Verkehrsflut
Botnetze werden verwendet, um eine HTTP-oder HTTPS-Flut zu erstellen. Das Botnetz von Computern wird verwendet, um scheinbar legitime HTTP-oder HTTPS-Anforderungen zu senden, um einen Webserver anzugreifen und zu überwältigen. HTTP-kurz für HyperText Transfer Protocol – ist das Protokoll, das steuert, wie Nachrichten formatiert und übertragen werden. Eine HTTP-Anforderung kann entweder eine GET-Anforderung oder eine POST-Anforderung sein., Hier ist der Unterschied:
- Eine GET-Anforderung ist eine, bei der Informationen von einem Server abgerufen werden.
- Eine POST-Anfrage ist eine, bei der Informationen hochgeladen und gespeichert werden sollen. Diese Art von Anforderung erfordert eine stärkere Nutzung der Ressourcen durch den Zielwebserver.
Während HTTP-Überschwemmungen mit POST-Anforderungen mehr Ressourcen des Webservers verwenden, sind HTTP-Überschwemmungen mit GET-Anforderungen einfacher und einfacher zu implementieren.
DDoS-Angriffe können auf Schwarzmärkten erworben werden
Das Zusammenstellen der für die Durchführung von DDoS-Angriffen erforderlichen Botnetze kann zeitaufwändig und schwierig sein.,
Cyberkriminelle haben ein Geschäftsmodell entwickelt, das auf diese Weise funktioniert: Anspruchsvollere Cyberkriminelle erstellen Botnetze und verkaufen oder vermieten sie an weniger anspruchsvolle Cyberkriminelle im Dark Web — jenem Teil des Internets, in dem Kriminelle Waren wie Botnetze und gestohlene Kreditkartennummern anonym kaufen und verkaufen können.
Auf das Dark Web wird normalerweise über den Tor-Browser zugegriffen, der eine anonyme Möglichkeit zum Durchsuchen des Internets bietet. Botnetze werden im Dark Web für nur ein paar hundert Dollar geleast., Verschiedene dunkle Websites verkaufen eine breite Palette illegaler Waren, Dienstleistungen und gestohlener Daten.
In gewisser Weise funktionieren diese dunklen Websites wie herkömmliche Online-Händler. Sie können Kundengarantien, Rabatte und Benutzerbewertungen bereitstellen.
Was sind die Symptome eines DDoS-Angriffs?
DDoS-Angriffe haben definitive Symptome. Das Problem ist, die Symptome ähneln so sehr anderen Problemen, die Sie möglicherweise mit Ihrem Computer haben — von einem Virus bis zu einer langsamen Internetverbindung—, dass es ohne professionelle Diagnose schwer zu erkennen sein kann., Zu den Symptomen eines DDoS gehören:
- Langsamer Zugriff auf Dateien, entweder lokal oder remote
- Eine langfristige Unfähigkeit, auf eine bestimmte Website zuzugreifen
- Internet-Trennung
- Probleme beim Zugriff auf alle Websites
- Übermäßige Menge an Spam-E-Mails
Die meisten dieser Symptome können schwer als ungewöhnlich zu identifizieren sein. Trotzdem, wenn zwei oder mehr über einen längeren Zeitraum auftreten, könnten Sie Opfer eines DDoS sein.,
Arten von DDoS-Angriffen
DDoS-Angriffe bestehen im Allgemeinen aus Angriffen, die in eine oder mehrere Kategorien fallen, wobei einige ausgefeiltere Angriffe Angriffe auf verschiedene Vektoren kombinieren. Dies sind die Kategorien:
- Volume-Basierende Angriffe. Diese senden enorme Mengen an Datenverkehr, um die Bandbreite eines Netzwerks zu überfordern.
- Protokoll Angriffe. Diese sind fokussierter und nutzen Schwachstellen in den Ressourcen eines Servers aus.
- Application-Attacken. sind die anspruchsvollste Form von DDoS-Angriffen, die sich auf bestimmte Webanwendungen konzentrieren.,
Hier ist ein genauerer Blick auf verschiedene Arten von DDoS-Angriffen.
