Arten von DDoS-Angriffen

In den letzten zwei Jahrzehnten sind viele Unternehmen und Regierungen zunehmend besorgt über die Verbreitung verschiedener Arten von DDoS-Angriffen. Erstmals gemeldet im Jahr 1996, Distributed Denial-of-Service (DDoS)-Angriffe sind eine Reihe verheerender und sich ständig weiterentwickelnder Cyber-Bedrohungen, die elektronische Netzwerke stören, indem sie sie mit Datenverkehr überfluten, den sie nicht bewältigen können.

DDoS-Angriffe können von Hacktivisten genutzt werden, um ihren Protest gegen Internetzensur und andere umstrittene Initiativen zu demonstrieren. Es eröffnet auch Hackern verschiedene Wege, um schändliche Ziele zu verfolgen. Die neueste Wendung in der DDoS-Epidemie ist „Ransom DDoS“, eine Plattform, die es Hackern ermöglicht, Geld von Organisationen zu erpressen, um einen großen Angriff zu stoppen.

DDoS ist ein komplexes Phänomen, das aufgrund seiner heterogenen Natur und vieler Taktiken schwer zu besiegen sein kann.

Es gibt drei grundlegende cAtegorien von DDoS-Angriffen, die den Kern dieses Ökosystems bilden:

Volumetrische DDoS-Attacke

Volumetrische Angriffe sind die häufigste Art von DDoS-Angriffen. Obwohl sie eine große Menge an Datenverkehr erzeugen, manchmal über 100 Gbit/s, müssen die Hacker nicht viel davon erzeugen. Dies macht volumetrische Angriffe zu einer der einfachsten Arten von DDoS-Angriffen, da Sie eine kleine Menge Angriffsdatenverkehr über eine gefälschte IP-Adresse verwenden können, um Gigabit zu generieren.

Spiegelbasierte volumetrische Angriffe werden verwendet, um auf Dienste abzuzielen. Sie senden legitime Anfragen mit gefälschten IP-Adressen an einen DNS- und NTP-Server. Wenn DNS-Server oder NTP-Server antworten, antworten sie auf legitime Anfragen. Dies ist oft die gefälschte IP-Adresse. In einem solchen Fall zielt der Angriff auf die gefälschte URL-Adresse, die dann im verstärkten Datenstrom bombardiert wird.

Protokollbasierter DDoS-Angriff

Protokollangriffe sollen eine Schwachstelle in Layer 3 und Layer 4 der OSI-Schichten ausnutzen. TCP Syn Flood ist der bekannteste Protokollangriff. Dies beinhaltet das Senden einer Reihe von TCP-SYN-Befehlen an ein Ziel, die es überfordern und reaktionsunfähig machen können. Abgesehen davon, dass es sich um einen Angriff auf Anwendungen handelte, beinhaltete der jüngste Dyn-Ausfall auch, dass TCP Syn Port 53 von Dyns Servern überflutete. Letztlich zielen Protokollangriffe darauf ab, Server-Ressourcen oder Firewall-Ressourcen zu erschöpfen.

Anwendungsbasierter DDoS-Angriff

DDoS-Angriffe auf Anwendungen sind am schwierigsten zu erkennen und in einigen Fällen sogar abzuwehren. Angriffe auf Anwendungsebene sind die ausgeklügelsten und heimlichsten Angriffe, da sie mit nur einem Angreifer-Rechner mit geringer Geschwindigkeit Datenverkehr generieren können. Diese Angriffe sind mit herkömmlichen flussbasierten Überwachungssystemen schwer zu erkennen.

Hacker, die Angriffe auf Anwendungsebene verwenden, verfügen über umfassende Kenntnisse über die beteiligten Protokolle und Anwendungen. Angriffsdatenverkehr, der auf Anwendungsschichten abzielt, ist oft legitim. Es beinhaltet die Aktivierung eines Back-End-Prozesses, der Ressourcen beansprucht und nicht verfügbar macht, was die Verhinderung solcher Angriffe erschwert.

