DDoS-Attacken abwehren

Automatische Abwehr von DDoS-Angriffen

| Autor / Redakteur: Guido Schaffner / Peter Schmitz

Unternehmen sollten einen Notfallplan für DDoS-Angriffe parat haben, denn Cyberkriminelle können über hochvolumige DDoS-Reflection-Angriffe die gesamte IT-Infrastruktur von Unternehmen über Tage und Wochen lahmlegen.
Unternehmen sollten einen Notfallplan für DDoS-Angriffe parat haben, denn Cyberkriminelle können über hochvolumige DDoS-Reflection-Angriffe die gesamte IT-Infrastruktur von Unternehmen über Tage und Wochen lahmlegen. (Bild: Pixabay / CC0)

Die Zahl der DDoS-Angriffe auf Unternehmen in der DACH-Region steigt. Die Attacken werden dabei immer komplexer und erreichen laufend neue Volumen-Rekorde. Außerdem kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln.

Mit 22 DDoS-Angriffen pro Stunde waren Unternehmen 2017 in der DACH-Region konfrontiert. Und Attacken erreichten in diesem Jahr bereits Rekord-Spitzenwerte von bis zu 1,7 Terabit pro Sekunde. Angriffe nehmen aber nicht nur an Volumen zu, sondern werden auch komplexer.

DDoS-Angriffe richten sich oft gegen mehrere Ziele gleichzeitig – von der Bandbreite über Anwendungen bis hin zur vorhandenen Infrastruktur in Form von Netzwerk-Firewalls, WAF (Web Application Firewalls) und IPS-Komponenten (Intrusion-Prevention-Systeme). Darüber hinaus kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln. Wie kann also eine effektive Abwehrtaktik aussehen?

Eine Schutzebene ist zu wenig

Komplexere Angriffsmethoden verknüpfen unter anderem volumetrische Offensiven mit Überlastungsattacken und Angriffen auf Applikationsebene. Hochvolumige Angriffe belegen, wie der Name besagt, enorm viel Bandbreite, indem sie Leitungen und Router-Schnittstellen im Netzwerk mit Daten überfluten. Überlastungsangriffe (TCP State Exhaustion) zielen hingegen darauf ab, in Geräten der Internetinfrastruktur, wie Firewalls und Load-Balancern, alle verfügbaren TCP-Verbindungen zu belegen. Angriffe auf Applikationsebene führen ganz allmählich, und damit schleichend, zur Überlastung der Ressourcen von Applikationsservern.

Ob es Unternehmen gelingt, sich vor solchen mehrstufigen Attacken zu schützen, hängt wesentlich davon ab, wie schnell sie reagieren. Dabei spielen die Faktoren Erkennung von Gefahren, ihre automatisierte Abwehr und die anschließende Reaktion auf derartige Sicherheitsvorfälle eine zentrale Rolle.

Unternehmen müssen Angriffe schnell erkennen

Analysen großer bekannter DDoS-Sicherheitsvorfälle belegen, dass die Aktivitäten von Angreifern oft bemerkt und sogar von den Sicherheitssystemen erkannt werden. Das Problem ist daher eine gewisse Alarmmüdigkeit. Sicherheitssysteme erhalten so viele falsche Alarme, dass die tatsächlichen Angriffe oft in der Masse untergehen. Um diesem entgegenzuwirken, sollte die automatisierte Angriffsabwehr für Sicherheitsteams einen hohen Stellenwert haben. Denn eine automatisierte DDoS-Verteidigungslösung kann Angriffe frühzeitig erkennen und entsprechende Gegenmaßnahmen autonom, also ohne menschliche Hilfe, einleiten – und dem Unternehmen somit Zeit verschaffen.

Außerdem enthalten geeignete DDoS-Lösungen Abwehrmaßnahmen, die bestimmte Angriffstypen identifizieren. So kann beim Erkennen eines bestimmten Typs – sei es ein TCP-Syn-Flood-Angriff, ein Zugriffsversuch durch Hosts, die auf der Blacklist stehen, oder ein Mehrfachzugriff durch einen einzelnen Host – die Lösung ausschließlich die für den erkannten Angriffstyp konzipierte Gegenmaßnahme einleiten.

