Ein Distributed Denial of Service (DDoS) ist eine Art von DoS-Angriff, bei dem mehrere gefährdete Systeme verwendet werden, um auf ein einzelnes System abzuzielen. Diese Arten von Angriffen können erhebliche, weit verbreitete Schäden verursachen, da sie sich normalerweise auf die gesamte Infrastruktur auswirken und störende, teure Ausfallzeiten verursachen.
DDoS vs. DoS
Wie oben erwähnt, ist ein DDoS-Angriff eine Art DoS-Angriff. Der primäre Weg, um einen DDoS-Angriff im Vergleich zu einer anderen Art von DoS-Angriff zu identifizieren, besteht darin, zu sehen, wie der Angriff ausgeführt wird. Bei einem DDoS-Angriff stammt der eingehende Verkehr, der das Opfer überflutet, aus vielen verschiedenen Quellen, möglicherweise Hunderttausenden oder mehr. Dies macht es effektiv unmöglich, den Angriff einfach durch Blockieren einer einzelnen IP-Adresse zu stoppen. Außerdem ist es sehr schwierig, legitimen Benutzerverkehr von Angriffsverkehr zu unterscheiden, wenn er auf so viele Ursprungspunkte verteilt ist.
Wie DDoS-Angriffe funktionieren
DDoS-Angriffe werden häufig von einem Trojanischen Pferd ausgeführt, einer Art Malware, die als harmlose Datei oder Programm getarnt ist. Sobald die Angreifer mehrere Geräte kompromittiert und ein Botnetz erstellt haben, verwenden sie einen Command and Control (C2) -Server, um das Zielsystem anzugreifen, bis es überlastet ist und letztendlich ausfällt. Die spezifische Angriffsmethode kann variieren.
Zu den Arten von DDoS-Angriffen gehören:
- Volumenangriffe: Volumetrische Angriffe verbrauchen normalerweise Bandbreitenressourcen, indem sie ein großes Verkehrsaufkommen erzeugen, wodurch legitime Benutzer nicht auf das Zielsystem zugreifen können. Zu den Arten von volumetrischen Angriffen gehört die DNS-Verstärkung, bei der der Angreifer die IP-Adresse des Ziels verwendet, wenn er eine Anforderung für eine große Datenmenge initiiert. Dies bedeutet, dass der Server gleichzeitig dieselben Daten sendet und empfängt und anschließend überfordert ist.
- Protokollangriffe: Protokollangriffe zielen auf die Netzwerkressourcen ab, indem sie die Firewall oder den Load Balancer überfordern, weshalb sie manchmal auch als State-Erschöpfungsangriffe bezeichnet werden. Zu den Arten von Protokollangriffen gehört das SYN-Flooding, bei dem der Angreifer den dreistufigen Handshake einer TCP-Verbindung manipuliert, bis die Netzwerkressourcen verbraucht sind und keine zusätzlichen Geräte eine neue Verbindung herstellen können.
- Angriffe auf Anwendungsebene: Angriffe auf Anwendungsebene werden verwendet, um Ressourcen in der Anwendungsschicht zu erschöpfen. Bei solchen Angriffen senden Bots mehrere Millionen komplizierte Anwendungsanforderungen gleichzeitig, sodass das System sehr schnell überfordert ist. Zu den Arten von Angriffen auf Anwendungsebene gehört das HTTP-Flooding, das dem wiederholten Aktualisieren eines Browsers von zahlreichen Geräten ähnelt.
Es gibt eine Reihe von Maßnahmen, die Benutzer ergreifen können, um die Auswirkungen eines DDoS-Angriffs zu verhindern oder zu mildern. Die Entwicklung und regelmäßige Neubewertung eines Reaktionsplans sowie die Implementierung mehrstufiger Bedrohungsmanagementsysteme sind wertvolle Taktiken, mit denen teure Ausfallzeiten infolge eines DDoS-Angriffs vermieden werden können. Es ist auch wichtig, das Netzwerk auf Warnzeichen zu überwachen. Zu den Symptomen eines bevorstehenden DDoS-Angriffs gehören hohe Verkehrsmengen, die:
- Kommen von einer IP-Adresse oder einem Bereich von IP-Adressen
- Gehen Sie zu einer einzelnen Webseite
- Sie stammen aus einem einzigen gemeinsamen Benutzermerkmal (z. B. Geolokalisierung).
- Treten zu unerwarteten Tageszeiten auf