Sie sind hier: HomeDatacenter

Netzwerksicherheit: DDoS im Rechenzentrum

Zielten Distributed-Denial-of-Service-Attacken früher vor allem auf einzelne Server ab, hat sich der Schwerpunkt auf ganze Rechenzentren verlagert. Die Art und Dauer der Angriffe variieren heute stärker und die Strategien dahinter sind aufwändiger.

DDoS Bildquelle: © Bild: fs Quelle: fotolia

Auch auf lange Sicht wird es bei DDoS-Angriffen keine Entspannung geben – im Gegenteil. Mit dem Internet of Things steigt die Gefährdungslage nochmals an und erreichte 2016 ein neues Niveau: Cyberkriminelle nutzten vernetzte IoT-Geräte als Botnetz für ihre Vorhaben.

In den vergangen zwei Jahren haben DDoS-Attacken ein neues Level erreicht. Zum einen vergrößert sich die Dimension: Statt einzelner Firmenserver stehen ganze Rechenzentren auf der Abschussliste. Zum anderen hat sich die Zahl der schweren Angriffe mit einer Stärke von über 100 Gigabit pro Sekunde vervielfacht. In seinem Security-Report „Worldwide Infrastructure Security Report Vol. XII“ zeigt Arbor Networks auf, dass 61 Prozent der Attacken im Jahr 2016 die gesamte Bandbreite des betroffenen Rechenzentrums blockierten. Dafür nehmen Internetkriminelle auch mehr Aufwand im Vorfeld in Kauf.

Haben sie es auf einen bestimmten Anbieter abgesehen, ermitteln sie vorab, welche IP-Ranges und IP-Adressen dem Unternehmen zugeordnet sind und an welchen Stellen es sie am härtesten trifft. Für Händler sind das beispielsweise ihre Webshops. Damit betreffen DDoS-Attacken umsatzrelevante Themen direkt. Darüber hinaus geht es den Angreifern verstärkt nicht mehr nur darum, den IT-Betrieb ihrer Ziele zu stören, sondern diese zu erpressen. Ihre Angriffe „verkaufen“ sie ihren Opfern dabei als Überprüfung der DDoS Protection. Im April 2017 bezeichnete die Hackergruppe XMR-Squad seine DDoS als Penetrationstest und verlangte von den betroffenen Unternehmen eine Servicegebühr – ein besonders perfides und dreistes Gebaren. In seinem Lagebericht 2016 zur IT-Sicherheit weist das BSI (Bundesministerium für Sicherheit in der Informationstechnik) auf zahlreiche Erpressungsversuche basierend auf DDoS-Angriffen hin. Die Umfrage „DDoS-Gefahr für Hosting-Provider und Rechenzentren“ des DDoS-Spezialisten Link11 kommt zu dem Schluss, dass das Risiko für RZ-Betreiber weiter ansteigen werde. Für weniger große, aber nicht minder schädliche Attacken, müssen Menschen mit kriminellen Hintergedanken diesen Aufwand nicht mehr selbst betreiben. In Untergrundforen und dem Darknet gibt es bereits ab fünf Dollar ein Rundum-Sorglos-Paket für DDoS-Attacken. Es beinhaltet Support, Reportings und natürlich einen professionellen Abrechnungsservice. Zudem sind dort verschiedene Tools und Scripts zum Ausführen von simplen DDoS auch frei verfügbar. Doch diese reichen häufig bereits aus, um beispielsweise kleine und mittlere Unternehmen ohne große Bandbreiten empfindlich zu stören.

Insgesamt zeugt der Verlauf heutiger DDoS allerdings von einer zunehmenden Professionalisierung. Ist eine Offensive auf eine Plattform nicht erfolgreich, schwenken die Angreifer auf eine andere um. So klopfen sie auf diese Weise verschiedene Ansatzpunkte nach Schwachstellen ab. Sie verwenden unterschiedliche Angriffsvektoren und wechseln diese noch während einer laufenden Attacke. Während infrastrukturelle Ziele auf den Layern 2 bis 4 des OSI-Modells zu den klassischen Szenarien gehören, sind mittlerweile auch die anwendungsorientierten Layer 5 bis 7 betroffen. Noch finden solche Angriffe im Vergleich selten statt, doch das wird sich in Zukunft ändern: Allein der Trend zu einem umfangreicheren Einsatz von Software in Unternehmen macht diese Layer zu einem interessanten Ziel. Auf Seite der Verteidiger sind Angriffe auf Applikationsebene zudem schwieriger zu entdecken.