Wie der Lockdown die DDoS-Bedrohungslage verändert hat

Globale Erkenntnisse zu DDoS-Angriffen in der Netzwerkschicht

Im ersten Quartal 2020 ist der Internet-Traffic in die Höhe geschnellt. Galt das auch für DDoS-Angriffe in der Netzwerkschicht?

Sowohl der Internet-Traffic als auch die in der Netzwerkschicht ausgeführten DDoS-Angriffe haben im ersten Quartal einen sprunghaften Anstieg verzeichnet. Während der weltweiten Ausgangsbeschränkungen war es dank des Internets möglich, die Arbeit aus der Ferne zu erledigen, gesellschaftliche Verbindungen aufrechtzuerhalten, online zu lernen und einzukaufen, Zeit in den sozialen Netzwerken zu verbringen, Essen zu bestellen, zu spielen und viele andere Web-basierte Dienste in Anspruch nehmen. In einigen Ländern hat sich der Datenverkehr um bis zu 50 % gesteigert. Mit erhöhter Online-Aktivität haben auch die DDoS-Angriffe in der Netzwerkschicht zugenommen. Größere Umtriebigkeit im Internet lässt DDoS-Angreifer aufhorchen, weil sie wissen, dass mit stärkerer Nutzungsintensität auch die Umsätze pro Minuten von Online-Anbietern steigen.

Wenn Spitzennutzerzahlen erreicht werden, haben Unternehmen weitaus mehr zu verlieren. Das erhöht die Motivation der Angreifer, DDoS-Taktiken einzusetzen. Laut einer Schätzung des Verbands ITC (Information Technology Council) schlägt ein Ausfall im Schnitt pro Minute mit 5.600 USD zu Buche. Ein erfolgreicher DDoS-Angriff könnte ein modernes Unternehmen also durchschnittlich bis zu 336.000 USD kosten – und das für jede Stunde, in der sein Angebot nicht abrufbar ist. Angesichts dieser wachsenden Aufwendungen steigt möglicherweise die Bereitschaft einiger Unternehmen, DDoS-Angreifern Lösegeld zu zahlen, um ihre Netzwerkinfrastruktur oder ihre Website wieder in Betrieb nehmen zu können.

Kleinere und schnellere Angriffe im ersten Quartal 2020

Gemessen an der Bitrate wurden im Q1 2020 überwiegend kleine Angriffe in der Netzwerkschicht verzeichnet. 92 % blieben unter der Schwelle von 10 Gigabit pro Sekunde (Gbps), gegenüber 84 % in den vorangegangenen drei Monaten. Was die Paketzahl angeht, bewegten sich die Spitzenwerte der meisten Angriffe bei weniger als 1 Mio. Pakete pro Sekunde (pps). An diesen beiden Werten zeigt sich, dass die Angreifer ihre Aufmerksamkeit und ihre Ressourcen im Beobachtungszeitraum auf kleine Attacken konzentriert haben.

Neben den Paket- und Bitraten hat auch die Dauer der Angriffe abgenommen. 79 % der DDoS-Attacken im ersten Quartal 2020 erstreckten sich über 30-60 Minuten – obwohl derartige Angriffe durchaus auch Tage oder Monate andauern können. Das ist nur auf den ersten Blick eine gute Nachricht. Eine mögliche Erklärung für diesen Trend zu kleineren und kürzeren Angriffen ist, dass sich DDoS-Attacken heute einfacher und billiger ausführen lassen. Tatsächlich werden sie mittlerweile sogar als Dienstleistung angeboten. In den finsteren Bereichen des Internet braucht man für eine fünfminütige Attacke nach Angaben von Kaspersky unter Umständen gerade einmal 5 USD zu bezahlen.

Große Angriffe weiterhin verbreitet

Obwohl die meisten im ersten Quartal 2020 registrierten Angriffe unter 10 Gpbs blieben, waren umfangreichere Attacken weiterhin verbreitet. Die größte fand im März statt und erreichte einen Spitzenwert von mehr als 550 Gbps. Ab Mitte März registrierte Cloudflare einen Anstieg bei umfangreicheren DDoS-Angriffen auf größere Unternehmen. Dahinter stecken möglicherweise nationalstaatliche Akteure, Hacktivisten oder Cybererpresser, die die Geschäftsabläufe von Firmen mit Remote-Mitarbeitern stören wollen. Andere Angreifer versuchen eventuell, in Krisensituationen die Schwachpunkte von Versorgungsdienstleistern wie Stromnetzen und Erdölbetrieben auszunutzen.