Vor kurzem erlitt NS1, ein Cloud-basierter DNS-Dienstanbieter, einen DDoS-Angriff auf seine Anycast-DNS-Infrastruktur. Einige der bekanntesten Websites wie Yelp waren von dem Angriff betroffen. NS1 bestätigte den Angriff und sagte, es handele sich um eine Kombination aus volumetrischen und Anwendungsschichtangriffen, die Angriffe auf fehlerhafte Pakete und bösartige direkte DNS-Abfragen umfassten. Die Angreifer griffen die Infrastruktur von NS1 und ihren Hosting-Provider an, wodurch ihre Website zum Erliegen kam.

Abgesehen von diesen drei oben genannten Kategorien werden DDoS-Angriffe in Dutzende von Unterkategorien eingeteilt, die in eine der drei Hauptkategorien fallen und einige einzigartige Merkmale aufweisen.


Hier sind einige weitere Beispiele für moderne Arten von DDoS-Angriffen:

SYN-Flood-DDoS-Angriff

Dieser Angriff nutzt den Drei-Wege-Handshake von TCP aus und wird verwendet, um jede Verbindung zwischen Clients, Hosts und Servern mithilfe des TCP-Protokolls herzustellen. Ein Client sendet normalerweise eine SYN-Nachricht (Synchronize) an den Host, um eine Verbindung anzufordern.

Ein SYN-Flood-Angriff beinhaltet das Senden einer Vielzahl von Nachrichten von einer gefälschten Adresse. Das Ergebnis ist, dass der empfangende Server nicht so viele SYN-Dateien verarbeiten oder speichern kann und Clients den Dienst verweigert.

LAND DDoS-Angriff

Um einen Local Area Network Denial Attack (LAND) durchzuführen, sendet ein Bedrohungsakteur eine fabrizierte SYN-Mail, in der die Ziel- und Quell-IP-Adressen identisch sind. Wenn der Zielserver versucht, auf diese Nachricht zu antworten, erstellt er sich selbst wiederkehrende Antworten. Dies führt zu einem Fehlerszenario, das schließlich dazu führen kann, dass der Zielhost nicht mehr reagieren kann.

SYN-ACK-Flood-DDoS-Angriff

Dieser Angriffsvektor nutzt die TCP-Kommunikationsstufe aus, in der der Server ein SYN-ACK-Paket generiert, um die Anfrage des Clients zu bestätigen. Gauner überfluten den Arbeitsspeicher und die CPU des Zielservers mit einer Menge betrügerischer SYNACK-Pakete, um diese DDoS-Angriffe auszuführen.

ACK & PUSH ACK Flood-DDoS-Angriff

Sobald der TCP-Dreiwege-Handshake eine Verbindung hergestellt hat, können ACK- und PUSH-ACK-Pakete nacheinander gesendet werden, bis die Sitzung beendet ist. Ein Zielserver, der diesen DDoS-Angriffen ausgesetzt ist, kann nicht erkennen, woher die gefälschten Pakete stammen, und verschwendet daher seine Verarbeitungsressourcen, um herauszufinden, wie er damit umgehen soll.

Fragmentierter ACK-Flood-Angriff

Diese Art von DDoS-Angriff ist ein Abklatsch der ACK & PUSH ACK Flood-Technik. Es handelt sich um einfache DDoS-Angriffe, die ein Zielcomputernetzwerk mit einer begrenzten Anzahl fragmentierter ACK-Pakete überfluten. Jedes ACK-Paket hat eine maximale Größe von 1500 Byte. Router und andere Netzwerkgeräte versuchen häufig, diese fragmentierten Pakete wieder zusammenzusetzen. Intrusion-Prevention-Systeme (IPS) können fragmentierte Pakete erkennen und sie daran hindern, ihre Firewalls zu erreichen.

