kentoh - Fotolia

Tipp

DDoS-Abwehr: Wie man DDoS-Angriffe abwendet

Ein DDoS-Angriff kann für Unternehmen verheerende Folgen haben. Eine Reihe von Strategien kann helfen, die Attacken abzuwehren und den möglichen Schaden einzugrenzen.

Michael Cobb
von
Zuletzt aktualisiert:01 Jan. 2025

Wenn ein verteilter Denial-of-Service-Angriff erkannt wird, sind die Online-Dienste einer Organisation meist bereits in Mitleidenschaft gezogen. An diesem Punkt ist es entscheidend, den Schaden und die Ausfallzeit zu minimieren.

Angemessene Netzwerksicherheitsmaßnahmen sind der Schlüssel, um DDoS-Angreifer in Schach zu halten, aber Angreifer werden Verteidigungsstrategien unweigerlich umgehen. Wenn Organisationen angegriffen werden, sollten sie die folgenden Schritte unternehmen, um den Angriff zu stoppen und seine Auswirkungen zu mildern.

Die Art des DDoS-Angriffs identifizieren

Nachfolgend sind die drei typischen Arten von DDoS-Angriffen aufgeführt:

  • Volumenbasiert, bei dem Angreifer das Netzwerk mit Anfragen überfluten.
  • Protokollbasiert, bei dem Angreifer auf Layer 3 oder Layer 4 des OSI-Modells abzielen. Dazu gehören UDP-Reflection-Angriffe, Ping-of-Death-Angriffe, ACK-Flood-Angriffe, TCP-SYN-Flood-Angriffe, ICMP-Flood-Angriffe, Fraggle-Angriffe und Smurf-Angriffe.
  • Anwendungsschicht-basiert, bei dem Angreifer auf Layer 7 abzielen. Dazu gehören DNS-Abfragefluten und DNS-Verstärkungsangriffe, HTTP-Flood- und Fragmentierungsangriffe.

Die Kenntnis darüber, mit welcher Art von Angriff die Organisation konfrontiert ist, bestimmt, welche Schritte zur Schadensbegrenzung unternommen werden müssen.

Ratenbegrenzung und IP-Blocklistung

Die Abwehr von Angriffen auf Layer 3 umfasst die Begrenzung der Übertragungsrate und die IP-Blocklistung. Wenn Protokolle die IP-Adressen anzeigen, die den DDoS-Datenverkehr generieren, sollten diese blockiert werden. Beachten Sie jedoch, dass Angreifer IP-Adressen leicht fälschen können, um diese Verteidigungslinie zu umgehen.

Geoblocking kann ebenfalls Bots und große Botnets blockieren, die von Ländern aus operieren, die die Website normalerweise nicht besuchen, aber ein Angriff kann leicht auf ein anderes Botnet verlagert werden.

Der Nachteil dieser Ansätze besteht darin, dass auch legitimer Internetverkehr aus den auf der Sperrliste aufgeführten Regionen blockiert wird.

Blackhole-Routing

Angriffe auf Layer 4 erfordern in der Regel Blackhole-Routing, bei dem bösartiger Datenverkehr in ein Blackhole geleitet wird – eine virtuelle Sackgasse, in der bösartige Pakete gelöscht oder verworfen werden können.

Deep Packet Inspection

Layer-7-Angriffe werden in der Regel von Botnets gestartet, die Anfragen zufällig auswählen und ständig ändern, damit sie wie legitimer Benutzerverkehr aussehen. Bei dieser Art von DDoS-Angriffen ist Prävention der Schlüssel zum Erfolg. Deep Packet Inspection hilft dabei, bösartigen Datenverkehr zu blockieren.

Offline gehen

Ein System offline zu nehmen ist eine extreme Verteidigungsoption, die nur dann sinnvoll ist, wenn ein Angriff auf eine bestimmte Ressource abzielt. Wenn beispielsweise ein HTTP-Flood-Angriff Server mit Anfragen für große Bild- oder Dokumentdateien überschwemmt, können Administratoren Links zu dieser Ressource vorübergehend deaktivieren, während der Rest der Website normal weiterläuft. Sobald der Dienst oder die Ressource isoliert wurde, härten Sie sie gegen weitere Malware-Angriffe und schalten Sie sie wieder online.

Es ist wichtig, alle Änderungen an einem Netzwerkgerät oder einer Sicherheitskontrolle während eines Angriffs zu protokollieren, um sicherzustellen, dass das System nach Beendigung des Angriffs wieder in den Normalzustand zurückkehren kann.

