VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

DDoS Attack

„Distributed Denial of Service”-Attacken (DDoS) sind mittlerweile einer der häufigsten Angriffe im Netz. Besserung ist nicht in Sicht. Eher das Gegenteil ist der Fall. Wie aber lassen sich DDoS-Angriffe erfolgreich abwehren?

Laut aktuellem Bericht des deutschen Sicherheitsunternehmens „Link11“ stieg die Zahl der Attacken im ersten Quartal 2017 im DACH-Raum im Vergleich zum Jahresanfang 2016 um unglaubliche 66,3 Prozent. Von Januar bis März 2017 wurden Unternehmen aus Deutschland, Österreich und der Schweiz insgesamt 11.510 Mal Opfer von DDoS-Angriffen. Anders ausgedrückt heißt das: alle zwei Minuten (!) gab es eine Attacke auf ein Unternehmen aus dem DACH-Gebiet. Ein umfassender Schutz vor solchen Angriffen ist daher unabdingbar.

Funktionsweise eines DDoS-Angriffs und seine Folgen

Ein DDoS-Angriff zielt darauf ab, die Bandbreite oder die Ressourcen eines Servers zu überlasten. Hierzu wird von verschiedenen Punkten im Internet eine Vielzahl gleichzeitiger Anfragen an den Server versandt. Dadurch wird der Dienst immer langsamer und instabiler. Unter Umständen ist er gar nicht mehr erreichbar. Internetkriminelle nutzen für diese DDoS-Attacken frei zugängliche Tools – viele erfordern nicht einmal tiefgehende IT-Kenntnisse. Die Motive der Angreifer sind dabei ganz unterschiedlich: Sie können persönlicher, politischer oder wirtschaftlicher Natur sein. Vor allem Unternehmen aus Industrie und Finanzen werden Opfer dieser Attacken und sollen Schutzgeld bezahlen. Nach „Link11“ verlangen die Internetkriminellen durchschnittlich 3 Bitcoin (aktuell etwa 10.800 Euro). Noch höher sind die Folgekosten für Unternehmen nach einem DDoS-Angriff: etwa 41.000 Euro für ein mittelständisches Unternehmen und bis zu 360.000 Euro für ein Großunternehmen. Auf diese Zahlen kam Kaspersky in einer Studie aus dem Jahr 2015. Es ist also nicht verwunderlich, dass einige Opfer auf die Forderungen der Kriminellen eingehen und das Schutzgeld bezahlen.

Neue Möglichkeiten für Internetkriminelle durch Botnetze

Diese gehen bei ihren Angriffen immer professioneller vor: War es in der Vergangenheit schwierig, ein einziges Ziel mit großen Datenmengen zu überfluten, vernetzen die Angreifer heute oft schlecht gesicherte Geräte aus dem Internet der Dinge (IoT) und schalten diese zu einem einzigen riesigen Botnetz zusammen. Auf diese Weise können Server mit zehntausenden Anfragen pro Sekunde angegriffen werden. Im September 2016 hielt der französische Provider OVH einer DDoS-Attacke von bis zu 1,1 Terabit pro Sekunde erfolgreich stand – der bis dato größte dokumentierte DDoS-Angriff überhaupt. Bei dieser Attacke kamen die Kapazitäten für den Angriff aus einem Botnetz von mehr als einer Million (!) Geräten aus dem IoT.

Abwehr eines DDoS-Angriffs

Wie konnte OVH diese DDoS-Attacken abwehren? Auf Basis einer VAC-Technologie („Vakuum-Umleitung“, bezeichnet eine Kombination von Technologien, die von OVH zum Schutz vor DDoS-Angriffen entwickelt wurde) nutzt OVH eine eigene Abwehrlösung. Mit dieser lassen sich alle Datenpakete mit hoher Geschwindigkeit in Echtzeit analysieren: Auf dem Server eingehender Traffic wird umgeleitet und unerwünschte IP-Pakete werden abgelehnt – nur erwünschte IP-Pakete werden weitergeleitet.

Wenn ein Angriff den Backbone erreicht, kommt es aufgrund der überschüssigen Bandbreiten-Kapazität (Gesamtbandbreite von 11 Tbit/s) dort nicht zu einer Überlastung von Verbindungs-Links. Sobald der Angriff beim Server ankommt, beginnt die Verarbeitung der Attacke. Gleichzeitig startet die Analyse des Traffics. Handelt es sich um eine Bedrohung, wird der automatische Schutz ausgelöst. Nach Start des Angriffs dauert es etwa 1 bis 60 Sekunden, und die Umleitung ist aktiviert. Der eingehende Traffic des Servers wird auf verschiedene VAC-Infrastrukturen umgeleitet, die eine Gesamtkapazität von über 3 Tbit/s aufweisen und in neun verschiedenen OVH Rechenzentren gehostet sind. Unabhängig von Umfang und Typ wird der Angriff ohne zeitliche Einschränkung blockiert. Erwünschter Traffic wiederum wird durch die VAC-Infrastruktur geleitet und gelangt so zum Server. Die Antworten des Servers gehen auf direktem Wege ins Netz – ohne Umweg über das VAC. Der DDoS-Schutz bleibt zur Sicherheit noch weitere 26 Stunden nach dem Angriff aktiv. Versucht ein Hacker in dieser Zeit wieder einen Angriff, wird dieser automatisch blockiert. Im Falle von Angriffen nach Ablauf von 26 Stunden wird der Schutz erneut aktiviert.

Verschiedene Ansätze, um DDoS-Attacken abzuwehren

Andere Hoster und Provider gehen mit unterschiedlichen Strategien an die Bekämpfung von DDoS-Attacken heran: Sie setzen auf spezielle Hardware, nutzen Lösungen wie Cloud-Scrubbing (externe Säuberungs-Dienste, die besonders große Bandbreite anbieten) oder greifen auf Blackholing zurück. Damit ist der Ausschluss von Anfragen gemeint, deren Quell-Adressen aus einem bestimmten IP-Bereich stammen. Nutzer aus eben diesem Bereich der IP-Adressen haben dann keinen Zugriff mehr auf den jeweiligen Server (Gegenstück ist das Sinkholing, hierbei sind einzelne Zieladressen für alle Besucher blockiert).

Um im Falle eines DDoS-Angriffs gut vorbereitet zu sein, sollten Unternehmen zusammen mit ihrem Provider eine entsprechende Abwehrstrategie festlegen. Hier sollte zum Beispiel definiert werden, welche konkreten Maßnahmen zum Einsatz kommen sollen. Auch gilt es, Prioritäten und Verantwortlichkeiten zu klären.

Jens ZeyerDr. Jens Zeyer, Marketing & PR Executive, Marketing & Sales bei OVH Germany 

Tb W90 H64 Crop Int 2a2bf3f19be38468db595d51f15fda7a
Nov 02, 2017

DDoS-Attacken über 50 Gbit/s haben sich vervierfacht

A10 Networks, Anbieter von sicheren Anwendungsdiensten, hat seinen Security Report…
Selbstüberschätzung
Okt 17, 2017

Fünf Empfehlungen für den Umgang mit DDoS-Angriffen

Die in der vergangenen Woche vorgestellte Studie von CDNetworks zeigt eine große…
GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt