Layer-3-DDoS-Angriffe verwenden Layer-3-Protokolle, insbesondere ICMP, um Zielserver, Websites oder Anwendungen zum Abstürzen zu bringen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Layer 7
Application-Layer-Angriff
Was ist ein DDoS-Angriff?
Botnetz – was ist das?
Memcached-DDoS-Angriff
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein DDoS-Angriff (Distributed-Denial-of-Service) versucht, sein Angriffsziel mit großen Datenmengen zu überfordern. Ein DDoS-Angriff ist wie ein Stau, der eine Autobahn verstopft und verhindert, dass der reguläre Verkehr sein Ziel erreicht.
DDoS-Angriffe auf Ebene 3 (Ebene 3 DDoS) greifen die Ebene 3 (L3) im OSI-Modell an. Wie bei allen DDoS-Angriffen besteht das Ziel eines Angriff auf Ebene 3 darin, ein Programm, einen Dienst, einen Computer oder ein Netzwerk zu verlangsamen oder zum Absturz zu bringen oder die Kapazität zu füllen, damit niemand sonst einen Dienst empfangen kann. DDoS-Angriffe auf Ebene 3 erreichen dies normalerweise, indem sie auf Netzwerkgeräte und -infrastruktur abzielen.
Es gibt einige wichtige Unterschiede zwischen Layer-3-DDoS-Angriffen und Angriffen auf den höheren Layern:
Das OSI-Modell ist ein Konzeptmodell für die Funktionsweise des Internets. Die Hauptziele des OSI-Modells sind es, Menschen dabei zu helfen, über Netzwerkgeräte und -protokolle zu sprechen, festzustellen, welche Protokolle von welcher Software und Hardware verwendet werden, und zu zeigen, wie das Internet unabhängig von der zugrunde liegenden Hardware funktionieren kann.
Das OSI-Modell unterteilt die verschiedenen Technologien, mit denen das Internet funktioniert, in Schichten bzw. Layer. Insgesamt gibt es sieben Layer:
Die OSI-Ebene 3 wird als Netzwerkebene bezeichnet. Er umfasst die Protokolle und Technologien, die miteinander verbundene Netzwerke – mit anderen Worten das Internet – ermöglichen. In diesem Ebene findet das Routing über Netzwerke statt. Daten, die Netzwerke durchlaufen, werden in Pakete unterteilt und diese Pakete werden adressiert und an ihre Ziele auf Ebene 3 gesendet. Das wichtigste Protokoll für diesen Prozess ist das Internet Protocol (IP).
Protokolle auf Ebene 3 öffnen keine Verbindungen, stellen keine zuverlässige Datenübertragung sicher und geben nicht an, welcher Dienst auf dem Zielgerät die Daten verwenden soll. Das sind Ebene-4-Prozesse. Ebene 4 umfasst die Verwendung von Transportprotokollen wie TCP und UDP. Das Senden von Paketen über Netzwerke ohne Ebene-4-Transportprotokoll ist wie einen Brief zu verschicken, ohne sicherzustellen, dass die Adresse korrekt ist, (einschließlich des Namens einer bestimmten Person, die den Brief öffnen soll) oder ohne einen seriösen Postzustelldienst zu verwenden. Die Daten können ankommen oder nicht. Aus diesem Grund werden viele Ebene-3-Protokolle immer in Verbindung mit einem Ebene-4-Transportprotokoll verwendet, das sicherstellt, dass die Daten an den richtigen Ort gelangen.
Es ist jedoch weiterhin möglich, Datenpakete ohne Verwendung eines Transportprotokolls über IP an ein Netzwerkziel zu senden.
Da Layer 3 verbindungslos ist, müssen DDoS-Angriffe auf Layer 3 keine Verbindung über TCP herstellen oder Portzuweisungen anzeigen. Layer 3-DDoS-Angriffe zielen auf die Netzwerksoftware ab, die auf einem Computer ausgeführt wird, anstatt auf einen bestimmten Port.
