{"id":18970,"date":"2021-05-28T11:06:00","date_gmt":"2021-05-28T09:06:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18970"},"modified":"2021-05-25T11:11:57","modified_gmt":"2021-05-25T09:11:57","slug":"reflection-amplification-ddos-angriffe-deutsche-unternehmen-und-service-provider-sind-ziel-immer-ausgekluegelterer-angriffe","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18970","title":{"rendered":"Reflection\/Amplification DDoS-Angriffe \u2013 deutsche Unternehmen und Service Provider sind Ziel immer ausgekl\u00fcgelterer Angriffe"},"content":{"rendered":"\n

Autor\/Redakteur: Christian Syrbe, Chief Solutions Architect bei NETSCOUT<\/a>\/gg<\/p>\n\n\n\n

Die Pandemie sorgt f\u00fcr einen explodierenden Bedarf an Remote-Konnektivit\u00e4t. Die Anpassung vieler Unternehmen hat dabei die T\u00fcr zu einer gr\u00f6\u00dferen Bedrohung durch Cyberkriminelle ge\u00f6ffnet. NETSCOUTs Threat Intelligence Report<\/a> zeigt f\u00fcr deutsche Unternehmen und Serviceprovider 142 Prozent mehr DDoS-Attacken als im Vorjahr. DDoS-Angreifer haben es auch auf eine Vielzahl von Branchen abgesehen, mit dem Ziel, kritische Systeme lahmzulegen, um eine maximale St\u00f6rung zu verursachen. Diese Bedrohungen haben Sicherheitsexperten auf den Plan gerufen und zwingen sie dazu, ihre Strategien zum Schutz von Netzwerken und Systemen zu \u00fcberdenken.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Netscout<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Reflection\/Amplification ABC<\/strong><\/p>\n\n\n\n

Eine der g\u00e4ngigsten DDoS-Angriffsarten, die heute eingesetzt werden, ist der Reflection\/Amplification-Angriff, der es Angreifern erm\u00f6glicht, durch die Kombination zweier Methoden Angriffe mit gr\u00f6\u00dferem Volumen zu generieren:<\/p>\n\n\n\n

  • Bei Reflection-Attacken f\u00e4lschen die Angreifer die IP-Adresse des Ziels und senden eine Anfrage an den Server \u2013 meist \u00fcber das User Datagram Protocol (UDP) oder \u00fcber das Transmission Control Protocol (TCP). Dieser antwortet direkt an das Ziel. Jeder Server, UDP- oder TCP-basierte Dienste betreibt, kann als Reflektor dienen.<\/li>
  • Amplification-Angriffe erzeugen viele Pakete, die die Ziel-Webseite \u00fcberlasten, ohne den Vermittler zu alarmieren. Ungesch\u00fctzte Dienste senden dabei eine Antwort auf diese sogenannten Trigger-Pakete, die wesentlich gr\u00f6\u00dfer ist als die urspr\u00fcngliche Anfrage.<\/li>
  • Ein Reflection\/Amplification-Angriff kombiniert beide Methoden und sorgt f\u00fcr gr\u00f6\u00dferen Datenverkehr und eine Verschleierung der Angriffsquellen. Die am weitesten verbreiteten Formen dieser Angriffe st\u00fctzen sich auf Millionen von ungesch\u00fctzten DNS-, NTP-, SNMP-, SSDP- und anderen UDP\/TCP-basierten Diensten.<\/li><\/ul>\n\n\n\n

    Was diese Art von Angriffen besonders gef\u00e4hrlich macht, ist die Tatsache, dass es sich bei den dabei verwendeten Ger\u00e4ten um allt\u00e4gliche Server oder Endkundenger\u00e4te handeln kann. Bei solchen gibt es oft keine eindeutigen Anzeichen f\u00fcr eine Kompromittierung, was Gegenma\u00dfnahmen deutlich erschwert. Dar\u00fcber hinaus sind f\u00fcr einen solchen Angriff keine ausgefeilten Tools erforderlich. Das bedeutet, dass Angreifer mit \u00fcberschaubaren Bot-Zahlen oder einem Server enorme volumetrische Angriffe durchf\u00fchren k\u00f6nnen.<\/p>\n\n\n\n\n\n\n\n

    Schutzma\u00dfnahmen <\/strong>sind vielf\u00e4ltig<\/strong><\/strong><\/p>\n\n\n\n

