Besuchen Sie uns auf der it-sa 2024!

Home>

Was ist ein DDoS-Angriff?

Beispiel Ansicht eines DDoS-Angriffs

Was ist ein DDoS-Angriff?

7 von 10 Organisationen erwarten schwere Schäden durch DDoS-Attacken.“ – Lünendonk 2023
 
DDoS-Angriffe werden von Kriminellen seit mehr als 20 Jahren dazu genutzt, um Unternehmen und Institutionen gezielt Schaden zuzufügen. Ihre immense Schlagkraft macht sie zu einer unkalkulierbaren, ernstzunehmenden Gefahr. Mit Myra ist Ihre IT-Infrastruktur sicher.

Zum Myra DDoS Schutz

Auf einen Blick

  1. 1. Was ist „DDoS“?
    1. 2. Wie sieht ein DDoS-Angriff aus?
      1. 3. Distributed-Reflected-Denial-of-Service-Angriff (DRDoS)
        1. 4. Wer sind die Angreifer?
          1. 5. Ziele von DDoS-Angriffen
            1. 6. Welche Methoden setzen Angreifer ein?
              1. 5.1 DDoS-Angriffe auf Layer 3 und 4
              2. 5.2 DDoS-Angriffe auf Layer 7
            2. 7. Ab wann ist DoS/DDoS strafbar
              1. 8. Was sind die Folgen eines Angriffs?
                1. 9. Weshalb das IoT ein DDoS-Brandbeschleuniger ist
                  1. 10. Welche Branchen sind betroffen?
                    1. 11. So lassen sich DDoS-Angriffe abwehren
                      1. 12. Evolution der DDoS-Angriffe
                        1. 13. Insights aus dem Myra Security Operations Center
                          Erklärungsgrafik in welchen 3 Schichten DDoS Angriffe von Myra abgewährt werden

                          01

                          Was ist „DDoS“?

                          Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) Angriff ist ein „verteilter“ Denial-of-Service (DoS) Angriff, der wiederum eine Dienstblockade darstellt. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine mutwillig herbeigeführte Überlastung der IT-Infrastruktur. Angreifer nutzen diese Art der Cyber-Kriminalität, um von ungeschützten Organisationen Lösegelder zu erpressen oder um andere kriminelle Handlungen durchzuführen, zu vertuschen oder vorzubereiten.

                          Überwachungskamera

                          02

                          Wie sieht ein DDoS-Angriff aus?

                          Bei einem DDoS-Angriff führen Angreifer die Nichtverfügbarkeit eines Dienstes oder Servers gezielt herbei. Einer der Wege ist das Infizieren von mehreren Rechnern mit Schadsoftware, mit der sie unbemerkt die Kontrolle über diese Computer übernehmen. Die Angreifer missbrauchen dieses infizierte Rechner-Netz, auch Botnetz genannt, ferngesteuert für ihre DDoS-Attacken. Mit dem Botnetz greifen sie parallel ihr Ziel an und beschießen dabei dessen Infrastruktur mit zahllosen Anfragen.

                          Je mehr Rechner zusammengeschaltet werden, desto schlagkräftiger ist die Attacke. Angegriffene Server ohne DDoS-Abwehr sind mit der enormen Anzahl von Anfragen überfordert, ihre Internetleitung ist überlastet. Websites bauen sich nur noch stark verlangsamt auf oder sind überhaupt nicht mehr verfügbar.

                          Person arbeitet an einem Laptop

                          03

                          Distributed-Reflected-Denial-of-Service-Angriff (DRDoS)

                          Bei einer Distributed-Reflected-Denial-of-Service-Attacke handelt es sich um eine Sonderform von DoS. Dabei stammen die schädlichen Anfragen nicht etwa von einem Botnet, sondern von regulären Internetdiensten. Mittels IP-Spoofing (dem Versenden von IP-Paketen mit verfälschter IP-Absenderadresse) manipulieren Angreifer diese Dienste, um Traffic auf das jeweilige Ziel zu leiten. Durch dieses Vorgehen ist eine Verschleierung der Attacke möglich. DRDoS-Attacken erfolgen beispielsweise über DNS-Dienste als sogenannte DNS Amplification Attack, bei der massive Datenströme an das Opfer ausgehen. Bei einem Angriff auf die Antispam-Organisation spamhaus.org führte eine solche DNS Amplification Attack zu Lastspitzen von 300 GBit/s.

