DDoS-Angriffe: Teppichbomben nehmen rasant zu

In den letzten Jahren sind DDoS-Angriffe (Distributed Denial of Service) häufiger und ausgefeilter geworden. Kriminelle finden immer wieder neue Wege, um Zielnetzwerke mit groß angelegten Angriffen zu überfluten, die exponentiell zunehmen und unterschiedliche Angriffstechniken nutzen.

Teppichbomben gehören zu den zerstörerischen Techniken, die für Unternehmen und Dienstleister weltweit zu einem großen Problem geworden sind, insbesondere seit sie immer häufiger von erfahrenen Hacktivisten eingesetzt werden.

Die Auswirkungen von DDoS-Teppichbombenangriffen können für ein Unternehmen verheerende Folgen haben. Sie führen zu längeren Ausfallzeiten großer Teile des Netzwerks sowie zu finanziellen Verlusten und Reputationsschäden.

DDoS-Angriffe zielen darauf ab, die Ressourcen des Ziels zu überfordern und seine Dienste für legitime Benutzer unzugänglich zu machen. Teppichbombenangriffe heben den traditionellen DDoS-Angriff jedoch auf eine ganz neue Ebene, indem sie ein riesiges Botnet-Netzwerk nutzen, um gleichzeitige Angriffe auf mehrere Ziele zu orchestrieren. Das schiere Ausmaß und die Komplexität dieses Ansatzes machen es zu einer besonderen Herausforderung, sich dagegen zu wehren.

Hier sind drei Elemente eines Flächenbombardements.

1. Botnet-Rekrutierung: Angreifer rekrutieren eine riesige Anzahl kompromittierter Geräte, darunter Computer, Server, Router und IoT-Geräte, ohne das Wissen der Besitzer. Diese Geräte werden dann zu einem Botnetz zusammengefasst.2. Angriffsausführung:Sobald das Botnetz rekrutiert ist, wird der Angreifer höchstwahrscheinlich zurücktreten und mit dem Angriffsbefehl warten, da er davon ausgeht, dass das Ziel über eine Abhilfelösung verfügt.

Der Angreifer sendet dann einen verteilten Angriff, anstatt ihn an einzelne Ziel-IPs zu senden, um zu versuchen, die konfigurierten Schwellenwerte zu messen und herauszufinden, was durchbrochen werden kann und was nicht.

Letztendlich suchen sie nach einem Sweet Spot knapp unter dem konfigurierten Tarifschwellenwert. Sobald dies gefunden wird, wird der Angreifer zurückschrecken oder es möglicherweise für einen bestimmten Zeitraum (Stunden bis Tage) aufrechterhalten, um zu verstehen, ob er entdeckt und auf die Sperrliste gesetzt wurde.

Nun zum Angriffskommando. Der Angreifer initiiert das gleiche Volumen an bösartigem Datenverkehr und bombardiert dieses Mal gleichzeitig das/die gesamte(n) Subnetz(e) oder CIDR/s (Tausende von Ziel-IPs).

Indem sie unter dem Schwellenwert bleiben, versuchen alle angegriffenen Server zu reagieren, was zu einer überwältigenden Flut führt, die dazu führt, dass interne Dienste, einschließlich des Abwehrgeräts, beeinträchtigt werden. Diese Datenverkehrsflut überlastet die Netzwerkinfrastruktur des Ziels und macht Online-Dienste unzugänglich.

3. Ein Multi-Vektor-Ansatz: DDoS-Teppichbombing nutzt mehrere Angriffsvektoren, darunter volumetrische Angriffe (Überschwemmung des Netzwerks mit übermäßigem Datenverkehr), Angriffe auf Anwendungsebene (die auf bestimmte Anwendungen oder Dienste abzielen) und Protokollangriffe (Ausnutzung von Schwachstellen in Netzwerkprotokollen). Dieser vielschichtige Ansatz maximiert die Erfolgschancen.

Der Schutz vor Teppichbomben-DDoS-Angriffen ist schwieriger als der Schutz vor einem gezielten Angriff, da die meisten DDoS-Anbieter ihre Maßnahmen nur gegen einzelne IP-Adressen und nicht gegen Subnetze und Netzwerke absichern. Die Folgen eines unzureichenden Schutzes sind unterschiedlich.

