Was ist DDoS und wie schütze ich mich davor?

Was ist DDoS und wie schütze ich mich davor?

Es macht wirklich keinen Spass, wenn man auf einmal von unbekannten Anfragen überlastet wird und das System dadurch zum Stillstand kommt. Könnte es ein DDoS-Angriff sein? Unser Security Officer Reto gibt einige Einblicke in den Ablauf einer DDoS-Attacke, Tipps, wie man das Ganze stoppen kann (Hinweis: Man bereitet sich besser vor!) und welche Sicherheitsmassnahmen man treffen kann.


Wofür steht “DDoS”?

DDoS-Angriffe sind die schwerwiegendsten Bedrohungen im IT-Bereich - besonders dann, wenn man auf seine Online-Präsenz oder Webservices angewiesen ist. DDoS steht für “distributed denial of service attack” und das Ziel eines solchen Angriffs ist einzig und allein, Ihre Online-Präsenz/Ihren Webservice durch Überladen nicht weiter verfügbar zu machen. 


Welche Gründe gibt es für “Distributed Denial of Service”-Attacken?

Es gibt viele Gründe, warum DDoS-Angriffe ausgeführt werden:

  • Um sich Geld zu verschaffen (Lösegeld)
  • Um Ihrem Unternehmen zu schaden, d.h. Ihr Netzwerk zu überladen
  • "politische" Gründe

 

Wie sieht ein DDoS-Angriff üblicherweise aus?


Phase 1 (optional): Auskundschaften

Der Angreifer versucht herauszufinden, wie Ihr Setup aussieht und wie er es am besten angreifen kann. In den meisten Fällen bleibt diese Phase unbemerkt.

 
Phase 2 (optional): Der Angreifer führt einen demonstrativen oder Test-Angriff durch.

Ein Angriff wird für eine kurze Zeit (meistens nur einige Minuten) durchgeführt, um dem Opfer entweder zu zeigen, dass ein DDoS-Angriff möglich ist, oder nur um zu testen, ob ein Angriff erfolgreich wäre. Wenn er nur zu Vorführungszwecken stattfindet, kontaktiert der Angreifer sein Opfer höchstwahrscheinlich und macht es auf den Angriff aufmerksam. Er informiert es auch, dass die Attacke durch Zahlung eines Lösegeldes abwendbar ist (Reaktion innerhalb weniger Stunden).

Phase 3: der eigentliche DDoS-Angriff

Der Server des Opfers wird von Datenverkehr aus der ganzen Welt (meistens von Botnets oder über die Datenverarbeitungsressourcen verschiedener Cloud-Anbieter) überflutet. Diese Art von Angriff kann sehr unterschiedlich ausfallen. Wenn der Angreifer eine Aukundschafts-Phase durchgeführt hat, weiss er auch genau, welche Angriffsart am effektivsten ist. Ebenso kann er mehrere Angriffsarten miteinander verbinden, sodass es noch schwieriger ist, das Ausmass zu begrenzen oder Sicherheitsmassnahmen zu treffen. Dazu kommt, dass der Datenverkehr sich nicht von legitimen Anfragen unterscheidet und dadurch schwer herauszufiltern sind.

 

Was macht Sie zum attraktiven Ziel und warum sind DDoS-Angriffe so beliebt?

  • Ihre IP ist nur einer Maschine (oder einem Load Balancer) zugewiesen
  • Es gibt nur eine oder wenige Interface(s), die man überladen kann
  • Je mehr Services laufen, desto mehr unterschiedliche Angriffe sind möglich 
  • DDoS ist ein effizientes Mittel, um das Opfer offline zu bekommen
  • Es gibt bereits vorgefertigte Frameworks für DDoS-Angriffe → besondere Kenntnisse sind nicht notwendig

 

Wie kann man DDoS-Angriffe verhindern oder ihr Ausmass begrenzen?

  • Sich hinter einem CDN wie Cloudflare «verstecken»
  • Die einfachste Art: Es nicht passieren lassen und vorbereitet sein, bevor man angegriffen wird.
  • Alle Services, die man nicht braucht, abschalten
  • Ressourcen-intensive Services schützen oder zumindest verstecken
  • Services auf verschiedene Hosts/IPs verteilen, sodass nicht alle gleichzeitig betroffen sind
  • AUF KEINEN FALL Lösegeld zahlen (Wirklich, tun Sie es nicht!)

    • → das macht Sie nur zu einem noch attraktiveren Ziel
    • → es ermutigt Angreifer dazu, weiterzumachen und noch andere anzugreifen

 

Wie kann nine Sie vor DDoS-Angriffen schützen

  • Wir bieten Cloudflare als CDN/WAF-Lösung an
  • Wir können Ihnen helfen, Schutzmassnahmen für den Angriffsfall zusammenzustellen
  • Wenn die Attacke erst einmal läuft, haben wir nur begrenzte Möglichkeiten, das Opfer zu unterstützen. Wir müssen uns darauf konzentrieren, andere Kunden vor den Auswirkungen des Angriffs zu beschützen.
  • Das heisst, dass wir den Datenverkehr einem Black-Hole-Server zuweisen, sodass das Opfer unerreichbar wird. Dies reduziert die Netzwerklast und andere Kunden sind weiterhin erreichbar.  

Sie möchten weitere Informationen?

Zum DDoS-Schutz von nine

 

Fazit

DDoS-Angriffe sind ärgerlich. Wenn sie einmal laufen, kann man sie nur schwer aufhalten und man wird in jedem Fall einige Zeit offline sein. Wenn ein Angriff stattfindet, müssen wir uns zunächst darauf konzentrieren, die Auswirkungen auf andere Kunden zu reduzieren. Eine gute Vorbereitung ist daher sinnvoll. Wir von nine helfen Ihnen gerne dabei, geeignete Schutzmassnahmen zu implementieren.

 

Keinen Blogpost mehr verpassen?  

Jetzt für den nine Blog anmelden

 

Reto Bollinger

Reto is Information Security Officer at Nine