DDoS-Angriffe verstehen: Volumetrisch vs. Anwendung

Es ist schon eine Weile her, dass wir hier über Distributed-Denial-of-Service (DDoS)-Angriffe berichtet haben, aber sie stellen nach wie vor eine erhebliche Bedrohung für Unternehmen, Organisationen und Privatpersonen dar. Bereits im Oktober 2021 haben wir hier einige der zerstörerischen neuen Varianten von DDoS besprochen. Die damals von uns untersuchten Trends haben sich in der Tat weiterentwickelt.

Heute befassen wir uns jedoch mit einigen Grundlagen von DDoS-Angriffen. Insbesondere sollen Sie den Unterschied zwischen den beiden Hauptkategorien von DDoS verstehen: volumetrische Angriffe und Anwendungsangriffe.

Es ist besonders wichtig, die Unterschiede zwischen volumetrischen und Anwendungs-DDoS-Angriffen zu verstehen, da jede Art unterschiedliche Strategien zur Eindämmung erfordert. Wenn Sie wissen, welchen Risiken Sie ausgesetzt sind, können Sie die richtige Investitionsstrategie für Schutzmaßnahmen festlegen.

Volumen-DDoS-Angriffe

Wenn man von einem DDoS-Angriff hört, denken die meisten Menschen an volumetrische DDoS-Angriffe. Sie sind so konzipiert, dass sie ein Ziel mit großen Mengen an Datenverkehr überfordern. Bei diesen Angriffen wird in der Regel eine gezielte Online-Anwendung mit Anfragen aus mehreren Quellen gleichzeitig überflutet.

Sehr oft wird dies durch den Einsatz von Botnets erreicht, bei denen es sich um große Computernetzwerke handelt, die von einem böswilligen Akteur kompromittiert oder infiltriert wurden. Dazu können viele tausend Geräte gehören, deren Besitzer überhaupt nicht wissen, dass sie kompromittiert wurden. Sobald ein Cyberkrimineller ein Botnetz aufgebaut hat, ist es relativ einfach, alle Geräte zum Senden wiederholter Anfragen an die Zielanwendung zu bringen – und zwar zur gleichen Zeit und über einen langen Zeitraum, wodurch die Bandbreite gesättigt und die Speicher- und Prozessorressourcen erschöpft werden.

Volumetrische DDoS-Angriffe wurden für gewöhnlich hauptsächlich dafür eingesetzt, die Betriebsfähigkeit einer Organisation zu behindern. In den letzten Jahren haben Angreifer jedoch auch Lösegeld von ihren Opfern im Austausch für die Beendigung des Angriffs erpresst. In einigen Fällen nutzen sie den Angriff als Ablenkung, damit sie leichter Daten stehlen oder Ransomware oder andere Malware installieren können.

DDoS-Angriffe über Anwendungen

DDoS-Angriffe auf Anwendungen sind ausgefeilter als volumetrische Angriffe. Während volumetrische Angriffe gegen jede Anwendung eingesetzt werden können, die Anfragen über das Internet akzeptiert, sind Anwendungsangriffe individuell darauf ausgelegt, bestimmte Schwachstellen in den Ziel-Anwendungen und -Diensten auszunutzen.

Wenn eine Anwendung beispielsweise keine Begrenzung für die Länge einer Zeichenfolge in einem Feld hat, kann ein Angreifer eine sehr lange Zeichenfolge eingeben, die die Pufferkapazität der Anwendung überschreitet, wodurch sie beendet wird. Dies wird als Pufferüberlauf-Exploit bezeichnet. Andere Arten von DDoS-Angriffen auf Anwendungen umfassen HTTP-Floods und Slowloris-Angriffe.

Verteidigung gegen DDoS-Angriffe

Volumetrische DDoS-Schutzlösungen verwenden in der Regel Filtertechniken auf Netzwerkebene wie Ratenbegrenzung oder Paketinspektion, um bösartigen Datenverkehr zu erkennen und zu blockieren, bevor er sein beabsichtigtes Ziel erreicht. Auf der anderen Seite konzentrieren sich Schutzlösungen auf Anwendungsebene auf die Identifizierung bösartiger Anfragen durch die Analyse ihres Inhalts und nicht ihrer Quell-IP-Adresse oder anderer Attribute auf Netzwerkebene.

Ein weiterer wichtiger Schutz gegen DDoS-Angriffe auf Anwendungen besteht im Erkennen und Patchen aller Schwachstellen im Anwendungscode, um solche Angriffe zu verhindern.

Viele der derzeit erhältlichen Web Application Firewall (WAF)-Lösungen bieten als Add-on dosierte DDoS-Schutzfunktionen an. Die Gefahr dieses Modells besteht darin, dass die Kosten für die Abwehr eines groß angelegten, langfristigen Angriffs schnell außer Kontrolle geraten können, insbesondere bei großangelegten Angriffen.

Barracuda Application Protection hebt sich von anderen Web Application and API Protection (WAAP)-Lösungen ab, indem es Full-Spectrum DDoS Protection als Standardfunktion einschließt. Diese bietet nicht nur hochentwickelte Sicherheit gegen volumetrische und Anwendungs-DDoS-Angriffe, sondern auch ohne Einschränkungen für geschützte Anwendungen. Barracuda Application Protection umfasst auch ausgeklügelte WAF-Funktionen zur Überwachung aller Ihrer Anwendungen, sowohl in der Entwicklung als auch in der Produktion, um Schwachstellen zu identifizieren und automatisch zu patchen, bevor sie von Angreifern ausgenutzt werden können.