Reflection/Amplification DDoS-Angriffe – deutsche Unternehmen und Service Provider sind Ziel immer ausgeklügelterer Angriffe

Autor/Redakteur: Christian Syrbe, Chief Solutions Architect bei NETSCOUT/gg

Die Pandemie sorgt für einen explodierenden Bedarf an Remote-Konnektivität. Die Anpassung vieler Unternehmen hat dabei die Tür zu einer größeren Bedrohung durch Cyberkriminelle geöffnet. NETSCOUTs Threat Intelligence Report zeigt für deutsche Unternehmen und Serviceprovider 142 Prozent mehr DDoS-Attacken als im Vorjahr. DDoS-Angreifer haben es auch auf eine Vielzahl von Branchen abgesehen, mit dem Ziel, kritische Systeme lahmzulegen, um eine maximale Störung zu verursachen. Diese Bedrohungen haben Sicherheitsexperten auf den Plan gerufen und zwingen sie dazu, ihre Strategien zum Schutz von Netzwerken und Systemen zu überdenken.

Bild: Netscout

Reflection/Amplification ABC

Eine der gängigsten DDoS-Angriffsarten, die heute eingesetzt werden, ist der Reflection/Amplification-Angriff, der es Angreifern ermöglicht, durch die Kombination zweier Methoden Angriffe mit größerem Volumen zu generieren:

  • Bei Reflection-Attacken fälschen die Angreifer die IP-Adresse des Ziels und senden eine Anfrage an den Server – meist über das User Datagram Protocol (UDP) oder über das Transmission Control Protocol (TCP). Dieser antwortet direkt an das Ziel. Jeder Server, UDP- oder TCP-basierte Dienste betreibt, kann als Reflektor dienen.
  • Amplification-Angriffe erzeugen viele Pakete, die die Ziel-Webseite überlasten, ohne den Vermittler zu alarmieren. Ungeschützte Dienste senden dabei eine Antwort auf diese sogenannten Trigger-Pakete, die wesentlich größer ist als die ursprüngliche Anfrage.
  • Ein Reflection/Amplification-Angriff kombiniert beide Methoden und sorgt für größeren Datenverkehr und eine Verschleierung der Angriffsquellen. Die am weitesten verbreiteten Formen dieser Angriffe stützen sich auf Millionen von ungeschützten DNS-, NTP-, SNMP-, SSDP- und anderen UDP/TCP-basierten Diensten.

Was diese Art von Angriffen besonders gefährlich macht, ist die Tatsache, dass es sich bei den dabei verwendeten Geräten um alltägliche Server oder Endkundengeräte handeln kann. Bei solchen gibt es oft keine eindeutigen Anzeichen für eine Kompromittierung, was Gegenmaßnahmen deutlich erschwert. Darüber hinaus sind für einen solchen Angriff keine ausgefeilten Tools erforderlich. Das bedeutet, dass Angreifer mit überschaubaren Bot-Zahlen oder einem Server enorme volumetrische Angriffe durchführen können.