theNet von CLOUDFLARE

Die Risiken kleinerer DDoS-Angriffe

Daten aus dem aktuellen DDoS-Bericht

Cloudflare beobachtete und bekämpfte eine große Anzahl von DDoS-Angriffen auf die Netzwerkinfrastruktur. Während einige dieser Angriffe recht groß waren, fielen die meisten klein und kurz aus. Dieser Trend ist konstant geblieben – egal, ob die Gesamtzahl der Angriffe stieg oder sank und welche Protokolle auf Netzwerkebene bei den Angreifern beliebt oder unbeliebt waren.

Auch wenn kleine, kurze DDoS-Angriffe zunächst halb so schlimm klingen, können sie ungeschützten oder unzureichend geschützten Netzwerken Schaden zufügen. Solche Angriffe setzen das Abwehrsystem eines Unternehmens unter Druck und lenken Sicherheitsteams von anderen, schwerwiegenderen Bedrohungen ab.

Welche Trends und Taktiken stehen hinter der Beliebtheit von kleineren DDoS-Angriffen? Und wie sollten Unternehmen darauf reagieren?


Kleinere DDoS-Angriffe nehmen stark zu

DDoS-Angriffe nutzen Engstellen innerhalb der IT-Infrastruktur eines Unternehmens und der Anwendungen, die den Traffic empfangen. Es gibt zwar viele Arten von DDoS-Angriffen, aber die meisten nutzen eine dieser beiden Methoden:

  • Große Paketmengen: Jeder Server oder jede Anwendung kann nur eine begrenzte Anzahl von Anfragen auf einmal bewältigen. Wird diese Grenze überschritten, kann eine Anwendung legitime Anfragen möglicherweise gar nicht oder nicht mehr so gut verarbeiten.

  • Große Datenmengen: Netzwerkverbindungen, Server und Anwendungen können außerdem nur eine begrenzte Menge an Daten übertragen oder verarbeiten. Die Überschreitung dieser Bandbreitenbeschränkungen kann zu einem Systemausfall führen.

In der folgenden Abbildung werden Daten des Cloudflare-Netzwerks aus dem vierten Quartal 2021 dargestellt. Man erkennt, dass die überwiegende Mehrheit der Angreifer nicht die erste Methode eingesetzt hat. In diesen drei Monaten hatten mehr als 98 % der DDoS-Angriffe einen Durchsatz von maximal 1 Million Paketen pro Sekunde (pps) – ein Trend, der mit den Ergebnissen aus vorherigen Quartalen übereinstimmt.

Zum Vergleich: Im Jahr 2018 wies ein groß angelegter DDoS-Angriff gegen GitHub einen Durchsatz von 129,6 Millionen Paketen pro Sekunde auf. Im vierten Quartal 2021 erreichten nur 2 % der DDoS-Angriffe ein Zehntel dieser Größe. Die Mehrheit der Angreifer führte also DDoS-Angriffe mit kleineren Paketmengen durch.

Die folgende Grafik zeigt, dass im vierten Quartal die meisten DDoS-Angriffe auf Ebene 3/4 ihre Angriffsziele nicht mit massiven Datenmengen überlasten wollten. Tatsächlich wurde bei 97 % aller Angriffe weniger als ein halbes Gigabyte an Daten pro Sekunde übertragen.

DDoS-Angreifer verwenden nicht mehr die althergebrachten Taktiken, weil ihnen kürzere und kleinere Angriffe verschiedene Vorteile bieten.


Warum treten diese kürzeren und kleineren Angriffe so häufig auf?

Die starke Verbreitung kleinerer Angriffe mag ungewöhnlich erscheinen, weil es zunächst so aussieht, als ob DDoS-Angreifer ihre Möglichkeiten nicht voll ausschöpfen. Es gibt jedoch viele Gründe, warum kürzere und kleinere DDoS-Angriffe immer öfter vorkommen.

