TwitterFacebookCallback


Roger Minder
Key Account Manager Crossmedia
 
041 318 34 26
r.minderbag.ch
Newsletter abonnieren

06.07.2016

Kategorie: Trends


Die Bedrohung durch DDoS-Attacken und wie Sie sich dagegen schützen können

 

Nebst Viren und Trojanern zählen DDoS-Attacken zu den gefährlichsten Bedrohungen im World Wide Web. Der Begriff DoS steht für «Denial-of-Service» oder übersetzt «Verweigerung des Dienstes». Wird ein DoS-Angriff von einer grösseren Anzahl von Systemen durchgeführt, wird von einer Distributed-Denial-of-Service bzw. DDoS-Attacke gesprochen.

 

Wie aktuell und real diese Bedrohung ist, hat sich Mitte März gezeigt, als die Schweiz im Fokus von massiven DDoS-Angriffen stand. Die Liste der Schweizer Unternehmen und deren Online-Shops, die zeitweise nicht mehr erreichbar waren, ist lang. Der Imageverlust und der wirtschaftliche Schaden bei Digitec, Galaxus, LeShop, Interdiscount, Microspot und vielen weiteren war gross. Nicht nur Grossunternehmen, sondern auch KMU sind immer öfter im Fokus der Cyberkriminellen.

 

 

 

Was ist das Ziel von DoS-Attacken?

 

DoS- bzw. DDoS-Attacken kennt man seit den Anfängen des World Wide Web. Das Ziel dieser Attacken ist nicht, sich Zugang zu fremden Servern zu verschaffen, um an vertrauliche Daten zu gelangen, sondern die Websites oder Online-Shops empfindlich zu stören oder sogar ganz lahmzulegen. Das kann dazu führen, dass Websites oder Dienstleistungen für wenige Minuten bis zu einigen Tagen nicht mehr verfügbar sind.

 

 

 Wie laufen DDoS-Attacken ab?

 

Es gibt unterschiedliche Strategien, wie solche Angriffe ausgeführt werden können. Das Grundprinzip ist bei allen Angriffen gleich:

 

Ein Angreifer (auch Client genannt) beauftragt einen Master (auch Handler genannt). Dieser steuert mehrere Daemons (auch Agents genannt). Diese attackieren schliesslich das Opfer.

 

Ablaufschema einer DDoS-Attacke

 Ablaufschema einer DDoS-Attacke.

 

 

Der Angreifer kommuniziert über eine oftmals illegal verwendete IP-Adresse mit den verteilten Mastern. Die IP-Adressen bzw. offenen Ports dieser Master hat er mithilfe von eingeschleusten Scripts und Scanning-Tools erfahren. Potenzielle Angriffsziele und deren Schwachstellen werden über Internet-Sicherheits-Scanner ausfindig gemacht.

 

Nach dem Offenlegen der gefundenen Schwachstellen und Zugriffsmöglichkeiten installiert der Angreifer ein Script. Mit Hilfe dieses Scripts legt der Angreifer die Grundlage: seine Master- und Daemon-Systeme während der geplanten Attacke fernzusteuern. Dieses automatisierte Vorgehen ermöglicht den Aufbau eines weltweit verteilten Angriffsnetzwerks (sogenannte Bot-Nets), ohne dass die eigentlichen Besitzer der Systeme etwas davon wissen. Durch die Installation einer Tarnsoftware, eines sogenannten Rootkits, kann zudem die Anwesenheit der Schadprogramme und genutzten Netzwerkverbindungen geschickt versteckt werden. Normale Virenscanner sind mit Rootkits oftmals überfordert.

 

Um die Attacke zu starten, sendet der Angreifer die «Zielkoordinaten» in Form der IP-Adresse, Portnummer, Angriffsart sowie Start- und Stoppzeit an die Master. Die weitere, häufig zeitversetzte Steuerung des Angriffs liegt nun bei den Mastersystemen – diese steuern ihrerseits eine Vielzahl von verteilten Daemons, die den eigentlichen Angriff durchführen. Da zu diesem Zeitpunkt keine aktive Verbindung zwischen dem Angreifer und den Daemons besteht, kann der Ursprung des Angriffs praktisch nicht zurückverfolgt werden.

 

Die am häufigsten verwendete Angriffsform ist das UDP-Flooding (Senden von grossen Mengen an Datenpaketen an zufällig ausgewählte Ports, bis diese unerreichbar werden) und TCP SYNC (Verzögerung der Handshake-Prozedur beim Aufbau von TCP-Verbindungen).

 

Spannend: Wo welche Art DDoS-Angriffe aktuell und weltweit stattfinden, zeigt die «Digital Attack Map» von Norse auf eindrückliche Weise. (http://map.norsecorp.com/)

 

 

 Aufnahme von real ablaufenden DDoS-Attacken. Quelle: Norscorp. Siehe auch http://map.norsecorp.com/.

 

 

 Was sind die Motive für DDoS-Attacken?