TCP-Verbindungsangriffe
TCP-Verbindungsangriffe oder SYN-Floods nutzen eine Sicherheitslücke in der TCP-Verbindungssequenz aus, die üblicherweise als Drei-Wege-Handshake-Verbindung mit dem Host und dem Server bezeichnet wird.
Hier ist wie. Der Zielserver erhält eine Anforderung zum Starten des Handshakes. Bei einer SYN-Flut ist der Handshake nie abgeschlossen. Dadurch bleibt der verbundene Port belegt und nicht verfügbar, um weitere Anforderungen zu verarbeiten., In der Zwischenzeit sendet der Cyberkriminelle immer mehr Anfragen, die alle offenen Ports überwältigen und den Server herunterfahren.
Anwendungsangriffe
Anwendungsschichtangriffe — manchmal auch als Layer — 7-Angriffe bezeichnet-zielen langsamer auf Anwendungen des Angriffsopfers ab. Auf diese Weise können sie zunächst als legitime Anfragen von Benutzern angezeigt werden, bis es zu spät ist und das Opfer überwältigt ist und nicht antworten kann. Diese Angriffe zielen auf die Ebene ab, auf der ein Server Webseiten generiert und auf http-Anforderungen antwortet.,
Häufig werden Angriffe auf Anwendungsebene mit anderen Arten von DDoS-Angriffen kombiniert, die nicht nur auf Anwendungen, sondern auch auf das Netzwerk und die Bandbreite abzielen. Anwendungsschicht Angriffe sind besonders bedrohlich. Warum? Sie sind kostengünstig zu bedienen und für Unternehmen schwieriger zu erkennen als Angriffe, die sich auf die Netzwerkschicht konzentrieren.
Fragmentierungsangriffe
Fragmentierungsangriffe sind eine weitere häufige Form eines DDoS-Angriffs., Der Cyberkriminelle nutzt Schwachstellen im Datagrammfragmentierungsprozess aus, bei denen IP-Datagramme in kleinere Pakete aufgeteilt, über ein Netzwerk übertragen und dann wieder zusammengesetzt werden. Bei Fragmentierungsangriffen überwältigen gefälschte Datenpakete, die nicht wieder zusammengesetzt werden können, den Server.
Bei einer anderen Form von Fragmentierungsangriffen, die als Teardrop-Angriff bezeichnet wird, verhindert die gesendete Malware, dass die Pakete wieder zusammengesetzt werden. Die bei Teardrop-Angriffen ausgenutzte Sicherheitsanfälligkeit wurde in den neueren Windows-Versionen behoben, Benutzer veralteter Versionen wären jedoch weiterhin anfällig.,
Volumetrische Angriffe
Volumetrische Angriffe sind die häufigste Form von DDoS-Angriffen. Sie verwenden ein Botnetz, um das Netzwerk oder den Server mit Datenverkehr zu überfluten, der legitim erscheint, aber die Fähigkeiten des Netzwerks oder Servers zur Verarbeitung des Datenverkehrs überfordert.
Arten der DDoS-Verstärkung
Bei einem DDoS-Verstärkungsangriff überwältigen Cyberkriminelle einen DNS-Server (Domain Name System) mit scheinbar legitimen Dienstanforderungen., Mit verschiedenen Techniken ist der Cyberkriminelle in der Lage, DNS-Abfragen über ein Botnetz zu einer großen Menge an Datenverkehr zu vergrößern, der auf das Zielnetz abzielt. Dies verbraucht die Bandbreite des Opfers.
Chargen Reflection
Eine Variation eines DDoS-Verstärkungsangriffs nutzt Chargen aus, ein altes Protokoll, das 1983 entwickelt wurde. Bei diesem Angriff werden kleine Pakete, die eine gefälschte IP des Zielopfers enthalten, an Geräte gesendet, die Chargen betreiben und Teil des Internets der Dinge sind. Zum Beispiel verwenden viele mit dem Internet verbundene Kopierer und Drucker dieses Protokoll., Die Geräte überfluten dann das Ziel mit UDP-Paketen (User Datagram Protocol), und das Ziel kann sie nicht verarbeiten.