Bei Unternehmen, die Opfer von DDoS-Teppichbombenangriffen werden, kann es zu erheblichen Serviceunterbrechungen kommen, die zu finanziellen Verlusten, Rufschädigung und Unzufriedenheit der Kunden führen. Die Nichtverfügbarkeit kritischer Dienste kann zu schwerwiegenden betrieblichen Herausforderungen führen.

Da DDoS-Teppichbomben gleichzeitig auf mehrere Unternehmen abzielen, kommt es auch häufig zu Kollateralschäden. Selbst wenn es einem Ziel gelingt, den Angriff abzuwehren, kann die schiere Menge an bösartigem Datenverkehr Auswirkungen auf die gesamte Infrastruktur haben und zu Verlangsamungen oder Ausfällen bei anderen Benutzern und Diensten führen.

Um sich vor Flächenbombardements zu schützen, sollten Unternehmen verschiedene Best Practices befolgen. Zunächst benötigen sie einen DDoS-Detektor und -Mitigator, der in Friedenszeiten eine Netzwerküberwachung anzeigen und ungewöhnliche Verkehrsmuster und potenzielle DDoS-Angriffe in Echtzeit erkennen kann. Eine frühzeitige Erkennung ermöglicht eine schnelle Reaktion. Der nächste Schritt besteht darin, eine automatische Gegenmaßnahme zur Schadensbegrenzung durchzuführen.

Darüber hinaus sollten Unternehmen sicherstellen, dass ihre Netzwerkinfrastruktur unerwartete Verkehrsspitzen bewältigen kann. Es ist wichtig, in skalierbare Bandbreite, Load Balancer und ein starkes Erkennungs- und Abwehrgerät zu investieren, das den groß angelegten Angriff bewältigen und die Serviceverfügbarkeit sicherstellen kann.

Schließlich sollten Unternehmen mit einem seriösen DDoS-Abwehrdienstleister zusammenarbeiten. Diese Dienste verwenden fortschrittliche Techniken zur Datenverkehrsfilterung und verfügen über das Fachwissen, um groß angelegte Angriffe abzuwehren. Eine führende DDoS-Anbieterlösung sollte böswilligen Datenverkehr identifizieren und blockieren und so sicherstellen, dass legitime Anfragen ihre beabsichtigten Ziele erreichen. Dadurch wird der Angriffsverkehr ferngehalten.

Erst kürzlich hat das Cloud-Services-Team meines Unternehmens eine sehr große Teppichbombenkampagne erfolgreich abgewehrt, die mehrere Unternehmen und Dienstanbieter gleichzeitig ins Visier nahm. Es handelte sich um eine globale Angriffskampagne, die sich auf die TCP-Reflexion großer Subnetze und CIDRs als Hauptangriffsvektor konzentrierte.

Die Angriffsmethode nutzte ein großes Subnetz/CIDR, um eine Flut von SYN-ACK-Paketen in einer Größenordnung von über 300 Gbit/s auf die Zielopfer abzuwehren. Die Angriffe wurden sofort mit mehreren Abwehrtechniken abgewehrt. Bei nicht geschützten Organisationen kam es zu Verlangsamungen oder Ausfallzeiten.

Die Bedrohung durch DDoS-Teppichbomben nimmt weiter zu, teilweise weil die Angriffe unter den Eindämmungsschwellen bleiben. Diese stark verteilten Angriffe auf große Teile des Netzwerks des Opfers, wie etwa Subnetze/CIDRs, sind verheerend, wenn sie nicht erkannt und entschärft werden.

Organisationen, egal ob klein oder groß, müssen die notwendigen Schritte unternehmen, um sich zu schützen. Durch die Implementierung eines innovativen Erkennungsmechanismus und eines mehrschichtigen Schutzansatzes sowie den Einsatz einer robusten Schadensbegrenzungsplattform sind Unternehmen für die nächste Flächenbombardement-Kampagne gerüstet.