DDoS-Angriffe (Distributed-Denial-of-Service) finden das ganze Jahr über statt, die spektakulärsten Angriffe ereignen sich jedoch in der Weihnachtszeit.
Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
DDoS-Verteidigung in der Weihnachtszeit: Ihr Leitfaden für Sicherheit
DDoS-Angriffe erfolgen von einzelnen Geräten (Bots) oder einem Netzwerk von Geräten (Botnet), die mit Schadsoftware infiziert wurden und eingesetzt werden, um Websites oder Dienste mit umfangreichem Datenverkehr zu fluten. DDoS-Angriffe können einige Stunden, aber auch Tage andauern.
- Was: Ein DDoS-Angriff überschwemmt eine Website oder einen Server mit unerwünschtem Datenverkehr, um den Dienst zu stören oder offline zu schalten.
- Warum: Kriminelle verwenden DDoS-Angriffe, um von den Websiteverantwortlichen Geld, Wettbewerbsvorteile oder politische Forderungen zu erpressen.
- Wie: Dank des Geschäftsmodells „Cybercrime-as-a-Service“ kann ein DDoS-Angriff schon für 5 USD bei einem DDoS-Abonnementdienst bestellt werden.1
IP-Booter, die auch als DDoS-Stressor und IP-Stressor bezeichnet werden, sind im Wesentlichen Software-as-a-Service für Cyberangriffe. Durch diese Dienste kann jeder und jede ein Botnet einspannen, um enorme DDoS-Angriffskampagnen zu starten – ganz ohne Programmierkenntnisse.
- Eins: Organisationen haben meist die Ressourcen reduziert, die für die Überwachung der Netzwerke und Anwendungen zuständig sind, dadurch bieten sich mehr Gelegenheiten für einen Angriff.
- Zwei: Der Datenverkehr erreicht ein Allzeithoch (für dieses Jahr werden Umsätze in Höhe von 1,33 Billionen USD erwartet), insbesondere bei E-Commerce-Websites und Spieleanbietern. Dadurch wird es dem IT-Personal erschwert, zwischen rechtmäßigem und unrechtmäßigem Datenverkehr zu unterscheiden.
- Drei: Für Angreifende, die es auf Geld abgesehen haben, ist die Chance auf lukrativere Zahlungen größer, da angesichts höchster Umsätze in der Weihnachtszeit die Uptime von Diensten kritisch ist.
Im letzten Jahr haben wir auf einen Aufwärtstrend bei derartigen Angriffen während der Feiertage hingewiesen und die Notwendigkeit einer stabilen Verteidigung unterstrichen.
Wenn Websites oder Server ausfallen, während die Weihnachtszeit auf ihren Höhepunkt zusteuert, können verlorene Umsätze und Kunden, hohe Wiederherstellungskosten und ein Rufschaden die Folge sein. Die Auswirkungen sind für kleinere Organisationen noch erheblicher, da die Wiederherstellung nach einem Angriff für sie noch schwieriger sein kann.
DDoS-Angriffe können allgemein in drei primäre Kategorien eingeteilt werden, wobei zu jeder Kategorie eine Vielzahl unterschiedlicher Cyberangriffe gehört. Cyberkriminelle nutzen immer ausgeklügeltere Techniken wie KI-basierte Angriffe, sodass täglich neue DDoS-Angriffsvektoren entstehen. Angreifende können auf ein Netzwerk mehrere Angriffstypen anwenden, auch Angriffe aus unterschiedlichen Kategorien.
Volumetrische Angriffe: Zielen auf die Bandbreite ab. Mit ihnen soll die Vermittlungsschicht mit Datenverkehr überschwemmt werden.
Beispiel: Ein DNS-Verstärkungsangriff (Domänennamenserver), bei dem offene DNS-Server verwendet werden, um ein Ziel mit DNS-Antwortdatenverkehr zu überfluten.