DNS Reflection
DNS Reflection Attacken sind eine Art von DDoS-Angriffen, die Cyberkriminelle oft verwendet haben. Die Anfälligkeit für diese Art von Angriff ist im Allgemeinen darauf zurückzuführen, dass Verbraucher oder Unternehmen Router oder andere Geräte mit falsch konfigurierten DNS-Servern haben, um Abfragen von überall zu akzeptieren, anstatt dass DNS-Server ordnungsgemäß so konfiguriert sind, dass Dienste nur innerhalb einer vertrauenswürdigen Domäne bereitgestellt werden.,
Die Cyberkriminellen senden dann gefälschte DNS-Abfragen, die aus dem Netzwerk des Ziels zu kommen scheinen, so dass, wenn die DNS-Server antworten, sie tun dies an die Zieladresse. Der Angriff wird durch Abfragen einer großen Anzahl von DNS-Servern verstärkt.
Schauen Sie sich die digitale Angriffskarte von DDoS an
Die digitale Angriffskarte wurde vom Arbor Networks ATLAS Global Threat Intelligence System entwickelt. Es verwendet Daten von mehr als 330 ISP-Kunden gesammelt anonym Austausch von Netzwerkverkehr und Angriffsinformationen
Werfen Sie einen Blick auf die digitale Angriffskarte., Es ermöglicht Ihnen, auf einer globalen Karte zu sehen, wo DDoS-Angriffe mit stündlich aktualisierten Informationen auftreten.
So schützen Sie sich vor verteilten Denial-of-Service-Angriffen
Es ist eine schwierige Aufgabe, sich vor einem DDoS-Angriff zu schützen. Unternehmen müssen planen, solche Angriffe zu verteidigen und zu mildern. Die Ermittlung Ihrer Schwachstellen ist ein wesentliches Anfangselement eines jeden Schutzprotokolls.
Methode 1: Schnell handeln
Je früher ein laufender DDoS-Angriff erkannt wird, desto leichter kann der Schaden eingedämmt werden., Unternehmen sollten Technologie-oder Anti-DDoS-Dienste verwenden, die Ihnen dabei helfen können, legitime Netzwerkverkehrsspitzen und einen DDoS-Angriff zu erkennen.
Wenn Sie feststellen, dass Ihr Unternehmen angegriffen wird, sollten Sie Ihren ISP-Anbieter so schnell wie möglich benachrichtigen, um festzustellen, ob Ihr Datenverkehr umgeleitet werden kann. Ein Backup-ISP ist auch eine gute Idee. Berücksichtigen Sie auch Dienste, die den massiven DDoS-Datenverkehr zwischen einem Netzwerk von Servern verteilen, wodurch der Angriff unwirksam wird.,
Internetdienstanbieter verwenden das Black Hole Routing, das den Datenverkehr in eine Nullroute leitet, die manchmal als Schwarzes Loch bezeichnet wird, wenn übermäßiger Datenverkehr auftritt, wodurch der Absturz der Zielwebsite oder des Netzwerks verhindert wird, aber der Nachteil ist, dass sowohl legitimer als auch illegitimer Datenverkehr auf diese Weise umgeleitet wird.
Methode 2: Konfigurieren von Firewalls und Routern
Firewalls und Router sollten so konfiguriert sein, dass falscher Datenverkehr abgelehnt wird, und Sie sollten Ihre Router und Firewalls mit den neuesten Sicherheitspatches auf dem neuesten Stand halten. Diese bleiben Ihre erste Verteidigungslinie.,
Anwendungs-Frontend-Hardware, die in das Netzwerk integriert ist, bevor der Datenverkehr einen Server erreicht, analysiert und überprüft Datenpakete, die die Daten als Priorität klassifizieren, regelmäßig oder gefährlich, wenn sie in ein System gelangen, und kann verwendet werden, um bedrohliche Daten zu blockieren.