Gefälschte Sitzungsflut (Fake-Session-Angriff)

Cyberkriminelle können gefälschte SYN-Pakete verwenden, um Netzwerkschutztools zu umgehen. Sie übermitteln auch mehrere ACK-Pakete und mindestens ein RST- oder FIN-Paket. Auf diese Weise können Kriminelle Abwehrmaßnahmen umgehen, die sich auf den eingehenden Datenverkehr konzentrieren und nicht auf die Analyse des Rückverkehrs.

UDP-Flutangriff

Diese DDoS-Angriffe nutzen mehrere UDP-Pakete (User Datagram Protocol). UDP-Verbindungen haben keinen Handshake-Mechanismus wie TCP, daher sind die Optionen zur Überprüfung der IP-Adresse begrenzt. Das Volumen des durch diese Ausnutzung erzeugten Dummy-Datenverkehrs überschreitet die maximale Serverkapazität zum Verarbeiten und Beantworten von Anfragen.

DNS-Flood-Angriff

Dies ist eine Variante von UDP Flood, die speziell auf DNS-Server abzielt. Dieser Übeltäter erstellt gefälschte DNS-Anforderungspakete, die legitim aussehen und von vielen verschiedenen IP-Adressen zu stammen scheinen. DNS Flood ist einer der am schwierigsten zu erkennenden und zu behebenden Denial-of-Service-DDoS-Raids.

VoIP-Flood-Angriff

Dieser DDoS-Angriff ist eine der am weitesten verbreiteten Arten von DDoS-Angriffen und zielt auf einen Voice over Internet Protocol (VoIP)-Server ab. Eine Vielzahl betrügerischer VoIP-Anfragen wird von vielen IP-Adressen gesendet, um die Ressourcen des Zielservers zu entlasten und ihn niederzuschlagen.

NTP-Flutangriff

Network Time Protocol (NTP), ein Netzwerkprotokoll, das von Anfang an existiert und für die Uhrzeitsynchronisation zwischen elektronischen Geräten verantwortlich ist, ist der Schlüssel zu einem weiteren DDoS-Angriffsvektor. Das Ziel besteht darin, das Zielnetzwerk mit UDP-Paketen zu überlasten, indem öffentlich zugängliche NTP-Server verwendet werden.

CHARGEN Überschwemmungsangriff

Ähnlich wie NTP ist das Character Generator Protocol oder CHARGEN eine ältere Version von NTP. Es wurde in den 1980er Jahren entwickelt. Trotzdem wird es immer noch auf bestimmten angeschlossenen Geräten wie Druckern und Fotokopierern verwendet. Es beinhaltet das Senden kleiner Pakete, die die fabrizierte IP eines Opferservers enthalten, an Geräte mit aktiviertem CHARGEN-Protokoll. Die mit dem Internet verbundenen Geräte senden als Antwort UDP-Flood-Pakete an den Opferserver. Dadurch wird der Server mit redundanten Daten überflutet.

SSDP-Flutangriff

Durch die Ausführung von Simple Service Discovery Protocol (SSDP) reflexionsbasierten DDoS-Angriffen auf vernetzte Geräte, auf denen Universal Plug and Play-Dienste (UPnP) ausgeführt werden, können Übeltäter diese Geräte ausnutzen. Kleine UDP-Pakete, die gefälschte IP-Adressen enthalten, werden vom Angreifer an mehrere UPnP-fähige Geräte gesendet. Der Server wird von diesen Anforderungen überwältigt, bis er zum Herunterfahren gezwungen wird.

HTTP-Flood-Angriff

Bei diesen Arten von DDoS-Angriffen sendet ein Angreifer vorgeblich legitime GET/POST-Anfragen an einen Server oder eine Webanwendung und saugt die meisten oder alle Ressourcen ab. Bei dieser Technik handelt es sich um Botnetze, die aus „Zombie-Computern“ bestehen, die zuvor mit Malware infiziert wurden.

Sind Sie auf diese Art von DDoS-Angriffen vorbereitet? Werden erweiterter DDoS-Schutz für Ihre Website, ohne jetzt den Host zu wechseln.