Nachverfolgen von Angriffsvektoren

Die durchschnittliche Zahl von Vektoren, die in DDoS-Angriffen pro IP-Adresse eingesetzt werden, hält sich stabil bei etwa 1,4 pro Tag. Die bislang registrierte Höchstzahl liegt bei 10. Im letzten Quartal wurden mehr als 32 verschiedene Arten von Angriffsvektoren in Layer 3 und 4 verzeichnet. Die Mehrheit (55,8 %) entfiel auf ACK (Acknowledgement Signal)-Angriffe, gefolgt von SYN (Synchronize Request)-Angriffen (14,4 %). Rang drei erreichte die Botnet-Malware Mirai, die es immer noch auf einen beachtlichen Anteil (13,5 %) brachte. Zusammen machten SYN- und ACK-DDoS-Attacken im ersten Quartal 70 % aller Angriffsvektoren in Layer 3 und 4 aus.

Die Lehren aus dem ersten Quartal 2020

• Internetnutzung nimmt stark zu

• Anstieg der weltweiten Internetnutzung sorgt für größere Zahl an DDoS-Angriffen.

• Die Attacken wurden kleiner und kürzer – möglicherweise, weil sie sich inzwischen günstiger und einfacher durchführen lassen.

• Umfangreichere Angriffe auf größere Unternehmen sind weiterhin verbreitet.

Zeitfenster für mögliche DDoS-Angriffe schließen

Mehr denn je sind DDoS-Attacken heute an der Tagesordnung. Daher muss jeder Online-Akteur unabhängig von seinem Standort ein Sicherheitsniveau schaffen, das den Schutz, schnelle Reaktionszeiten und die Ausfallsicherheit seiner Netzwerke, Anwendungen und Webseiten gewährleistet. Wir haben schon festgestellt, welche Schäden bereits bei einem Ausfall von nur einer Stunde durch Einnahmeeinbußen drohen.

Wie lassen sich im Zeitalter der vollständigen Vernetzung, in dem Unternehmen beim Internet-Traffic schnell die Spreu vom Weizen trennen müssen, diese Ziele möglichst kosteneffektiv erreichen?

Eine Methode zur Abwehr von DDoS-Angriffen ist das Scannen und Filtern von Datenverkehr mit lokaler Hardware am Netzwerk-Perimeter. Allerdings erfordern kürzere Angriffe schnelle Abwehrmaßnahmen, die im Idealfall innerhalb von höchstens 10 Sekunden erfolgen sollten. In vielen SLAs herkömmlicher Anbieter werden jedoch Abwehrzeiten von bis zu 15 Minuten zugesagt.

Weitere Abwehrmethoden für DDoS-Angriffe sind unter anderem das Rerouting von Netzwerk-Traffic über Scrubbing-Zentren, in denen bösartiger Datenverkehr herausgefiltert wird. Viele DDoS-Attacken werden jedoch lokal ausgeführt, während Scrubbing-Zentren in ihrer Zahl begrenzt und räumlich weit voneinander entfernt sind. Weil der Datenverkehr den Umweg über diese Rechenzentren nehmen muss, entsteht dort unter Umständen ein „Nadelöhr“, was diese Lösung unpraktikabel macht.

Ein cloudbasiertes Netzwerk ist deshalb der einzige Schutz, der den raffinierten DDoS-Attacken wirklich standhalten kann. Die DDoS-Abwehr wird dabei über eine einzige Kontrollebene am Netzwerkrand ausgeführt, um diese Angriffe in größtmöglicher Nähe zu ihrem Ausgangspunkt zu unterbinden. So wird die Sicherheit von Ursprungsservern sowohl lokal als auch in der Cloud gewährleistet. Eine solche groß angelegte und einheitliche Netzwerk-Abwehr lernt kontinuierlich aus jedem Angriff und tauscht zugleich Erkenntnisse aus, um die nächste Attacke zu durchkreuzen. Außerdem bietet sie Ihrem gesamten Unternehmen soliden Schutz vor DDoS-Angriffen, ohne die Netzwerk- und Anwendungs-Performance zu beeinträchtigen, was finanzielle Nachteile haben könnte.

Diese Ergebnisse stammen aus dem Cloudflare-Netzwerk, das sich über mehr als 200 Städte in über 100 Ländern erstreckt und täglich über 76 Milliarden Cyber-Bedrohungen blockiert. Dank unseres einzigartigen, vollständigen Überblicks über die DDoS-Bedrohungsszenerie können wir einen wahren Datenschatz zu diesen allgegenwärtigen Angriffen zusammentragen und mit ihrem Wandel Schritt halten.

Dieser Beitrag ist Teil unserer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.