                          04

                          Wer sind die Angreifer?

                          Ihre Motive für einen DDoS-Angriff sind ebenfalls vielfältig: Erpressung, Schädigung der Konkurrenz, Neid oder politischer Protest. Das Ziel ist jedoch immer dasselbe: Der dahinterstehenden Organisation soll ein möglichst großer Schaden zugesetzt werden.

                          • Einzelne Kriminelle oder Gruppierungen

                          • Politische Aktivisten

                          • Wettbewerber

                          • Unzufriedene Nutzer

                          05

                          Ziele von DDoS-Angriffen

                          DDoS-Angriffe sind nicht nur eine technische Herausforderung; sie sind oft Teil einer größeren Strategie von Cyberkriminellen. Das Ziel dieser Angriffe kann vielschichtig sein, und es ist entscheidend, die Motive hinter den Angriffen zu verstehen, um effektive Sicherheitsmaßnahmen zu ergreifen.

                          Erpressung und finanzielle Motivation

                          Ein häufiges Ziel von DDoS-Angriffen ist die Erpressung von Unternehmen. Angreifer setzen oft DDoS-Attacken als Druckmittel ein, um Lösegeld zu verlangen. Sie drohen damit, die Dienste eines Unternehmens für eine bestimmte Zeit zu stören, es sei denn, sie erhalten eine Zahlung. Dies kann besonders für Unternehmen verheerend sein, die auf ihre Online-Präsenz angewiesen sind.

                          Rufschädigung und Wettbewerbsverdrängung

                          DDoS-Angriffe können auch dazu verwendet werden, den Ruf eines Unternehmens zu schädigen. Wenn ein Unternehmen während eines Angriffs offline ist, kann dies potenzielle Kunden abschrecken und die Glaubwürdigkeit beeinträchtigen. In wettbewerbsintensiven Branchen nutzen einige Akteure DDoS-Angriffe, um Konkurrenten zu schwächen oder deren Marktanteile zu verringern.

                          Politische oder soziale Botschaften

                          Manchmal sind DDoS-Angriffe ein Werkzeug des Aktivismus. Gruppen, die sich für soziale oder politische Veränderungen einsetzen, nutzen DDoS-Attacken, um auf ihre Anliegen aufmerksam zu machen. Diese sogenannten „Hacktivisten“ sehen ihre Aktionen als Formen des Protests, auch wenn sie in vielen Fällen rechtliche und ethische Grauzonen betreten.

                          Ablenkung für andere Angriffe

                          DDoS-Angriffe können auch als Ablenkung verwendet werden, um andere, subtilere Angriffe durchzuführen. Während die IT-Abteilung eines Unternehmens damit beschäftigt ist, die DDoS-Attacke abzuwehren, können Angreifer versuchen, in das Netzwerk einzudringen und sensible Daten zu stehlen. Diese Taktik unterstreicht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes, der DDoS-Schutz nicht isoliert betrachtet.

                          Testen von Schwachstellen

                          Ein weiterer Grund für DDoS-Angriffe kann die Absicht sein, die Verteidigungsmechanismen eines Unternehmens zu testen. Cyberkriminelle können DDoS-Angriffe als Möglichkeit nutzen, um herauszufinden, wie gut ein Unternehmen auf solche Bedrohungen reagiert und welche Sicherheitslücken möglicherweise existieren.

                          Cyberkrimineller in einem dunklen Raum

                          06

                          Welche Methoden setzen Angreifer ein?

                          Cyber-Kriminelle nutzen unterschiedliche Arten von DDoS-Angriffen. Die Methoden lassen sich nach den jeweiligen Schichten ordnen (gemäß dem Open Systems Interconnection Modell für Netzwerkprotokolle, kurz OSI-Modell), auf die der Angriff abzielt.

