Wie man DDoS-Angriffe an Warnzeichen erkennt

Anzeichen für DDoS-Angriffe

Die folgenden Anzeichen könnten auf einen DDoS-Angriff hindeuten:

• Eine einzelne IP-Adresse oder ein IP-Adressbereich, der übermäßig viele und aufeinanderfolgende Anfragen stellt.
• Starker Datenverkehr von einem einzelnen geografischen Standort oder Gerät.
• Ungewöhnliche Verkehrsmuster.
• Der Dienst reagiert ständig mit den Fehlermeldungen „500 Internal Server Error“ oder „503 Server Unavailable“, was darauf hindeutet, dass er nicht verfügbar ist oder Anfragen nicht bearbeiten kann.
• Warnmeldungen zu Bandbreiten-, Speicher- oder CPU-Problemen.
• Paket-TTLs (Time-to-Live) laufen aufgrund eines Angriffs ab, der übermäßige Bandbreite beansprucht.

DDoS-Angriffe können verschiedene OSI-Schichten (Open Systems Interconnection) zum Ziel haben, aber die Layer 3, 4 und 7 sind am beliebtesten, weil sie relativ einfach zu erreichen sind und potenziell enorme Auswirkungen haben können.

Multivektor-DDoS-Angriffe zielen auf mehrere Schichten des OSI-Modells gleichzeitig ab. Ein Multivektor-DDoS-Angriff kann beispielsweise einen DNS-Verstärkungsangriff umfassen, der auf die Schichten 3 und 4 abzielt, sowie eine HTTP-Überflutung, die auf Schicht 7 abzielt.

Die fünf häufigsten DDoS-Angriffsvektoren im zweiten Quartal 2024 waren laut einer Untersuchung von Cloudflare DNS, SYN, RST, User Datagram Protocol und Generic Routing Encapsulation.

Wie man DDoS-Angriffe erkennt

Die frühzeitige und genaue Erkennung der oben genannten Anzeichen ist der Schlüssel zur Eindämmung von DDoS-Angriffen. Es ist unerlässlich, automatisierte DDoS-Erkennungsmethoden in die Cloud- und lokale Infrastruktur zu integrieren, damit sofort und bevor übermäßiger Schaden angerichtet wird, vorbeugende Maßnahmen ergriffen werden können.

Zwei Methoden zur Erkennung von DDoS-Angriffen sind die Inline-Paketprüfung und die Out-of-Band-Erkennung über die Analyse des Datenverkehrs. Beide können vor Ort oder über die Cloud eingesetzt werden.

Inline-Paketprüfungs-Tools werden vor einer IT-Infrastruktur installiert und überwachen den gesamten Datenverkehr. Geräte wie Load Balancer, Firewalls und Intrusion-Prevention-Systeme können eine Inline-Erkennung und -Abwehr bieten. Diese Tools sind jedoch durch die heutigen hypervolumetrischen Angriffe leicht überfordert. Es ist besser, dedizierte Inline-Paketprüfungs-DDoS-Abwehrlösungen einzusetzen, die maschinelles Lernen verwenden, um ungewöhnlichen Datenverkehr und ungewöhnliche Aktivitäten zu erkennen. Sobald ein DDoS-Angriff erkannt wird, passen dedizierte DDoS-Abwehr-Tools die Konfigurationen für den Volumen- und Protokollschutz an, um bösartigen Datenverkehr herauszufiltern. Beachten Sie jedoch, dass hierbei die Gefahr von Fehlalarmen und der Blockierung echter Anfragen besteht. Die Überprüfung jedes Datenpakets führt auch zu einer erhöhten Latenzzeit.

Out-of-Band-Tools überwinden die Schwierigkeiten der Deep Packet Inspection in großem Umfang und unerwünschte Fehlalarme. Diese Tools analysieren passiv die Datenströme von NetFlow-, J-Flow-, sFlow- und IP Flow Information Export-fähigen Routern und Switches, um Angriffe zu erkennen. Obwohl sie die Schutzkonfigurationen nicht automatisch anpassen können, können sie Warnmeldungen senden oder automatisch Schritte auslösen, um den Angriff abzuschwächen, indem sie den Datenverkehr an eine zentrale Datenbereinigungsstation weiterleiten, die den legitimen Datenverkehr filtert.