Protokollangriffe: Zielen auf Ressourcen ab. Sie nutzen die Schwachstellen im Layer 3- und Layer 4-Protokollstapel aus.
Beispiel: Ein SYN-Angriff (Flut von Synchronisierungspaketen), bei dem alle verfügbaren Serverressourcen ausgeschöpft werden (wodurch ein Server nicht mehr erreichbar ist).
Angriffe auf Ressourcenebene: Zielen auf Webanwendungspakete ab. Sie stören die Übertragung von Daten zwischen Hosts.
Beispiel: Ein HTTP/2 Rapid Reset-Angriff, bei dem eine Reihe von HTTP-Anforderungen mit HEADERS gefolgt von RST_STREAM gesendet und dieses Muster wiederholt wird, um auf den HTTP/2-Zielservern ein hohes Datenverkehrsaufkommen zu erzeugen.
Sie können zwar nicht komplett vermeiden, Ziel eines DDoS-Angriffs zu werden, mit einer poaktiven Planung und Vorbereitung können Sie jedoch eine effektivere Verteidigung aufbauen.
Sie dürfen allerdings nicht vergessen, dass es durch das Mehr an Datenverkehr während der Feiertage schwieriger ist, Anomalien zu erkennen.
- Bewerten Sie Risiken und Schwachstellen: Identifizieren Sie zuerst die Anwendungen in Ihrer Organisation, die mit dem öffentlichen Internet verbunden sind. Sie sollten auch das normale Verhalten Ihrer Anwendung kennen, damit Sie schnell reagieren können, wenn sie sich anders als erwartet verhält.
- Stellen Sie sicher, dass Sie geschützt sind: Wenn DDoS-Angriffe während der Feiertage einen Höchststand erreichen, benötigen Sie einen DDoS-Schutzdienst mit erweiterten Entschärfungsfunktionen, die Angriffe in jedem Maßstab bekämpfen können. Suchen Sie nach Dienstfunktionen wie Datenverkehrsüberwachung, auf die Besonderheiten Ihrer Anwendungen abgestimmten Schutz, Telemetriedaten, Überwachung und Warnung zum DDoS-Schutz sowie Zugang zu einem schnellen Notfallteam.
- Erstellen Sie eine DDoS-Reaktionsstrategie: Eine Reaktionsstrategie ist entscheidend, um DDoS-Angriffe zu identifizieren, abzuschwächen und sich schnell davon zu erholen. Ein Hauptbestandteil dieser Strategie ist das Zusammenstellen eines DDoS-Notfallteams mit klar definierten Rollen und Zuständigkeiten. Dieses DDoS-Notfallteam muss wissen, wie ein Angriff identifiziert, abgeschwächt und überwacht wird. Außerdem muss es in der Lage sein, sich mit internen Beteiligten und Kunden abzustimmen.
- Bitten Sie während eines Angriffs um Hilfe: Wenn Sie denken, dass Sie angegriffen werden, wenden Sie sich an die geeigneten technischen Fachleute, z. B. an das eingesetzte DDoS-Notfallteam. Von ihnen erhalten Sie während eines Angriffs sowie bei der Analyse nach einem Angriff Unterstützung bei der Angriffsuntersuchung.
- Lernen Sie aus einem Angriff, und ziehen Sie Konsequenzen: Auch wenn Sie nach einem Angriff so schnell wie möglich zum Tagesgeschäft zurückkehren möchten, ist es wichtig, weiterhin die Ressourcen zu überwachen und den Angriff rückblickend zu bewerten. Ihre Analyse nach dem Angriff sollte Folgendes umfassen:
- War die Ursache der Störung des Diensts oder des Benutzererlebnisses die fehlende skalierbare Architektur?
- Welche Anwendungen oder Dienste waren am stärksten betroffen?
- Wie effektiv war die DDoS-Reaktionsstrategie, und wie kann sie verbessert werden?
Microsoft folgen