Folgende sind die am häufigsten verwendeten Layer-3-Protokolle und die Protokolle, die am wahrscheinlichsten bei einem DDoS-Angriff verwendet werden:
IP: Das Internet Protocol (IP) leitet Datenpakete weiter und adressiert sie so, dass sie am richtigen Ziel ankommen. Jedes Gerät, das eine Verbindung zum Internet herstellt, hat eine IP-Adresse, und das IP-Protokoll fügt jedem Datenpaket die richtige IP-Adresse hinzu – ganz so als würde man einen Brief an jemanden adressieren.
IPsec: IPsec ist eigentlich eine Suite von mehreren Protokollen, nicht ein einzelnes Protokoll. IPsec ist die verschlüsselte Version von IP, die von VPNs verwendet wird. Der Unterschied ist ähnlich wie der zwischen HTTPS und HTTP.
ICMP: Das Internet Control Message Protocol (ICMP) verarbeitet Fehlerberichte und Tests. Als verbindungsloses Protokoll verwendet ICMP kein Transportprotokoll wie TCP oder UDP. ICMP-Pakete werden vielmehr nur über IP gesendet. Entwickler und Netzwerktechniker verwenden ICMP für seine Ping- und Traceroute-Funktionen. In der Regel muss jeweils nur ein ICMP-Paket gesendet werden.
Andere Layer-3-Protokolle umfassen:
Angriffe sind theoretisch mit jedem dieser Protokolle möglich. ICMP wird üblicherweise verwendet, um einen Server mit zu vielen Pings zu überfluten, um darauf antworten zu können, oder mit einem großen Ping-Paket, das das empfangende Gerät zum Absturz bringt (dies wird „Ping of Death“ genannt). Angreifer können IPsec verwenden, um das Ziel mit Junk-Daten oder zu großen Sicherheits-Zertifikaten zu überfluten.
Allerdings sind nicht alle dieser Protokolle für DDoS-Angriffe geeignet, und einige Arten von Angriffen werden durch Hardware-Updates unmöglich gemacht. Beispielsweise arbeitet ARP nur in einem lokalen Netzwerk, sodass ein Angreifer zunächst eine Verbindung zum lokalen Netzwerk herstellen muss, bevor er den DDoS-Angriff ausführt. Und ICMP-Ping-of-Death-Angriffe sind mit moderner Hardware nicht möglich, bei der zu große IP-Pakete ignoriert werden.
Wie bei anderen Arten von DDoS-Angriffen sendet der Angreifer über diese Protokolle ein großes Volumen an Junk-Netzwerkverkehr. Hierfür gibt es je nach Protokoll verschiedene Methoden. Der Junk-Verkehr behindert legitime Benutzeranfragen, verlangsamt die Antworten auf diese oder blockiert sie insgesamt. Manchmal gibt es so viele Junk-Daten, dass sie die Ressourcen des Angriffsziels überfordern und das Angriffsziel abstürzt.
Während verschiedene Angriffe möglich sind, einschließlich Angriffen nur über IP, treten ICMP-basierte Angriffe am häufigsten auf. Zu den bekannten ICMP-Angriffen gehören:
Cloudflare blockiert nicht nur DDoS-Angriffe auf den Ebenen 4 und 7, sondern bekämpft auch DDoS-Angriffe auf der Ebene 3. Cloudflare Magic Transit wurde speziell entwickelt, um Angriffe auf die interne Netzwerkinfrastruktur, einschließlich DDoS-Angriffe auf jeder Ebene, zu stoppen. Cloudflare WAF und CDN stoppen auch Ebene-3-DDoS-Angriffe, indem sie nur Traffic zu HTTP- und HTTPS-Ports akzeptieren – dies gibt es nur auf Ebene 7.
Das TCP/IP-Modell ist ein alternatives Modell für die Funktionsweise von Netzwerken. Anstelle von sieben Layern verfügt das TCP/IP-Modell über vier:
4. Anwendungsschicht (entspricht den Schichten 5–7 im OSI-Modell)
3. Transportschicht (entspricht der Schicht 4 im OSI-Modell)
2. Internetschicht (entspricht Schicht 3 im OSI-Modell)
1. Netzwerkzugriffs-/Verbindungsschicht (entspricht den Schichten 1–2 im OSI-Modell)
Bezieht man sich auf das TCP/IP-Modell anstelle des OSI-Modells werden Layer-3-DDoS-Angriffe als Layer-2- DDoS-Angriffe bezeichnet.