Wie funktionieren Layer-3-DDoS-Angriffe? | L3 DDoS

Layer-3-DDoS-Angriffe verwenden Layer-3-Protokolle, insbesondere ICMP, um Zielserver, Websites oder Anwendungen zum Abstürzen zu bringen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, was „Layer-3“ bedeutet
  • Unterschied zwischen Layer-3-DDoS-Angriffen und anderen DDoS-Angriffen
  • Protokolle, die auf dem Layer 3 verwendet werden und wie Angreifer diese in DDoS-Angriffen nutzen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was versteht man unter Layer-3-DDoS-Angriffen?

Ein DDoS-Angriff (Distributed-Denial-of-Service) versucht, sein Angriffsziel mit großen Datenmengen zu überfordern. Ein DDoS-Angriff ist wie ein Stau, der eine Autobahn verstopft und verhindert, dass der reguläre Verkehr sein Ziel erreicht.

DDoS-Angriffe auf Ebene 3 (Ebene 3 DDoS) greifen die Ebene 3 (L3) im OSI-Modell an. Wie bei allen DDoS-Angriffen besteht das Ziel eines Angriff auf Ebene 3 darin, ein Programm, einen Dienst, einen Computer oder ein Netzwerk zu verlangsamen oder zum Absturz zu bringen oder die Kapazität zu füllen, damit niemand sonst einen Dienst empfangen kann. DDoS-Angriffe auf Ebene 3 erreichen dies normalerweise, indem sie auf Netzwerkgeräte und -infrastruktur abzielen.

Es gibt einige wichtige Unterschiede zwischen Layer-3-DDoS-Angriffen und Angriffen auf den höheren Layern:

  1. Angriffe auf Ebene 3 zielen auf die Netzwerkebene ab, nicht auf Prozesse der Transportebene oder des Anwendungsebene wie dies bei Ebene-4- und Ebene-7-DDoS-Angriffen der Fall ist.
  2. Angriffe auf Ebene 3 müssen nicht zuerst eine TCP–Verbindung mit dem Angriffsziel aufbauen
  3. Layer 3-Angriffe zielen auf keinen bestimmten Port

Was ist das OSI-Modell?

Das OSI-Modell ist ein Konzeptmodell für die Funktionsweise des Internets. Die Hauptziele des OSI-Modells sind es, Menschen dabei zu helfen, über Netzwerkgeräte und -protokolle zu sprechen, festzustellen, welche Protokolle von welcher Software und Hardware verwendet werden, und zu zeigen, wie das Internet unabhängig von der zugrunde liegenden Hardware funktionieren kann.

Das OSI-Modell unterteilt die verschiedenen Technologien, mit denen das Internet funktioniert, in Schichten bzw. Layer. Insgesamt gibt es sieben Layer:

OSI-Modell

Was ist Layer 3 im OSI-Modell?

Die OSI-Ebene 3 wird als Netzwerkebene bezeichnet. Er umfasst die Protokolle und Technologien, die miteinander verbundene Netzwerke – mit anderen Worten das Internet – ermöglichen. In diesem Ebene findet das Routing über Netzwerke statt. Daten, die Netzwerke durchlaufen, werden in Pakete unterteilt und diese Pakete werden adressiert und an ihre Ziele auf Ebene 3 gesendet. Das wichtigste Protokoll für diesen Prozess ist das Internet Protocol (IP).

Protokolle auf Ebene 3 öffnen keine Verbindungen, stellen keine zuverlässige Datenübertragung sicher und geben nicht an, welcher Dienst auf dem Zielgerät die Daten verwenden soll. Das sind Ebene-4-Prozesse. Ebene 4 umfasst die Verwendung von Transportprotokollen wie TCP und UDP. Das Senden von Paketen über Netzwerke ohne Ebene-4-Transportprotokoll ist wie einen Brief zu verschicken, ohne sicherzustellen, dass die Adresse korrekt ist, (einschließlich des Namens einer bestimmten Person, die den Brief öffnen soll) oder ohne einen seriösen Postzustelldienst zu verwenden. Die Daten können ankommen oder nicht. Aus diesem Grund werden viele Ebene-3-Protokolle immer in Verbindung mit einem Ebene-4-Transportprotokoll verwendet, das sicherstellt, dass die Daten an den richtigen Ort gelangen.

Es ist jedoch weiterhin möglich, Datenpakete ohne Verwendung eines Transportprotokolls über IP an ein Netzwerkziel zu senden.

Da Layer 3 verbindungslos ist, müssen DDoS-Angriffe auf Layer 3 keine Verbindung über TCP herstellen oder Portzuweisungen anzeigen. Layer 3-DDoS-Angriffe zielen auf die Netzwerksoftware ab, die auf einem Computer ausgeführt wird, anstatt auf einen bestimmten Port.

Welche Protokolle werden für Layer 3 verwendet?

Folgende sind die am häufigsten verwendeten Layer-3-Protokolle und die Protokolle, die am wahrscheinlichsten bei einem DDoS-Angriff verwendet werden:

IP: Das Internet Protocol (IP) leitet Datenpakete weiter und adressiert sie so, dass sie am richtigen Ziel ankommen. Jedes Gerät, das eine Verbindung zum Internet herstellt, hat eine IP-Adresse, und das IP-Protokoll fügt jedem Datenpaket die richtige IP-Adresse hinzu – ganz so als würde man einen Brief an jemanden adressieren.

IPsec: IPsec ist eigentlich eine Suite von mehreren Protokollen, nicht ein einzelnes Protokoll. IPsec ist die verschlüsselte Version von IP, die von VPNs verwendet wird. Der Unterschied ist ähnlich wie der zwischen HTTPS und HTTP.