Grund 1: Die Zunahme von „DDoS for Hire“

In den letzten Jahren sind DDoS for Hire-Plattformen immer beliebter geworden. Auf diesen Plattformen (man spricht auch von „Stressern“) kann ein Kunde ein bestehendes DDoS-Botnetz mieten, um einen Angriff gegen ein beliebiges Ziel durchzuführen.

Auf einer DDoS for Hire-Seite ist die Durchführung eines kurzen, relativ kleinen Angriffs ziemlich billig. Die Preise bewegen sich im Bereich von 5 USD für fünf Minuten bis 400 USD für einen ganzen Tag. Da diese kleineren Angriffe immer einfacher zu starten sind, rechnen wir damit, dass sie weiter an Beliebtheit gewinnen werden.

Grund 2: Höhere Angreifbarkeit von Netzwerkinfrastruktur

Cyberkriminelle konzentrieren ihre Bemühungen in der Regel auf die Stelle, an der sie die größte Wirkung erzielen können. Eine Möglichkeit ist der Angriff auf eine Netzwerkinfrastruktur, die ohnehin bereits Schwierigkeiten hat, große Mengen Traffic zu bewältigen.

Fernzugriffslösungen wie VPNs und RDPs sind ein Beispiel dafür. Die COVID-19-Pandemie hat viele Unternehmen gezwungen, ihre Nutzung von VPNs und RDPs stark auszubauen, da ein großer Prozentsatz der Belegschaft nun von zu Hause aus arbeitet. Ein solcher Anstieg kann einen Dienst schnell an seine Grenzen bringen. So müssen sich selbst große, etablierte Unternehmen die VPN-Nutzung einteilen, um umfangreichere Netzwerkausfälle zu verhindern.

Sicher ist, dass Remote-Access-Lösungen seit Beginn der Pandemie das Ziel von DDoS-Angriffen waren. Bei einem solchen Angriff kann mit vergleichsweise wenig Datenverkehr dafür gesorgt werden, dass das Angriffsziel legitimen Traffic nicht mehr so gut verarbeiten kann.

Grund 3: Vorbereitung von Lösegeldforderungen

Setzt ein Unternehmen eine Lösung zur DDoS-Abwehr ein, hat ein kleiner Angriff nur geringe oder gar keine Auswirkungen auf die Verfügbarkeit der Dienste für legitime Nutzer. Doch diese kleinen Angriffe sind möglicherweise nicht das endgültige Ziel des Angreifers.

In den letzten Jahren sind Fälle von Ransom-DDoS-Angriffen aufgetreten. Dabei verlangt ein Angreifer Lösegeld und droht – sollte der Forderung nicht nachgekommen werden – mit einem DDoS-Angriff. In vielen Fällen geben sich die Gruppen als bekannte Bedrohungsakteure wie Fancy Bear, Cozy Bear oder die Lazarus Group aus, um das Opfer zur Zahlung zu bewegen.

Ein kleiner DDoS-Angriff kann im Vorfeld einer DDoS-Lösegeldforderung stattfinden. Indem der Angreifer zeigt, dass er einen – wenn auch nur bescheidenen – DDoS-Angriff durchführen kann, erhöht er die Wahrscheinlichkeit, dass ein Unternehmen zur Vermeidung einer größeren Attacke das Lösegeld zahlt.

Grund 4: Umgehung älterer DDoS-Abwehrsysteme

Frühe Lösungen zur DDoS-Abwehr waren darauf ausgelegt, große Mengen an Traffic zu erkennen und zu blockieren. Diese Systeme werden möglicherweise nur aktiviert, wenn das Traffic-Aufkommen eine festgelegte Schwelle überschreitet.

Kleinere DDoS-Angriffe können den Schutz von älteren DDoS-Abwehrlösungen umgehen, wenn diese potenzielle Angriffe anhand von Schwellenwerten identifizieren. Bleiben die Angriffe knapp unter dem Schwellenwert, können sie also den Betrieb der Zielnetzwerke stören, ohne das Abwehrsystem des Unternehmens überlasten zu müssen.

