Unternehmen stürzen sich Hals über Kopf in die neue Normalität: sie verlagern ihre Dienste ins Internet, bewältigen Traffic-Spitzen und richten Remote-Teams ein. Auf der Grundlage der von uns beobachteten Angriffsdaten haben wir festgestellt, dass diese Eile – und die zunehmende Bedeutung des Internets für unser Alltagsleben – Angreifern die Möglichkeit bietet, ihre böswilligen Aktivitäten hochzufahren.
Der vorliegende Bericht stellt diese Trends dar und enthält Vorschläge, wie Organisationen darauf reagieren können.
Auf der Grundlage von Angriffsdaten, die von April bis Juni 2020 beobachtet wurden, hat Cloudflare folgende Trends ermittelt:
Verglichen mit dem Vorquartal haben wir doppelt so viele Layer-3/4-DDoS-Angriffe in unserem Netzwerk beobachtet.
Die meisten Angriffe im zweiten Quartal 2020 waren zwar kleiner als im ersten – aber es ist nicht zwangsläufig ein Grund zur Freude
Die USA waren Ziel der meisten DDoS-Angriffe
DDoS-Angriffe, die auf Layer 3 und 4 – auch bekannt als Network und Transport Layer des OSI-Modells – abzielen, verwenden Funktionen auf diesen beiden Layern (z. B. Server-Pings auf Layer 3 und TCP-SYN-Pakete auf Layer 4), um einen Zielserver mit Junk-Traffic zu überlasten.
Bei der Analyse der Layer-3/4-DDoS-Angriffe haben wir gesehen, dass die Zahl der Angriffe im April, Mai und Juni stark angestiegen ist. Allein auf die Monate Mai und Juni entfielen in diesem Jahr über 50 % aller Layer-3/4-Angriffe:
In diese Zeit fallen auch einige der größten Angriffe. Die größte von Cloudflare evaluierte Angriffskategorie machten Angriffe mit einem Angriffsvolumen von über 100 Gigabit pro Sekunde (Gbit/s) aus. Von allen Angriffen mit mehr als 100 Gbit/s im 2. Quartal 2020 fanden 63 % im Mai statt – eine deutliche Zunahme großer Angriffe im Vergleich zum 1. Quartal.
Es gibt verschiedene Möglichkeiten, die Größe eines DDoS-Angriffs zu messen. Zum einen als Volumen des Angriffstraffics, ausgedrückt als Bitrate (in Gigabit pro Sekunde), zum anderen als Anzahl der gelieferten Pakete, ausgedrückt als Paketrate (als Pakete pro Sekunde). Angriffe mit hohen Bitraten versuchen, die Internetverbindung zu sättigen. Angriffe mit hohen Paketraten versuchen, die Router oder andere Inline-Hardwaregeräte zu überwältigen.
In den Monaten April bis Juni fielen mehr als die Hälfte der Angriffe unter 1 Gbit/s und fast 90 % unter 10 Gbit/s aus. (Dieser Trend ist konsistent mit den Angriffen im 1. Quartal 2020, von denen 92 % unter 10 Gbit/s Angriffsvolumen hatten).
In ähnlicher Weise wiesen etwa 76 % aller Angriffe Paketraten von unter einer Million pps auf – eine vergleichsweise niedrige Schwelle.
Betrachtet man die Verteilung der L3/4-DDoS-Angriffe nach Ländern, so waren unsere Rechenzentren in den USA den meisten Angriffen ausgesetzt (22,6 %), gefolgt von Deutschland (4,4 %), Kanada (2,8 %) und Großbritannien (2,7 %).
Auf der Grundlage dieser Trends können wir die folgenden Schlussfolgerungen ziehen und schlagen Ihnen vor, wie Sie auf die neuen Trends reagieren können:
Die Angreifer haben offenbar ihre Layer-3/4-DDoS-Aktivität erhöht, als die Covid-19-Pandemie ernsthaft ins Rollen kam.
Da das Ende der Pandemie noch nicht in Sicht ist, sollten Organisationen ihre Layer-3- und Layer-4-Infrastruktur unbedingt langfristig auf DDoS-Angriffe vorbereiten.
Auch kleinere Angriffe können zum Problem werden.
Eine Website ohne angemessenen Schutz kann auch von einem Angriff mit einer Bitrate unter 10 Gbit/s lahmgelegt werden, ebenso wie von einem Angriff mit niedrigeren Paketraten. Organisationen sollten also in den Schutz vor Angriffen verschiedener Größenordnungen investieren.
Kleinere Angriffe können die Eröffnungssalve einer breiteren Strategie sein,
bei denen Angreifer ein Lösegeld von Unternehmen erpressen, nach dessen Zahlung sie versprechen, die Websites und Webapplikationen der Unternehmen nicht zu stören – oder sie versuchen, Sicherheitsteams von einem anderen Angriff abzulenken. Organisationen sollten also unbedingt in der Lage sein, ihre Infrastruktur auf Angriffe aller Größenordnungen zu überwachen – und nicht nur auf große Angriffe, die ganze Server lahmlegen.
Die Angriffe kommen aus der ganzen Welt.
Organisationen sollten in Technologien investieren, die den gesamten Traffic von vielen Punkten auf der ganzen Welt gleichzeitig kontrollieren und scrubben können.
Ein großes cloudbasiertes Netzwerk ist die einzige Erfolg versprechende Antwort auf die oben genannten Herausforderungen. Der DDoS-Schutz wird dabei über eine einzige Kontrollebene am Netzwerkrand ausgeführt, um diese Angriffe in größtmöglicher Nähe zu ihrem Ausgangspunkt zu unterbinden. So wird die Sicherheit von Ursprungsservern sowohl lokal als auch in der Cloud gewährleistet. Und die Größe des Netzwerks erlaubt es, den Angriffs-Traffic über eine breite Netzwerkoberfläche zu verteilen, sodass kein Rechenzentrum die gesamte Last allein tragen muss und in seiner Performance nicht beeinträchtigt wird.
Diese Ergebnisse stammen aus dem Cloudflare-Netzwerk, das sich über mehr als 200 St ädte in über 100 Ländern erstreckt und täglich über 72 Milliarden Cyber-Bedrohungen blockiert. Dank unseres einzigartigen, vollständigen Überblicks über die DDoS-Bedrohungsszenerie können wir einen wahren Datenschatz zu diesen allgegenwärtigen Angriffen zusammentragen und mit ihrem Wandel Schritt halten. Das Cloudflare-Netzwerk lernt kontinuierlich aus jedem Angriff und tauscht zugleich Erkenntnisse aus, um die nächste Attacke zu durchkreuzen. Außerdem bietet es Ihrem gesamten Unternehmen soliden Schutz vor DDoS-Angriffen, ohne die Netzwerk- und Anwendungs-Performance zu beeinträchtigen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Schauen Sie sich weitere Daten zu DDoS-Trends an – einschließlich der Häufigkeit verschiedener Angriffsvektoren. Im vollständigen Datenbericht finden Sie auch Fallbeispiele dafür, wie Unternehmen auf ähnliche Bedrohungen reagiert haben.