ICMP: Das Internet Control Message Protocol (ICMP) verarbeitet Fehlerberichte und Tests. Als verbindungsloses Protokoll verwendet ICMP kein Transportprotokoll wie TCP oder UDP. ICMP-Pakete werden vielmehr nur über IP gesendet. Entwickler und Netzwerktechniker verwenden ICMP für seine Ping- und Traceroute-Funktionen. In der Regel muss jeweils nur ein ICMP-Paket gesendet werden.

Andere Layer-3-Protokolle umfassen:

  • IGMP: Das Internet Group Message Protocol verwaltet IP-Multicast-Gruppen, sodass mehrere Geräte in einem Netzwerk denselben IP-Verkehr empfangen können.
  • ARP: Das Address Resolution Protocol darf nur in einem einzelnen Netzwerk verwendet werden. Computer verwenden dieses Protokoll, um IP-Adressen MAC-Adressen innerhalb des Netzwerks zuzuordnen (eine MAC-Adresse ist eine eindeutige Kennung, die wie ein Fingerabdruck in jedem internetfähigen Gerät integriert ist).

Angriffe sind theoretisch mit jedem dieser Protokolle möglich. ICMP wird üblicherweise verwendet, um einen Server mit zu vielen Pings zu überfluten, um darauf antworten zu können, oder mit einem großen Ping-Paket, das das empfangende Gerät zum Absturz bringt (dies wird „Ping of Death“ genannt). Angreifer können IPsec verwenden, um das Ziel mit Junk-Daten oder zu großen Sicherheits-Zertifikaten zu überfluten.

Allerdings sind nicht alle dieser Protokolle für DDoS-Angriffe geeignet, und einige Arten von Angriffen werden durch Hardware-Updates unmöglich gemacht. Beispielsweise arbeitet ARP nur in einem lokalen Netzwerk, sodass ein Angreifer zunächst eine Verbindung zum lokalen Netzwerk herstellen muss, bevor er den DDoS-Angriff ausführt. Und ICMP-Ping-of-Death-Angriffe sind mit moderner Hardware nicht möglich, bei der zu große IP-Pakete ignoriert werden.

Wie funktionieren L3-DDoS-Angriffe?

Wie bei anderen Arten von DDoS-Angriffen sendet der Angreifer über diese Protokolle ein großes Volumen an Junk-Netzwerkverkehr. Hierfür gibt es je nach Protokoll verschiedene Methoden. Der Junk-Verkehr behindert legitime Benutzeranfragen, verlangsamt die Antworten auf diese oder blockiert sie insgesamt. Manchmal gibt es so viele Junk-Daten, dass sie die Ressourcen des Angriffsziels überfordern und das Angriffsziel abstürzt.

Welchen bekannten Arten von Layer-3-DDoS-Angriffen gibt es?

Während verschiedene Angriffe möglich sind, einschließlich Angriffen nur über IP, treten ICMP-basierte Angriffe am häufigsten auf. Zu den bekannten ICMP-Angriffen gehören:

  • Ping-Flood: Bei einem Ping-Flood-DDoS-Angriff sendet der Angreifer einem Server Tausende oder sogar Millionen von Ping-Anforderungen auf einmal.
  • Smurf-Angriff: ICMP verfügt über keine Sicherheits- oder Überprüfungsmaßnahmen. Dadurch kann der Angreifer eine IP-Adresse in einer ICMP-Anforderung fälschen. Bei einem Smurf-DDoS-Angriff sendet der Angreifer Ping-Anfragen an Tausende von Servern und fälscht die IP-Adresse des Ziels in den Ping-Anforderungen, sodass die Antworten an das Ziel und nicht an den Angreifer gesendet werden. Die meisten modernen Netzwerkgeräte sind für diesen Angriff nicht mehr anfällig.
  • Ping of Death: Bei einem ICMP-Ping-of-Death-Angriff sendet ein Angreifer eine Ping-Anforderung, die größer als die maximal zulässige Größe ist. Router auf dem Weg zum Ziel fragmentieren den Ping in kleinere Pakete, sodass das Ziel diese akzeptiert. Wenn es jedoch versucht, das große Paket aus den kleineren Fragmenten zusammenzusetzen, überschreitet die Paketgröße das Maximum und stürzt das Ziel ab. Moderne Geräte sind für diesen Angriff nicht anfällig.

Wie schützt Cloudflare vor Layer-3-DDoS-Angriffen?

Cloudflare blockiert nicht nur DDoS-Angriffe auf den Ebenen 4 und 7, sondern bekämpft auch DDoS-Angriffe auf der Ebene 3. Cloudflare Magic Transit wurde speziell entwickelt, um Angriffe auf die interne Netzwerkinfrastruktur, einschließlich DDoS-Angriffe auf jeder Ebene, zu stoppen. Cloudflare WAF und CDN stoppen auch Ebene-3-DDoS-Angriffe, indem sie nur Traffic zu HTTP- und HTTPS-Ports akzeptieren – dies gibt es nur auf Ebene 7.

Was ist der Layer 3 im TCP/IP-Modell?

Das TCP/IP-Modell ist ein alternatives Modell für die Funktionsweise von Netzwerken. Anstelle von sieben Layern verfügt das TCP/IP-Modell über vier:

4. Anwendungsschicht (entspricht den Schichten 5–7 im OSI-Modell)

3. Transportschicht (entspricht der Schicht 4 im OSI-Modell)

2. Internetschicht (entspricht Schicht 3 im OSI-Modell)

1. Netzwerkzugriffs-/Verbindungsschicht (entspricht den Schichten 1–2 im OSI-Modell)

Bezieht man sich auf das TCP/IP-Modell anstelle des OSI-Modells werden Layer-3-DDoS-Angriffe als Layer-2- DDoS-Angriffe bezeichnet.