                          Eine der häufigsten Methoden ist, Systemressourcen oder Netzwerkbandbreiten zu überlasten (Layer 3 und 4). Als Trend zeichnet sich unter den Cyber-Kriminellen in den letzten Jahren ab, die Angriffe auf die Anwendungsebene (Layer 7) zu verlagern. Muster und Bandbreiten von DDoS-Attacken ändern sich jedoch täglich. Mit der DDoS-Protection von Myra sind Sie vor jeglichen Angriffsmustern geschützt.

                          DDoS-Angriffe auf Layer 3 und 4

                          Zu den häufigsten Attacken auf die Vermittlungs- und Transportschicht (Layer 3 und 4) zählen TCP SYN Floods und DRDoS-Angriffe auf UDP-Basis. Weitere typische Angriffsvarianten sind ICMP-Flood, UDP-Fragmentation, UDP-Amplification via DNS, NTP, rpcbind, SSDP, ACK-Flood und RST-Flood. Alle diese Angriffe belasten das Ziel entweder mit sehr hohen Bandbreiten oder immensen Paketraten. Legitime Zugriffe finden so keinen Datenkanal mehr, um eine Kommunikation zu etablieren.

                          Beispielsweise bombardiert ein von Angreifern ferngesteuertes Botnetz bei einer SYN/ACK-Attacke (oder SYN- und ACK-Floods) einen Server mit SYN-Paketen. Diese sind normalerweise Teil des sogenannten Threeway Handshake (Drei-Wege-Handschlag), der beim Aufbau einer TCP-Verbindung zwischen Client und Server erfolgt. Eine SYN/ACK-Attacke provoziert massenhaft halboffene Verbindungen, indem sie viele SYN-, aber keine zum vollständigen Verbindungsaufbau benötigten ACK-Pakete sendet. Die Folge: Es können keine neuen Verbindungen mehr hergestellt werden, und die Website ist nicht mehr erreichbar.

                          Das Myra Cloud Scrubbing schützt IT-Infrastrukturen vor solchen volumetrischen Angriffen auf der Vermittlungs- und Transportschicht. Über das automatische Flow-Monitoring sind detaillierte Traffic-Analysen möglich. Die Umschaltung von betroffenen Netzen erfolgt im Angriffsfall vollautomatisch.

                          DDoS-Angriffe auf Layer 7

                          DDoS-Attacken auf der Anwendungsschicht (Layer 7) basieren auf bereits aufgebauten Verbindungen und haben sich zu einer der häufigsten Angriffsformen entwickelt. Insbesondere HTTP GET, POST und weitere Flood-Attacken sowie Low- und Slow-Angriffe sind bei Cyberkriminellen beliebt. Sie zielen darauf ab, die schwächste Komponente einer Infrastruktur zu penetrieren und so eine Überlastung der Webapplikation hervorzurufen.

                          Beispielsweise überfluten Angreifer bei einer HTTP-GET-Flood-Attacke einen Webserver mit HTTP-Anfragen, die etwa gezielt Seiten mit großem Ladevolumen aufrufen. Dadurch wird der Server überlastet und kann keine legitimen Anfragen mehr verarbeiten. Die Folge: Die Website ist für Nutzer nicht mehr erreichbar.

                          Attacken auf der Applikationsebene werden von den Sensoren eines Schutzes für die Vermittlungs- und Transportschicht meist nicht bemerkt. Da es sich um Standard-URL-Anfragen handelt, sind Flood-Attacken nur schwer von regulärem Traffic zu unterscheiden. Schutzsysteme für Layer 3 und 4 erkennen zum Beispiel keinen Unterschied zwischen einem HTTP-GET-Flood-Angriff und einem validen Download. Entsprechend erfordert es zur Absicherung einer Webapplikation eine IT Sicherheit auf allen relevanten Layern. Vor allem Angriffe, die auf das Abgreifen sensibler Daten abzielen, lassen sich nur durch einen Layer-7-Schutz erkennen und abwehren.

                          Der DDoS Schutz von Myra schützt Webapplikationen auf Layer 7 vollautomatisch. Dank hundertprozentiger Traffic-Sichtbarkeit ermöglicht Myra ein intelligentes Load-Balancing sowie Site Failover mit hoher Zuverlässigkeit und minimalen Antwortzeiten.

