Was Sie über DDoS-Waffen bei DDoS-Angriffen wissen müssen
Ein DDoS-Angriff kann fast jede Website oder jeden Online-Dienst zum Erliegen bringen. Das Prinzip ist einfach: Ein infiziertes Botnetz wird eingesetzt, um anfällige Server mit massivem Datenverkehr zu überlasten. Zwanzig Jahre nach seiner Einführung ist DDoS so effektiv wie eh und je - und wird immer häufiger, intensiver und raffinierter. Daher hat der Schutz vor DDoS für jedes Unternehmen höchste Priorität im Bereich der Cybersicherheit. Der erste Schritt besteht darin, die Bedrohung zu verstehen, der Sie ausgesetzt sind.
Um Unternehmen dabei zu helfen, einen proaktiven Ansatz für die DDoS-Abwehr zu wählen, hat A10 Networks kürzlich einen Bericht über die aktuelle DDoS-Landschaft veröffentlicht, einschließlich der verwendeten Waffen, der Orte, an denen Angriffe gestartet werden, der Dienste, die ausgenutzt werden, und der Methoden, die Hacker verwenden, um den Schaden zu maximieren. Auf der Grundlage von fast sechs Millionen Waffen, die von A10 Networks im vierten Quartal 2019 verfolgt wurden, bietet die Studie aktuelle, detaillierte Informationen zu Bedrohungen, die Sie bei Ihrer Verteidigungsstrategie unterstützen.
Hier sind einige unserer wichtigsten Ergebnisse.
Reflektierte Verstärkungsangriffe heben DDoS auf die nächste Stufe
Die SNMP- und SSDP-Protokolle sind seit langem die wichtigsten Quellen für DDoS-Angriffe, und dieser Trend setzte sich im vierten Quartal 2019 mit fast 1,4 Millionen SNMP-Waffen und fast 1,2 Millionen SSDP-Waffen fort. Eine alarmierende Entwicklung ist jedoch, dass WS-Discovery-Angriffe mit fast 800.000 Angriffen stark angestiegen sind und nun die dritthäufigste Quelle für DDoS-Angriffe darstellen. Diese Verschiebung ist zum Teil auf die wachsende Beliebtheit von Angriffen zurückzuführen, bei denen falsch konfigurierte IoT-Geräte zur Verstärkung eines Angriffs eingesetzt werden.
Bei dieser Schlüsselinnovation, die als reflektierte Verstärkung bekannt ist, richten Hacker ihre Aufmerksamkeit auf die explodierende Anzahl von IoT-Geräten im Internet, die das WS-Discovery-Protokoll verwenden. WS-Discovery ist ein UDP-basiertes Multicast-Kommunikationsprotokoll, das zur automatischen Erkennung von mit dem Internet verbundenen Diensten eingesetzt wird und eine Vielzahl von IoT-Anwendungsfällen unterstützt. WS-Discovery führt keine IP-Quellenvalidierung durch, so dass es für Angreifer ein Leichtes ist, die IP-Adresse des Opfers zu fälschen, woraufhin das Opfer mit Daten von IoT-Geräten in der Nähe überschwemmt wird.
Mit über 800.000 WS-Directory-Hosts, die für Angriffe zur Verfügung stehen, hat sich die reflektierte Verstärkung als äußerst effektiv erwiesen - mit einer beobachteten Verstärkung von bis zu 95-fach. Reflected-Amplification-Angriffe haben ein rekordverdächtiges Ausmaß erreicht, wie z. B. der 1,3 Tbps Memcached-basierte GitHub-Angriff, und machen den Großteil der DDoS-Angriffe aus. Sie sind auch äußerst schwierig abzuwehren; nur 46 Prozent der Angriffe reagieren erwartungsgemäß auf Port 3702, während 54 Prozent über hohe Ports reagieren. Die meisten der bisher entdeckten Bestände wurden in Vietnam, Brasilien, den Vereinigten Staaten, der Republik Korea und China gefunden.
DDoS-Angriffe werden mobil
Im Gegensatz zu heimlichen Angriffen sind DDoS-Angriffe laut und offenkundig, so dass die Verteidiger ihren Ausgangspunkt erkennen können. Diese Waffen sind zwar weltweit verbreitet, doch die meisten Angriffe gehen von Ländern mit der größten Dichte an Internetverbindungen aus, darunter China, die Vereinigten Staaten und die Republik Korea.
A10 Networks hat auch das Hosting von DDoS-Waffen durch autonome Nummernsysteme (ASNs) oder Sammlungen von IP-Adressbereichen unter der Kontrolle eines einzigen Unternehmens oder einer Regierung verfolgt. Mit Ausnahme der Vereinigten Staaten stimmen die wichtigsten ASNs, die DDoS-Waffen hosten, eng mit den Ländern überein, die die meisten Angriffe durchführen, darunter Chinanet, Guangdong Mobile Communication Co. Ltd. und Korea Telecom.
Ein weiterer wichtiger Trend ist, dass die Prävalenz von DDoS-Waffen, die von Mobilfunkanbietern gehostet werden, gegen Ende 2019 sprunghaft anstieg. Die am häufigsten entdeckte reflektierte verstärkte Quelle war Guangdong Mobile Communication Co. Ltd. und das brasilianische Mobilfunkunternehmen Claro S.A. waren die Hauptquellen für mit Malware infizierte Drohnen.
Cyberangriffe werden nur noch schlimmer
Da 127 IoT-Geräte pro Sekunde online gehen - Tendenz steigend - steht Hackern ein goldenes Zeitalter der Möglichkeiten bevor. Tatsächlich zielen neue DDoS-Malware-Stämme der Mirai-Familie bereits auf Linux-betriebene IoT-Geräte ab. Und sie werden nur noch zunehmen, da 5G eine massive Steigerung der Netzwerkgeschwindigkeit und -abdeckung mit sich bringt und die Notwendigkeit von 5G-Sicherheit erhöht. In der Zwischenzeit machen es DDoS-For-Hire-Services und Bot-Herder für jeden bösen Akteur einfacher denn je, einen tödlichen gezielten Angriff zu starten.
Der Bericht A10 Networks macht deutlich, wie wichtig eine umfassende DDoS-Abwehrstrategie ist. Unternehmen und Netzbetreiber müssen hochentwickelte DDoS-Bedrohungsdaten in Kombination mit Echtzeit-Bedrohungserkennung nutzen, um DDoS-Angriffe abzuwehren, egal woher sie kommen. Methoden wie die automatische Extraktion von Signaturen und schwarze Listen mit den IP-Adressen von DDoS-Botnetzen und verfügbaren anfälligen Servern können Unternehmen dabei helfen, sich proaktiv zu verteidigen, noch bevor die Angriffe beginnen.
Zusätzliche Ressourcen
- Erfahren Sie mehr über die Cybersicherheitslösungen von A10: DDoS-Schutz
- Weitere Einblicke, einschließlich der wichtigsten IoT-Port-Suchen und Reflektor-Suchen, die von Angreifern durchgeführt werden, finden Sie im vollständigen Bericht "The State of DDoS Weapons" ( A10 Networks ) und in der dazugehörigen Infografik "DDoS Weapons & Attack Vectors".