    Die prim\u00e4re Verteidigung besteht in der Blockade der gef\u00e4lschten Quellpakete. Da die Angriffe aus legitimen Quellen kommen, die Dienste wie DNS und NTP nutzen, ist es schwierig, zwischen echtem Benutzer-Workload und reflektiertem Datenverkehr zu unterscheiden. Erschwerend kommt hinzu, dass bei einem Angriff auf einen Dienst der legitime Benutzerverkehr aufgrund der Verlangsamung des Dienstes gezwungen sein kann, Antworten zu wiederholen. Das f\u00fchrt wiederum dazu, dass diese Wiederholungen f\u00e4lschlicherweise als eigenst\u00e4ndige DDoS-Angriffe identifiziert werden.<\/p>\n\n\n\n

    Unternehmen k\u00f6nnen jedoch die folgenden Schritte dagegen unternehmen:<\/p>\n\n\n\n

    • Ratenbegrenzungen schr\u00e4nken Quellen auf der Grundlage einer Abweichung von einer zuvor festgelegten Zugriffsrichtlinie ein und sind an der Quelle effektiver. Die Ratenbeschr\u00e4nkung am Zielort kann sich unbeabsichtigt auf den legitimen Datenverkehr auswirken, weshalb zu diesem Ansatz nur in Ausnahmef\u00e4llen geraten werden kann.<\/li>
    • Durch die Sperrung nicht ben\u00f6tigter Ports sind Unternehmen weniger anf\u00e4llig. Dies verhindert aber keine Angriffe auf Ports, die sowohl von legitimem als auch von angreifendem Datenverkehr genutzt werden.<\/li>
    • Verkehrssignatur-Filter k\u00f6nnen verwendet werden, um sich wiederholende Strukturen zu identifizieren, die auf Angriffe hindeuten. Der Nachteil der Filterung ist die m\u00f6gliche Beeintr\u00e4chtigung der Leistung durch die Untersuchung jedes Pakets.<\/li>
    • Durch den Einsatz von Threat Intelligence Services k\u00f6nnen Unternehmen anf\u00e4llige Server identifizieren, so dass die IP-Adressen proaktiv blockiert und potenzielle Angriffe abgewehrt werden.<\/li><\/ul>\n\n\n\n

      Fazit<\/strong><\/p>\n\n\n\n

      Wenn man sich unzureichend auf neue DDoS-Angriffsstrategien vorbereitet, gibt man auch Bedrohungsakteuren mit geringen Ressourcen die M\u00f6glichkeit, die eigenen Dienste lahmzulegen und riskiert hohe wirtschaftliche Verluste. Aber Vorsicht: Zwar sind die gelisteten Verteidigungsma\u00dfnahmen wirkungsvoll gegen Reflection\/Amplification-Angriffe, sie sollten jedoch nicht \u00fcberst\u00fcrzt und mit fehlendem Know-How angewandt werden. Andernfalls k\u00f6nnen die L\u00f6sungen den legitimen Datenverkehr und die Leistung der Dienste unn\u00f6tig stark einschr\u00e4nken. Des Weiteren ist man durch die Implementierung dieser Abwehrmechanismen nicht hundertprozentig vor diesen und \u00e4hnlichen Attacken gesch\u00fctzt. F\u00fcr gr\u00f6\u00dftm\u00f6glichen Schutz sorgt ein ganzheitlicher Sicherheitsansatz, der sich automatisch an die sich wandelnden Taktiken von b\u00f6swilligen Hackern anpasst.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Die Pandemie sorgt f\u00fcr einen explodierenden Bedarf an Remote-Konnektivit\u00e4t. Die Anpassung vieler Unternehmen hat dabei die T\u00fcr zu einer gr\u00f6\u00dferen Bedrohung durch Cyberkriminelle ge\u00f6ffnet. NETSCOUTs Threat Intelligence Report zeigt f\u00fcr deutsche Unternehmen und Serviceprovider 142 Prozent mehr DDoS-Attacken als im Vorjahr. DDoS-Angreifer haben es auch auf eine Vielzahl von Branchen abgesehen, mit dem Ziel, kritische Systeme lahmzulegen, um eine maximale St\u00f6rung zu verursachen. Diese Bedrohungen haben Sicherheitsexperten auf den Plan gerufen und zwingen sie dazu, ihre Strategien zum Schutz von Netzwerken und Systemen zu \u00fcberdenken.<\/p>\n","protected":false},"author":1,"featured_media":18972,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[14912,2616,13461,2509,3153,6752],"class_list":["post-18970","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-amplification","tag-ddos","tag-netscout","tag-reflection","tag-service-provider","tag-threat-intelligence"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18970"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18970\/revisions"}],"predecessor-version":[{"id":18973,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18970\/revisions\/18973"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18972"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}