Was ist ein volumetrischer DDoS-Angriff?

Volumetrische DDoS-Angriffe (Distributed Denial of Service) unterscheiden sich von den beiden anderen Arten von DDoS-Angriffen -DDoS-Angriffe auf Protokollebene und DDoS-Angriffe auf Anwendungsebene -, da sie auf Brute-Force-Techniken beruhen, die das Ziel mit Datenpaketen überfluten, um Bandbreite und Ressourcen zu verbrauchen. Die beiden anderen Angriffsarten verbrauchen in der Regel deutlich weniger Bandbreite und konzentrieren sich zudem stärker auf bestimmte Aspekte ihrer Ziele wie ein bestimmtes Protokoll oder einen Dienst.

Hacker starten in der Regel volumetrische DDoS-Angriffe über IoT-Botnets. Diese Angriffe werden oft zusammen mit anderen DDoS-Angriffsarten als Deckmantel für andere Hacking-Techniken wie Penetrationsversuche verwendet, die die Überwachung der Sicherheit von Webanwendungen so schwierig wie möglich machen. Diese Angriffe können auch dazu verwendet werden, die Sicherheitsinfrastruktur des Opfers auszuschalten, indem sie diese überwältigen und anderen Angriffen den Weg ebnen.

Erkennung volumetrischer DDoS-Angriffe

Ein volumetrischer DDoS-Angriff ist in der Regel leicht zu erkennen, da er offensichtlich ist, wenn der eingehende Datenverkehr auf Gigabit- oder sogar Terabit-Niveau über den normalen Datenverkehr ansteigt. Wenn die Angreifer jedoch bemerken, dass Entschärfungstaktiken ins Spiel kommen, ändern sie ihren Angriff oft wiederholt, um die Verteidigung zu erschweren. Die Analyse der Datenfluss-Telemetrie mithilfe von Protokollen wie NetFlow, JFlow, sFlow oder IPFIX ist die wichtigste Methode zur Überwachung der Sicherheit von Webanwendungen, um die Quellen und die Art des Datenverkehrs von volumetrischen DDoS-Angriffen zu ermitteln.

Beispiele für volumetrische DDoS-Angriffe

Es gibt viele Varianten volumetrischer DDoS-Angriffe, und viele werden über IoT-Botnets, Gruppen von Bots oder Drohnen gestartet, die aus untergeschobenen IoT-Geräten wie IP-Kameras und Consumer-Routern bestehen. Zu den gängigen volumetrischen DDoS-Angriffen gehören SYN-Flood-Angriffe, ICMP-Flood-Angriffe und UDP-Flood-Angriffe.

Volumetrische DDoS-Angriffe in der realen Welt

Der erste bekannte DDoS-Angriff war ein volumetrischer Angriff. Ende 1996 wurde der Internetdienstleister Panix in New York City von einer SYN-Flood-Attacke getroffen, die seine Server ausschaltete, und es dauerte etwa 36 Stunden, bis die Kontrolle über die Panix-Domänen wiederhergestellt war.

Im Jahr 2012 startete das internationale Hacktivistenkollektiv Anonymous einen ehrgeizigen DDoS-Angriff auf die Websites der Universal Music Group, des US-Justizministeriums, des US-Urheberrechtsamtes, des Federal Bureau of Investigation, der MPAA, der Warner Music Group und der RIAA. Grund für den Angriff war die Abschaltung von Megaupload, einem File-Sharing-Dienst, und die Verhaftung von vier Mitarbeitern. Der Angriff erfolgte über ein Botnetz von 5.635 Computern, auf denen ein Hacking-Tool namens Low Orbit Ion Cannon lief.

Ein neueres und eines der größten aufgezeichneten Beispiele für einen DDoS-Angriff war der 2,3 Tbps DDoS-Angriff, der AWS im Jahr 2020 traf. Dieser Reflection-Amplification-Angriff nutzte CLDAP, um AWS mit unerwünschtem Datenverkehr zu überfluten, und das AWS Shield-Team brauchte einige Tage, um ihn erfolgreich zu entschärfen.

Wie A10 helfen kann

A10 Networks Thunder® Threat Protection System (TPS®) bietet netzwerkweiten Schutz gegen alle Arten von DDoS-Angriffen mit hoher Verfügbarkeit, um die Anwendungsleistung sicherzustellen. Die DDoS-Schutzlösungen von A10 wurden für den Einsatz in Unternehmen und bei Service Providern entwickelt und bieten im Vergleich zu herkömmlichen Netzwerkanbietern 10- bis 100-mal niedrigere Kosten pro Teilnehmer. Sie sind sowohl in Hardware- als auch in Software-Formfaktoren erhältlich.