Bei DDoS-Angriffen werden Netzwerke von Rechnern verwendet, die mit dem Internet verbunden sind.
Diese Netze bestehen aus mit Malware infizierten PCs und anderen Geräten (z. B. IoT-Geräten), die von einem Angreifer online manipuliert werden können. Einzelne Geräte werden als Bots (oder Zombies) bezeichnet, während ein Botnet eine Sammlung von Bots ist.
Sobald ein Botnetz aufgebaut ist, kann der Angreifer den Angriff steuern, indem er den einzelnen Bots Remote-Befehle übermittelt.
Wenn ein Botnet den Server oder das Netzwerk eines Opfers angreift, sendet jeder Bot Anfragen an die IP-Adresse des Ziels, wodurch der Server oder das System möglicherweise überlastet wird und ein Denial-of-Service für den regulären Datenverkehr ausgelöst wird.
Die Unterscheidung des Angriffsverkehrs vom echten Internetverkehr ist schwierig, da jeder Bot ein gültiges Internetgerät ist.
Inhalt
Erkennen eines DDoS-Angriffs
Eine plötzlich verlangsamte oder nicht mehr verfügbare Website oder Dienstleistung ist der sichtbarste Hinweis auf einen DDoS-Angriff. Da jedoch verschiedene Faktoren, wie z. B. ein echter Anstieg des Datenverkehrs, zu identischen Leistungsproblemen führen können, ist in der Regel eine genauere Analyse erforderlich.
Einige dieser Warnsignale eines DDoS-Angriffs können mit Tools zur Überwachung des Datenverkehrs erkannt werden:
- Ungewöhnliches Verkehrsaufkommen, das von einer einzigen IP-Adresse oder einer Reihe von IP-Adressen ausgeht
- Der Datenverkehr von Nutzern mit ähnlichen Verhaltensprofilen, wie z. B. bestimmten Geräten, Standorten oder Internet-Browser-Versionen, steigt stark an.
- Unerwartet hohe Nachfrage nach einer bestimmten Seite oder einem bestimmten Endpunkt
- Seltsame Verkehrsmuster, wie z. B. Spitzen zu ungewöhnlichen Tageszeiten oder Trends, die anormal aussehen (z. B. eine Spitze alle zehn Minuten).
Andere, spezifischere Symptome eines DDoS-Angriffs können sich je nach Angriff unterscheiden.
DDoS-Angriffe: Wie lange dauern sie?
Langfristige Attacke: Ein Langzeitangriff erstreckt sich über mehrere Stunden oder Tage. Beispielsweise verursachte der DDoS-Angriff auf AWS drei Tage lang Unterbrechungen, bevor er behoben wurde.
Burst-Angriff: Diese DDoS-Angriffe werden relativ kurz ausgeführt und dauern kaum eine Minute oder ein paar Sekunden.
Lassen Sie sich nicht täuschen. Burst-Angriffe können trotz ihrer Schnelligkeit unglaublich verheerend sein. Mit der Einführung des Internets der Dinge (IoT) ist es nun möglich, dank leistungsfähigerer Computer einen umfangreicheren Datenverkehr zu erzeugen. Folglich können Angreifer in kurzer Zeit große Mengen an Datenverkehr erzeugen. Ein Angreifer kann von einem Burst-DDoS-Angriff profitieren, weil er viel schwieriger zu verfolgen ist.
Wie geht man mit einem DDoS-Angriff um?
Der DDoS-Verkehr nimmt im heutigen Internet verschiedene Formen an. Von unüberprüfbaren Single-Source-Angriffen bis hin zu komplizierten und anpassungsfähigen Multi-Vektor-Angriffen kann der Datenverkehr auf vielfältige Weise gestaltet werden.
Sie benötigen verschiedene Techniken, um mehrere Flugbahnen eines DDoS-Angriffs mit mehreren Vektoren abzuwehren.
Je komplizierter der Angriff, desto schwieriger ist es, den Angriffsverkehr vom normalen Verkehr zu unterscheiden - der Angreifer versucht, so viele Daten wie möglich einzuschleusen, so dass die Abwehrmethoden unwirksam werden.
Bei Entschärfungsversuchen, die den Datenverkehr willkürlich entfernen oder einschränken, besteht die Gefahr, dass guter und schädlicher Datenverkehr vermischt wird, und der Angriff könnte sich auch verändern und anpassen, um Gegenmaßnahmen zu umgehen. Ein mehrstufiger Ansatz bietet den größten Vorteil bei der Überwindung eines komplizierten Störungsversuchs.