Grund 5: Auskundschaften der Netzwerkabwehr

Groß angelegte DDoS-Angriffe können teuer sein und erfordern erhebliche Ressourcen. So kann ein kleiner DDoS-Angriff auch als Erkundung für eine spätere Attacke gedacht sein.

Wenn ein Unternehmen eine Lösung zur DDoS-Abwehr einsetzt, hat ein kleiner DDoS-Angriff keine Auswirkungen auf die Performance der angegriffenen Anwendung. Bei einer ungeschützten Anwendung kann dagegen selbst ein kleiner DDoS-Angriff zu einer messbaren Latenz führen. Durch einen Angriff in kleinerem Maßstab lässt sich feststellen, welche Unternehmen über Abwehrmechanismen verfügen und welche nicht, was nützliche Informationen für die Planung späterer Angriffe liefert.

Grund 6: Verschleierung anderer Angriffe

Viele DDoS-Angriffe sind bewusst darauf ausgelegt, Aufmerksamkeit zu erregen. Ein erfolgreicher DDoS-Angriff legt die betroffene Netzwerkanwendung lahm und stellt das Sicherheitsteam eines Unternehmens vor ein handfestes Problem. Unternehmen nutzen die Netzwerkinfrastruktur, um mit Kunden zu kommunizieren und ihre Dienste für sie bereitzustellen. Daher wird die Abwehr des Angriffs zur Priorität.

Aus diesem Grund können DDoS-Angriffe zur Tarnung anderer Arten von Attacken eingesetzt werden, die ein aufmerksames Sicherheitsteam sonst erkennen und blockieren würde. Konzentriert sich das Unternehmen voll und ganz auf die Abwehr des DDoS-Angriffs, bleibt möglicherweise nicht mehr genug Aufmerksamkeit übrig, um den Versuch eines Datendiebstahls oder der Einschleusung von Malware in das Netzwerk zu bemerken. Ein kleiner DDoS-Angriff reicht zwar nicht aus, um die Systeme eines Unternehmens außer Gefecht zu setzen, schafft es jedoch möglicherweise, von der eigentlichen Bedrohung abzulenken.


Welche Risiken stellen diese kleineren Angriffe dar?

Auch wenn kleinere DDoS-Angriffe weniger bedrohlich wirken als größere, stellen sie für Unternehmen dennoch eine Reihe von Risiken dar. In einigen Fällen kann auch ein kleiner Angriff Infrastruktur ausschalten oder zumindest ihre Performance beeinträchtigen. Darüber hinaus können kleinere DDoS-Attacken Angreifern helfen, Sicherheitslücken aufzuspüren oder ihr anvisiertes Opfer von parallelen Angriffen abzulenken, bei denen ganz andere Methoden zum Einsatz kommen.

Risiko 1: Anfällige Infrastruktur wird lahmgelegt

Unternehmen, die eine robuste DDoS-Abwehrlösung implementiert haben, sind selbst vor den größten DDoS-Angriffen geschützt. Anders sieht es jedoch bei ungeschützten oder unzureichend geschützten Netzwerken aus – besonders, wenn diese bereits überlastet sind.

Bei einem kleinen DDoS-Angriff gelangt pro Sekunde bis zu einem halben Gigabyte an schädlichen Daten in die Netzwerkinfrastruktur eines Unternehmens. In einem Firmennetzwerk können unter anderem an folgenden Stellen Engpässe auftreten:

  • Netzwerkbandbreite

  • Geöffnete TCP-Verbindungen

  • CPU-Auslastung

Wenn die Kapazität einer dieser Ressourcen durch den Angriff überschritten wird, kann das Netzwerk keine legitimen Anfragen mehr verarbeiten.

Risiko 2: Schlechtere Netzwerk-Performance

Jede an das Netzwerk eines Unternehmens gerichtete Anfrage – ob legitim oder nicht – verbraucht Ressourcen. Unter normalen Umständen sind die meisten Anfragen legitim und böswillige Anfragen haben nur geringe oder vernachlässigbare Auswirkungen.