Mehrstufige Angriffe erfordern mehrstufige Abwehr-Strategien

Darüber hinaus sind sich Sicherheitsexperten einig, dass Unternehmen auf mehrstufige Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise ISP-basierten Komponente zusammen.

Die On-Premises-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Allerdings ist die Vor-Ort-Lösung nicht in der Lage, die zunehmend häufiger auftretenden hochvolumigen Angriffe abzuwehren, die dazu führen, dass die Internetkonnektivität nicht mehr gewährleistet werden kann. Hier kommt nun der Cloud- bzw. ISP-basierte Dienst ins Spiel. Übersteigt die Größe eines vor Ort erkannten Angriffs einen definierten Schwellenwert, können cloudbasierte Gegenmaßnahmen automatisch aktiviert werden. Dies ist von zentraler Bedeutung, da Angriffe im Terabit-Bereich, wie diese kürzlich über Memcached-Server erfolgten, von On-Premises-Installationen nicht mehr bewältigt werden können.

Vorfall-Reaktionsplan aufsetzen

Neben einem zuverlässigen Schutz zur Erkennung und Abwehr von DDoS-Angriffen gehört zu einer guten Vorbereitung auch ein Incident Response Plan (IRP). Dieser enthält im Vorfeld definierte Prozesse, die im Falle einer DDoS-Attacke sofort eingeleitet werden können. In diesem Plan sollten Unternehmen unter anderem organisationsweit klar geregelte Kommunikationswege, Eskalationsstufen, Verhaltensweisen, mögliche Abwehrmaßnahmen und Taktiken, Erkenntnisse aus bereits erfolgten Angriffen und Schulungsintervalle für Mitarbeiter festlegen.

Ein Augenmerk sollte hierbei auch auf die Klassifizierung von Attacken gelegt werden. So können betroffene Unternehmen beurteilen, wie sich ein Angriff voraussichtlich entwickeln wird. Erst dann ergibt es Sinn, passende Gegenmaßnahmen einzuleiten. Nur mit den gewonnenen Informationen über eine Attacke können Unternehmen sicherstellen, dass sie die für den jeweiligen Angriff am besten geeignetste Abwehrmaßnahme ergreifen. Hier zahlt es sich aus, ein möglichst weitgefächertes Toolkit zu verwenden und die Reaktionsmaßnahmen weitestgehend zu automatisieren.

Außerdem ist die Rückverfolgung einer Attacke unerlässlich. Auch dies sollte im IR-Plan festgelegt sein. So kann abgeleitet werden, ob weitere, bereits vorher aufgetauchte Probleme innerhalb des Netzwerks auf diesen Angriff zurückzuführen sind. Denn häufig werden Systeme angegriffen, die als unkritisch oder produktionsfern eingestuft werden, aber letztendlich den Zugang zum Netzwerk ermöglichen.

DDoS-Abwehrlösungen sind ein Muss für Unternehmen

Ein Incident-Response-Plan sollte fortlaufend aktualisiert und dadurch verbessert werden. Existiert ein solcher Notfallplan nicht, können sich die getroffenen Investitionen in technische Schutz- und Abwehrmechanismen als teilweise oder sogar vollkommen nutzlos erweisen. Und um sich im Falle eines Angriffs wichtige zeitliche Vorteile zu verschaffen, sollten Unternehmen eine intelligente DDoS-Lösung wählen, die schnell und automatisch echte Angriffe von Spitzen im regulären Datenverkehr unterscheiden kann. Denn Cyberkriminelle können gerade über hochvolumige DDoS-Reflection-Angriffe die gesamte IT-Infrastruktur von Unternehmen über Tage und Wochen lahmlegen. Eine gute Vorbereitung bevor der Ernstfall eintritt und eine effektive Lösung in Petto zu haben, sind daher das A und O für eine schnelle Reaktionszeit im Wettrennen gegen die Angreifer.

Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von Netscout Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45391733 / DDoS und Spam)