                          Person am Laptop und mit einem Handy in der Hand beim Code schreiben

                          07

                          Ab wann ist DoS/DDoS strafbar

                          Generell gilt, dass DoS/DDoS-Angriffe auf einen Dienst im Internet gemäß § 303b StGB in Deutschland als Computersabotage anzusehen sind und damit auch strafrechtlich verfolgt werden. Dabei spielt es keine Rolle, ob die Attacke einen kriminellen Hintergrund (etwa für Lösegeldforderungen) oder aber als Teil einer politisch motivierten Protestaktion erfolgen. In manchen Ländern macht man sich bereits durch den Download oder den Besitz von DoS- oder DDoS-Software strafbar. Legal dürfen solche Angriffe in der Regel nur auf die eigene Hardware im eigenen Netzwerk angewandt werden. Ausnahmen gelten für engagierte Sicherheitsprüfer im Rahmen sogenannter Penetrations-Test.

                          Was sind die Folgen eines Angriffs?

                          Ein Angriff schadet betroffenen Unternehmen und Institutionen immer, unabhängig von der gewählten Methode. An den Folgen leiden betroffene Organisationen noch Jahre später. Eine effiziente DDoS-Kontrolle ist deshalb äußerst wichtig.

                          Icon Achtung Gefahr

                          Wirtschaftliche Schäden

                          Wenige Minuten offline sein kostet schnell mehrere tausend Euro. Entgangene Gewinne und verpuffte Marketing-Budgets sind nur ein Teil der finanziellen Schäden.

                          Icon Achtung Gefahr

                          Imageschäden

                          Nach einem erfolgreichen DDoS-Angriff ist der Reputationsverlust unkalkulierbar groß. Der Wiederaufbau kostet viele Ressourcen und kann Jahre dauern.

                          Icon Achtung Gefahr

                          Datendiebstahl

                          Während eines DDoS-Angriffs funktionieren die Systeme nicht mehr in der gewohnten Form. Unter Hoch- bzw. Überlast werden manche Systeme plötzlich angreifbar und eröffnen neue Angriffsvektoren.

                          Geldscheine und Laptop

                          09

                          Weshalb das IoT ein DDoS-Brandbeschleuniger ist

                          Der Sammelbegriff IoT (Internet of Things) umfasst eine Vielzahl vernetzter Geräte, die etwa aus privaten Haushalten stammen, wie beispielsweise IP-Kameras, oder aber auch vernetzte Produktionsanlagen in der Industrie sowie intelligente Steuerelemente in der öffentlichen Infrastruktur. Diese mit dem Internet verbundenen Geräte stellen ein attraktives Ziel für Cyberkriminelle dar, da sie sich als Werkzeug für DDoS-Angriffe und andere Attacken eignen. Um die Kontrolle über IoT-Geräte zu erlangen, setzen Cyberkriminelle spezielle Schadsoftware ein, die sich selbständig in Netzwerken verbreitet. Ziel ist es meist, möglichst viele Systeme zu korrumpieren, um diese für eine Botnet-Attacke zu nutzen. Ein populäres Beispiel eines solchen Schädlings ist die Mirai-Malware, die von Cyberkriminellen für den Aufbau von Botnetzen eingesetzt wird. Mit Mirai wird etwa die Attacke auf den Internet-Dienstleister Dyn im Jahr 2016 in Zusammenhang gebracht. Ein Verbund aus Abertausenden IP-Kameras, Druckern, Smart-TVs und anderen Geräten hatte als DDoS Network die Attacke ausgeführt und die Dyn-Server über Stunden hinweg lahmgelegt.

                          Thermal image train station

                          10

                          Welche Branchen sind betroffen?