Tools zur Erkennung von DDoS-Angriffen

Obwohl Tools zur Erkennung von DDoS-Angriffen einige Abwehrfunktionen bieten und einer Organisation Zeit verschaffen können, andere Abwehrmaßnahmen zu implementieren, handelt es sich um temporäre Lösungen, die von Angreifern umgangen oder überwältigt werden können. Darüber hinaus erfordern diese Tools ein gewisses Maß an internem Fachwissen.

Das Ändern von Konfigurationen als Reaktion auf eine erste Angriffswelle kann ähnliche Versuche möglicherweise stoppen, aber Angreifer werden ihre Methoden schnell ändern. Dies zwingt IT-Teams dazu, Konfigurationen ständig zu ändern, während sie gleichzeitig versuchen, ausgefallene Dienste wiederherzustellen. Das schiere Ausmaß vieler DDoS-Angriffe erfordert zusätzliche Maßnahmen, um sicherzustellen, dass Dienste zugänglich bleiben, da Organisationen mit Einschränkungen der Netzwerkbandbreite konfrontiert sind, die die Fähigkeit von Sicherheitshardware einschränken, Angriffe auf Netzwerkebene zu stoppen.

DDoS-Dienste

Viele Anbieter, darunter Cloudflare, Link11, Imperva und Akamai, bieten DDoS-Abwehrdienste an. Diese Anbieter können eingehenden Datenverkehr schnell und effizient verarbeiten und analysieren und ihn dann intelligent weiterleiten, um jegliche Dienstunterbrechungen zu verhindern.

DDoS-Schutzdienste sind entweder auf Abruf verfügbar – sie werden nur aktiviert, wenn eine DDoS-Bedrohung erkannt wird – oder sie sind immer aktiv, wobei der gesamte Datenverkehr durch ein Cloud-Scrubbing-Center geleitet und analysiert und gefiltert wird, bevor der saubere Datenverkehr an das Netzwerk übermittelt wird. Cloud-Scrubbing führt zu einer geringfügigen Latenz, eignet sich jedoch für geschäftskritische Anwendungen.

Schutz durch Internet Provider

Ein wirklich skalierbarer DDoS-Schutz ist nur vorgelagert möglich, und zwar beim Internetdienstanbieter, dem Content Delivery Network (CDN) und den DDoS-Abwehranbietern der Organisation. In der Regel bieten Internetdienstanbieter nur Schutz auf Netzwerkebene, aber es ist dennoch wichtig, den Anbietern so viele Informationen wie möglich zur Verfügung zu stellen – beispielsweise die verwendeten Protokolle und die Quelle der IP-Adressen –, damit sie den Datenverkehr blockieren können, bevor er den betroffenen Netzwerkperimeter erreicht.

Ein DDoS-Angriff wird oft als Köder benutzt, um Sicherheitsteams abzulenken, so dass Systeminfiltration oder Datenexfiltration unbemerkt bleiben - eine Praxis, die als Smokescreening bekannt ist. Die Verwendung eines Smokescreens bedeutet, dass die Reaktionsteams auf einen Angriff auch die Protokolle auf Hinweise auf andere Ereignisse untersuchen müssen, die während oder nach dem DDoS-Angriff stattfinden könnten.

Die Kommunikation offen gestalten

Während eines DDoS-Angriffs ist es wichtig, Führungskräfte, Mitarbeiter, Kunden und Partner auf dem Laufenden zu halten. Social-Media-Plattformen - die von dem Angriff nicht betroffen sind - sind ein effektiver Weg, um diese zu erreichen.

Nachbereitung eines DDoS-Angriffs: Präventionsmaßnahmen implementieren

Wenn ein Unternehmen bereits von einem DDoS-Angriff betroffen ist, ist es zu spät, Maßnahmen zur DDoS-Prävention zu ergreifen. Es ist jedoch wichtig, die folgenden Best Practices zu übernehmen, um DDoS-Angriffe in Zukunft zu verhindern:

  • Erstellen Sie einen Reaktionsplan für DDoS-Angriffe.
  • Führen Sie eine kontinuierliche Überwachung durch.
  • Befolgen Sie die bewährten Verfahren für das Patch-Management.
  • Verringern Sie die Angriffsfläche.
  • Skalieren Sie die Netzwerkbandbreite und die Serverkapazität.
  • Ratenbegrenzung einführen.
  • Verwenden Sie ein CDN, Load Balancing und Zugriffskontrolllisten (ACL).
  • Setzen Sie eine Web Application Firewall ein.

Erfahren Sie mehr über Netzwerksicherheit