Bei einem DDoS-Angriff hingegen können bösartige Anfragen den legitimen Traffic übersteigen, und zwar oft um ein Vielfaches. Selbst wenn ein Angriff den anvisierten Dienst nicht zum Erliegen bringt, kann es erhebliche Auswirkungen auf die Bilanzen eines Unternehmens haben, wenn die Kosten für den Betrieb der Website explodieren. Die Bearbeitung von Spam-Anfragen bindet Rechenressourcen, und wenn ein Unternehmen einen gebührenpflichtigen DDoS-Abwehrdienst verwendet, kann dieser Schutz sehr kostspielig werden.

Risiko 3: Langzeitfolgen eines Angriffs

Ein DDoS-Angriff wirkt unter Umständen lange nach. Es kommt vor, dass eine Anwendung während eines DDoS-Angriffs nicht mehr auf legitime Anfragen reagieren kann, danach aber wieder normal funktioniert. In anderen Fällen kann ein Angriff zum Absturz von Anwendungen oder Servern führen. Dann sind IT-Teams gezwungen, die Maschinen oder die Software neu zu starten und (falls möglich) verlorene Daten wiederherzustellen. Im zweiten Szenario kann ein kurzer, kleiner Angriff trotz relativ geringer Anfangskosten weitreichende Auswirkungen haben.


Wie sollten sich Unternehmen auf diese Risiken vorbereiten?

Die beste Vorbereitung auf einen DDoS-Angriff ist eine DDoS-Abwehrlösung. Allerdings sind nicht alle Produkte in diesem Bereich gleichwertig. Nach diesen Eigenschaften sollten Sie Ausschau halten:

  • Always-on-Schutz: Einige Lösungen zur DDoS-Abwehr werden erst aktiv, wenn der böswillige Traffic einen bestimmten Schwellenwert erreicht. Leider bleiben kleinere DDoS-Angriffe bei diesen Lösungen unter Umständen unbemerkt. Eine Always-on-DDoS-Abwehrlösung schützt dagegen kontinuierlich vor Angriffen.

  • Sicherheitsintegration: DDoS-Angriffe können als Tarnung für einen anderen Angriff dienen. Eine in andere Sicherheitstools integrierte DDoS-Lösung kann dabei helfen, den tatsächlichen Angriff zu identifizieren, von dem eine kleinere DDoS-Attacke abzulenken versucht.

  • Edge-basiertes Scrubbing: Die Übertragung des gesamten Netzwerk-Traffics an ein zentrales System zur Inspektion und zum Scrubbing erhöht die Netzwerklatenz. Scrubber sollten an der Netzwerk-Edge verteilt werden, um die Performance so wenig zu beeinträchtigen wie möglich.

  • DDoS-Abwehr ohne Volumenbegrenzung: Einige Anbieter legen bei der Abrechnung die auf dem Höhepunkt des Angriffs genutzte Netzwerkbandbreite zugrunde, was bei Großangriffen zu exorbitanten Kosten führen kann. Suchen Sie nach einer DDoS-Lösung, die auf dynamisches Preismanagement verzichtet.

Die Zahl der DDoS-Angriffe nimmt zu und der Trend geht zu kleineren und kürzeren Attacken. Wenn Sie eine hohe Verfügbarkeit und Performance Ihrer Webdienste sicherstellen wollen, lohnt sich die Investition in eine führende Lösung zur DDoS-Abwehr.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Die häufigsten Arten von DDoS-Angriffen

  • 6 Gründe, warum diese Angriffe zunehmen

  • Die 3 größten damit verbundenen Risiken

  • Führende DDoS-Abwehr


Verwandte Ressourcen


Vertiefung des Themas:

Erfahren Sie, wie Ihre Netzwerke vor DDoS-Angriffen schützt und gleichzeitig ihre Performance verbessert.

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!