebene.

Was sind volumetrische DDoS-Attacken?

ICMP Flood, IP/ICMP-Fragmentierung, UDP Flood und IPSec Flood sind sogenannte volumetrische Attacken, bei denen Angreifer versuchen, die Bandbreite z.B. innerhalb des Ziel-Netzwerks/-Service oder zwischen dem Ziel-Netzwerk/Service und dem Rest des Internets aufzubrauchen, um so Stauungen hervorzurufen.

Ihr monatliches Cybersecurity-Update

Ihr monatliches Cybersecurity-Update

Informationen anfordern

Haben Sie Fragen oder benötigen Sie weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Ich möchte Informationen von Rohde & Schwarz erhalten per

Marketing-Einverständniserklärung

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Ihre Anfrage wurde erfolgreich versendet. Wir nehmen in Kürze Kontakt mit Ihnen auf.
An error is occurred, please try it again later.