                          Opfer einer DDoS-Attacke kann jede Branche und jedes Unternehmen unabhängig von seiner Größe werden. Die Frage ist nicht, ob, sondern wann ein Angriff auf das eigene Unternehmen stattfindet und wie schnell dieser entdeckt wird. Im Fokus von Cyber-Kriminellen und -Erpressern stehen E-Commerce-Unternehmen, Banken, FinTech-Unternehmen und Versicherungen, produzierende Unternehmen, Medien oder das Gesundheitswesen. Auch Rechenzentren und Organisationen aus dem öffentlichen Sektor sind beliebte Ziele der DDoS-Angreifer. Die Motive der Kriminellen gehen weit über Lösegeldforderungen hinaus: Mit ihren Angriffen wollen sie Fertigungsanlagen und Produktionsprozesse lahmlegen, die Strom- oder Energieversorgung unterbrechen und Einfluss auf die Berichterstattung nehmen.

                          PC Komponente

                          11

                          So lassen sich DDoS-Angriffe abwehren

                          Für die DDoS-Mitigation oder DDoS-Protection ist der Einsatz spezieller Schutztechnologien erforderlich. Diese sind sowohl als Appliance für den Einsatz on premisses sowie auch als SECaaS-Dienstleistung erhältlich. Letztere Variante ist nicht durch die verfügbare Bandbreite des eigenen Anschlusses gedrosselt und daher weitaus agiler einsetzbar. DDoS-Schutzlösungen reinigen den eingehenden Traffic und unterscheiden so zwischen validen Anfragen und schädlichen Zugriffen. Unternehmen, die besonders häufig von DDoS-Attacken betroffen sind, lassen ihre DDoS-Angriffsprävention dauerhaft aktiv – andere setzen die Lösungen nur im Bedarfsfall ein, um Aufwand und Kosten zu reduzieren.

                          12

                          Evolution der DDoS-Angriffe

                          Häufigkeit und Stärke von DDoS-Angriffen haben im Verlauf der vergangenen 10 Jahre exponentiell zugenommen. Vor allem im Jahr 2013 hatte die Angriffsstärke massiv zugelegt, da zu jener Zeit erstmals vermehrt DNS-Server für DRDoS-Attacken eingesetzt wurden. So kam es etwa bei einem Angriff auf die Antispam-Organisation spamhaus.org zu Lastspitzen von 300 GBit/s. Im darauffolgenden Jahr erreichten erste Attacken bereits die Marke von 500 GBit/s. 2016 sorgte die Mirai-Malware für eine weitere Rekord-Attacke. Die Schadsoftware spannte ein Botnet mit über 100.000 IoT-Geräten auf, das gebündelt eine 1,2 TBit/s starke Attacke auf den Dienstleister Dyn abschoss. Die bislang stärksten gemessenen DDoS-Attacken erfolgten im Jahr 2018. Damals wurde die Coding-Plattform GitHub von Traffic-Spitzen mit 1,35 TBit/s überlastet. Im selben Jahr verzeichneten Sicherheitsforscher zudem einen Angriff mit über 1,7 TBit/s auf ein US-Unternehmen. Unterdessen nahm auch die Häufigkeit von DDoS-Attacken über die Jahre hinweg beständig zu. So ist die Frequenz von DDoS-Angriffen allein zwischen 2014 und 2017 um mehr als das 2,5-fache gestiegen.

                          Blocked Attacks diagram

                          13

                          Insights aus dem Myra Security Operations Center

                          Myra, als spezialisierter Schutzdienstleister für Organisationen in stark regulierten Branchen, bietet ein präzises Lagebild der Traffic-Entwicklungen in Bereichen wie Finanz- und Versicherungswesen, Gesundheitswesen, öffentlicher Sektor sowie Kritische Infrastrukturen (KRITIS).
                           

                          • Im ersten Quartal 2024 wurde eine Steigerung bösartiger Anfragen auf Webseiten, Online-Portalen und Web-APIs um 29,8 Prozent im Vergleich zum Vorjahr festgestellt.

                          • Im zweiten Quartal verstärkte sich dieser Anstieg nochmals deutlich auf 80 Prozent.

                          • Über das gesamte erste Halbjahr 2024 hinweg summierte sich der Zuwachs bösartiger Anfragen auf 53,2 Prozent im Vergleich zum Vorjahr.

                          Häufige Fragen zu DDoS Angriffen

                          © Myra Security GmbH 2024, alle Rechte vorbehalten

                          Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB