Distributed-Denial-of-Service-Angriffe (DDoS) gibt es in vielen Formen und Größen, ebenso wie die Mythen, die sie umgeben. Diese DDoS können sich auf Motive, DDoS-Angriffsvektoren und -techniken, Abwehrstrategien und vieles mehr beziehen. DDoS-Mythen sind manchmal sogar gefährlicher als die Angriffe selbst, da die falschen Vorstellungen Unternehmen für andere Arten von Cyberangriffen anfällig machen, Abwehrstrategien in die falsche Richtung lenken oder dazu führen können, dass Teams Angriffe überhaupt nicht erkennen.
Mythos 1: DDoS-Angriffe sind selten, richten sich nur gegen große Unternehmen und werden von hochentwickelten Angreifern durchgeführt.
In Wirklichkeit sind DDoS-Angriffe allgegenwärtig und richten sich gegen Unternehmen aller Art und Größe. Laut dem aktuellen Threat-Intelligence-Report von Netscout wurden allein in der zweiten Jahreshälfte 2024 fast neun Millionen DDoS-Angriffe verzeichnet – ein Anstieg von 12,7 % gegenüber dem ersten Halbjahr. Dieses Ausmaß an Aktivitäten zeigt, dass die Bedrohung durch DDoS-Angriffe nach wie vor aktuell ist und defensive Maßnahmen für Unternehmen jeder Art und Größe unerlässlich sind.
Viele DDoS-Angriffen werden von kostengünstigen oder sogar kostenlosen hochentwickelten DDoS-for-Hire-Diensten durchgeführt, die globale Botnets oder Gruppen kompromittierter Geräte nutzen. Oft sind diejenigen, die DDoS-for-Hire-Angriffe in Auftrag geben, keine professionellen Hacker, sondern handeln aufgrund geopolitischer Ereignisse und greifen Unternehmen, Einzelpersonen oder Infrastrukturen an, die ihren Interessen zuwiderlaufen.
DDoS-Angriffe zielen nicht immer auf Webservices ab. Oft zielen sie auf Infrastrukturen oder wichtige Dienste wie Stromnetze ab, um die allgemeine Bevölkerung tiefgreifend zu beeinträchtigen und zu verunsichern.
Mythos 2: Bei DDoS-Angriffen werden Netzwerke nur mit großen Datenmengen überflutet.
In den Anfängen von DDoS handelte es sich bei den meisten Angriffen um große Datenfluten, so genannte volumetrische Angriffe, im Laufe der Zeit haben sich DDoS-Angriffe jedoch weiterentwickelt und sind präziser und komplexer geworden. Die Medien berichten weiterhin über die Angriffe mit einer Größe von mehreren Terabit pro Sekunde und verstärken damit dieses weit verbreitete Missverständnis. Obwohl diese groß angelegten Angriffe nach wie vor äusserst gefährlich sind, sind die meisten Angriffe mit geringer Bandbreite (weniger als 1 GBit/s) ebenso gefährlich, da sie auf Applikations-Layer wie das Domain Name System (DNS) und Webservices HTTP/HTTPS abzielen.
In der ersten Jahreshälfte 2024 war ein dramatischer Anstieg der Anzahl von Angriffen auf Anwendungsschichten um 43 % und ein Anstieg der volumetrischen Angriffe um 30 % zu verzeichnen, insbesondere in Europa und im Nahen Osten. Diese gezielten Angriffe werden immer beliebter. Das liegt daran, dass viele DDoS-Schutzdienste von Internetdienstanbietern (ISPs) und andere Cloud-Schutzlösungen darauf ausgelegt sind große volumetrische Angriffe abzuwehren, jedoch Schwierigkeiten haben komplexe Angriffe mit geringer Bandbreite oder verschlüsselte Angriffe zu erkennen und zu mitigieren.
