Bei DDoS-Angriffen werden Netzwerke von Maschinen genutzt, die mit dem Internet verbunden sind.
Diese Netzwerke bestehen aus mit Malware infizierten PCs und anderen Geräten (z. B. IoT-Geräten), die von einem Angreifer online manipuliert werden können. Einzelne Geräte werden als Bots (oder Zombies) bezeichnet, während ein Botnetz eine Ansammlung von Bots ist.
Sobald tatsächlich ein Botnetz aufgebaut wurde, kann der Angreifer einen Angriff steuern, indem er jedem Bot Fernbefehle übermittelt.
Wenn ein Botnetz den Server oder das Netzwerk eines Opfers angreift, sendet jeder Bot Anfragen an die IP-Adresse des Ziels, was möglicherweise den Server oder das System überlastet und einen Denial-of-Service für den regulären Datenverkehr auslöst.
Es ist schwierig, den Angriffsverkehr vom echten Internetverkehr zu unterscheiden, da jeder Bot ein gültiges Internetgerät ist.
Identifizieren eines DDoS-Angriffs
Das sichtbarste Indiz für einen DDoS-Angriff ist, dass eine Website oder ein Dienst plötzlich träge oder nicht verfügbar ist. Da jedoch verschiedene Faktoren, wie z. B. ein tatsächlicher Anstieg des Datenverkehrs, zu identischen Leistungsproblemen führen können, sind in der Regel weitere Analysen erforderlich.
Einige dieser Warnsignale für einen DDoS-Angriff können mithilfe von Tools zur Verkehrsüberwachung erkannt werden:
- Ungewöhnliche Datenverkehrsmengen, die von einer einzelnen IP-Adresse oder einem Bereich von IP-Adressen ausgehen
- Es gibt einen Anstieg des Datenverkehrs von Benutzern mit ähnlichen Verhaltensprofilen, z. B. bestimmten Geräten, Standorten oder Internetbrowserversionen.
- Unerwartet hohe Nachfrage nach einer bestimmten Seite oder einem bestimmten Endpunkt
- Merkwürdige Verkehrsmuster, wie z. B. Spitzen zu ungewöhnlichen Tageszeiten oder Trends, die ungewöhnlich erscheinen (z. B. eine Spitze alle zehn Minuten).
Andere, spezifischere Symptome eines DDoS-Angriffs können je nach Angriff unterschiedlich sein.
DDoS-Angriffe: Wie lange dauern sie??
Langzeitangriff: Ein Langzeitangriff erfolgt über mehrere Stunden oder Tage. Beispielsweise verursachte der DDoS-Angriff auf AWS eine Unterbrechung von drei Tagen, bevor er behoben wurde.
Burst-Angriff: Diese DDoS-Angriffe werden relativ kurz durchgeführt und dauern kaum eine Minute oder ein paar Sekunden.
Lass dich nicht täuschen . Burst-Angriffe können trotz ihrer Schnelligkeit unglaublich verheerend sein. Mit der Einführung von Geräten für das Internet der Dinge (IoT) ist es nun möglich, aufgrund leistungsfähigerer Computer einen größeren Datenverkehr zu erzeugen. Folglich können Angreifer in kurzer Zeit große Mengen an Datenverkehr generieren. Ein Angreifer kann von einem DDoS-Burst-Angriff profitieren, da er viel schwieriger aufzuspüren ist.
Wie ist bei einem DDoS-Angriff vorzugehen?
DDoS-Verkehr nimmt im modernen Internet verschiedene Formen an. Von nicht manipulierbaren Single-Source-Angriffen bis hin zu komplizierten und adaptiven Multi-Vektor-Angriffen kann der Datenverkehr auf verschiedene Arten gestaltet werden.
Sie benötigen verschiedene Techniken, um mehreren Trajektorien eines DDoS-Angriffs mit mehreren Vektoren zu widerstehen.
Generell gilt: Je komplizierter der Angriff, desto schwieriger wird es, den Angriffsverkehr vom regulären Verkehr zu unterscheiden. Das Ziel des Angreifers besteht darin, so viele wie möglich unterzubringen, wodurch Abwehrmethoden unwirksam werden.
Bei Eindämmungsversuchen, die den Datenverkehr nach dem Zufallsprinzip entfernen oder begrenzen, besteht die Gefahr, dass guter und schädlicher Datenverkehr vermischt werden, und der Angriff könnte sich auch ändern und anpassen, um Gegenmaßnahmen zu vermeiden. Ein mehrschichtiger Ansatz bietet den größten Vorteil bei der Bewältigung eines komplizierten Störungsversuchs.