 

Die Motive dieser Angriffe sind sehr unterschiedlich – sie reichen vom jugendlich leichtsinnigen Freak ohne finanzielle Interessen über Racheaktionen gegen Firmen bis hin zur professionellen Hackerorganisation mit bösartigen Drohungen und Schutzgelderpressungen. Erschreckend ist, wie einfach gemanagte DDoS-Attacken für wenig Geld via Online-Portal und Kreditkarte in Auftrag gegeben werden können.

 

Motive für DDoS-Attacken. Quelle: Swisscom / ARBOR-Networks

 

 

Welche Folgen kann eine DDoS-Attacke haben?


Während einer gezielten DDoS-Attacke geht häufig gar nichts mehr – sie führt ohne geeignete Massnahmen bis zum Totalausfall der attackierten Server. Als Folge können Websites, Online-Shops oder sogar ganze Unternehmensnetzwerke nicht mehr erreichbar sein. Dieser Ausfall kann vom Angreifer beliebig wiederholt oder ausgedehnt werden – auch während Wochen oder Monaten. Für kleine und mittelständische Unternehmen kann das schnell sehr hohe Kosten bedeuten oder sogar existenzbedrohende Folgen haben. Zu diesen primären Kosten durch die Betriebsunterbrechung kommen Sach- und Personalkosten für die Säuberung und Instandstellung der Systeme.

 

Wie kann man sich vor DDoS-Attacken schützen?

 

Die heute verfügbaren Massnahmen verfolgen zwei wesentliche Ziele:

 

1. Verhindern, dass eigene Systeme infiltriert und für DDoS-Attacken als Master oder Daemon missbraucht werden


Um dieses Ziel zu erreichen, stehen wirkungsvolle Schutzmassnahmen zur Verfügung. Dazu zählen ein wirksamer Virenschutz mit aktuellen Virendefinitionen und eine gut gemanagte Firewall.
 
 

2. Proaktiver DDoS-Schutz der eigenen Server- und Netzwerkinfrastruktur

 

Die bisher bekannten Schutzmassnahmen beschränkten sich bei einem Angriff meist auf die komplette Abschaltung der Systeme (Blackhole-Technik) bzw. Umleitung (Route to Null) durch die Routerports der Backbone-Systeme. In beiden Fällen werden die Datenströme gelöscht bzw. umgeleitet. Das Unternehmen kann nicht mehr erreicht werden.

Moderne DDoS-Sicherheitssysteme überwachen die Datenflüsse permanent und reagieren bei Anomalien durch die sofortige Alarmierung der Sicherheits- bzw. Netzwerkadministratoren und die proaktive Einleitung von Schutz- bzw. Gegenmassnahmen. Diese können je nach System und Konfiguration wie folgt ablaufen:

  • Erkennen des zusätzlichen abnormalen Datenverkehrs
  • Identifizieren des DDoS-Attacken-Typs
  • Automatische Alarmierung der Sicherheits-/Netzwerkadministratoren
  • Aktivierung der Schutzmassnahmen
  • Umleitung (Rerouting) der DDoS-Attacke
  • Aktive Filterung der DDoS-Attacke
  • Weiterleitung des zulässigen Datenverkehrs, das Unternehmen bleibt erreichbar

 

 Abwehr einer DDoS-Attacke. Quelle: Swisscom / ARBOR-Networks

 

 

Welche Massnahmen sind im Falle einer ungeschützten DDoS-Attacke empfohlen?

 

Wenn Ihr Internetprovider bzw. Ihr Hostingpartner bisher keine DDoS-Sicherheitssysteme zum Schutz Ihrer Website, Ihres Online-Shops oder Ihrer Server- bzw. Netzwerkinfrastruktur im Einsatz hat, empfiehlt sich im Falle einer Attacke folgendes Vorgehen:

  1. Internet-Provider kontaktieren und Angriffstraffic blockieren, evtl. filtern lassen – falls möglich
  2. Offene Ports identifizieren, um parallel stattfindende Hackerattacken zu verhindern (bereits vor der Attacke dringend zu empfehlen)
  3. Angriffslogbuch führen und Logfiles, falls vorhanden, analysieren
  4. Kunden, User und Partner informieren
  5. Wenn Erpresserschreiben eintreffen, niemals Geld zahlen; die Meldestelle für Cyberkriminalität nutzen, um Meldung zu machen
  6. Anzeige bei der Polizei erstatten
  7. Präventivschutz gegen DDoS-Attacken auf- bzw. ausbauen

 

Quelle und weiterführende Informationen finden Sie hier:

Swisscom White Paper «DoS Protection Service, Distributed Denial of Service (DDoS), Technische Produktinformation, Version 3.1»

Kommentare (0)


Zur ÜbersichtMehr Artikel dieses AutorsMehr Artikel dieser Kategorie

Teilen Sie uns Ihre Meinung oder Anfrage mit


Gerne ergänzen wir unsere Beiträge mit Ihren Meinungen und Kommentaren.