TCP-State-Exhaustion-Angriffe auf Netzwerk Protokoll-Layer sind eine weitere häufige Art hochgradig wirksamer Angriffe. Sie zielen speziell auf Session-basierte lokale Systeme wie Firewalls, Load Balancer, VPN-Gateways (Virtual Private Network) und mehr ab und überlasten deren Sessiontabellen mit einer Flut von Verbindungsanfragen, wodurch die Kommunikation mit legitimem Benutzer gestört oder nicht mehr möglich ist.
Mythos 3: Firewalls der nächsten Generation können DDoS-Angriffe abwehren.
Firewalls der nächsten Generation (NGFWs) sind leistungsstarke Geräte, die das allgemeine Sicherheitsniveau erheblich verbessern. Aufgrund ihres Verbindungs (Session) basierten Designs sind sie jedoch anfällig für insbesondere DDoS- State-Exhaustion-Angriffe. Durch die Kombination von NGFWs mit einer Session-Less inline DDoS-Abwehrlösung, die vor der Firewall platziert wird, können Firewalls wirkungsvoll vor State-Exhaustion-Angriffen geschützt werden.
Mythos 4: Cloud-basierter DDoS-Schutz allein reicht aus
Ein DDoS-Angriff, der größer ist als die Bandbreite der Internetverbindung, lässt sich nur mit cloudbasiertem DDoS-Schutz stoppen. Allerdings können hochentwickelte DDoS Angriffe die mit geringer Bandbreite oder verschlüsselt ausgeführt werden diese Schutzmaßnahmen umgehen, sodass zusätzliche Abwehrmaßnahmen erforderlich sind. Heutige DDoS-Angriffe nutzen dynamisch mehrere Angriffsvektoren und Techniken, werden oft automatisiert ausgeführt und umgehen somit traditionelle statische Abwehrmaßnahmen.
Durch den Einsatz eines hybriden Ansatzes zur DDoS-Abwehr, bei dem cloudbasierte und lokale Inline-DDoS-Schutzlösungen kombiniert werden, können Unternehmen sich besser gegen agile, multivektorielle DDoS-Angriffe schützen und so das Betriebsrisiko minimieren und gleichermaßen die Verfügbarkeit maximieren.
Mythos 5: DDoS-Schutz erfordert keinen Einsatz von KI/ML
Viele glauben, dass der Einsatz von künstlicher Intelligenz (KI) oder maschinellem Lernen (ML) zur Abwehr von DDoS-Angriffen nicht notwendig ist. Das entspricht jedoch nicht der Realität.
Automatisierung und KI haben die Effektivität und Anpassungsfähigkeit dieser Angriffe bereits verbessert, so dass herkömmliche Verteidigungsmaßnahmen obsolet sind. Die KI-Integration kann Angreifern eine Reihe neuer Funktionen bieten, darunter: Anpassung der Angriffsmuster in Echtzeit, CAPTCHA-Auflösung und Nachahmung von Verhaltensweisen.
Genauso wie KI die Methoden von Angreifern verändert, müssen Verteidiger darüber nachdenken, wie sie ihre Abwehrmechanismen stärken. Der Einsatz von adaptiven DDoS Detection- und Mitigations Systeme, die sich durch den Einsatz von proaktiver Echtzeit-Threat Intelligence, maschinelles Lernen und dynamischer Next-Generation-Defense Technologien auszeichnen, bieten hier ein wirkunsgvolles Schutzschild gegen diese Art von DDoS Angriffen.
Fazit
Beim Schutz der wichtigsten digitalen Ressourcen eines Netzwerks müssen sich Unternehmen vor diesen weitverbreiteten Mythen schützen. Ein dedizierter DDoS-Schutz, der vor dynamischen DDoS-Angriffen aus mehreren Richtungen schützt, ist der einzige Weg, um in der modernen DDoS-Landschaft maximale Verfügbarkeit zu gewährleisten.
Von Karl Heuser, Manager Security – Enterprise (DACH, EEUR & Nordics) bei Netscout
