Datenschutz & IT

DDoS-Angriffe auf den Network Layer Trends aus dem Q2 2020

Im ersten Quartal 2020 veränderte sich unser Leben innerhalb weniger Wochen. Jetzt sind wir mehr denn je auf Online-Dienste angewiesen. Wer kann, arbeitet von zu Hause aus. Schüler aller Altersgruppen und Klassenstufen werden online unterrichtet. Wir haben Vernetzung neu definiert. Doch je stärker die Öffentlichkeit auf Online-Dienste angewiesen ist, desto mehr lohnt es sich für Angreifer, Chaos zu verursachen und unseren Alltag zu beeinträchtigen. Es ist also keine Überraschung, dass wir im ersten Quartal 2020 (1. Januar bis 31. März 2020) einen Anstieg an Angriffen verzeichneten - vor allem, nachdem in der zweiten Märzhälfte viele Regierungsbehörden einen Lockdown anordneten.

Im zweiten Quartal 2020 (1. April bis 30. Juni 2020) setzte sich dieser Trend zunehmender DDoS-Angriffe fort und beschleunigte sich sogar:

  • Die Zahl der über unser Netzwerk beobachteten L3/4-DDoS-Angriffe hat sich im Vergleich zu den ersten drei Monaten des Jahres verdoppelt.
  • Auch das Ausmaß der größten L3/4-DDoS-Angriffe nahm deutlich zu. Wir haben einige der größten Angriffe beobachtet, die jemals über unser Netzwerk aufgezeichnet wurden.
  • Wir beobachteten, dass Angreifer mehr Angriffsvektoren einsetzten und die Angriffe geografisch stärker verteilt waren.

Die Zahl der globalen L3/4-DDoS-Angriffe hat sich im zweiten Quartal verdoppelt

Gatebot ist das primäre DDoS-Schutzsystem von Cloudflare. Es erkennt und bekämpft automatisch global verteilte DDoS-Angriffe. Unter einem globalen DDoS-Angriff versteht man einen Angriff, den wir in mehr als einem unserer Edge-Rechenzentren beobachten. Diese Angriffe werden in der Regel von raffinierten Angreifern gestartet - mit Botnetzen in der Größenordnung von Zehntausenden bis Millionen von Bots.

 

Raffinierte Angreifer hielten Gatebot im zweiten Quartal auf Trab. Die Gesamtzahl der globalen L3/4-DDoS-Angriffe, die Gatebot in diesem Zeitraum entdeckt und bekämpft hat, verdoppelte sich von Quartal zu Quartal. In unserem DDoS-Bericht für Q1 meldeten wir einen sprunghaften Anstieg der Zahl und des Umfangs der Angriffe. Dieser Trend gewinnt im zweiten Quartal weiter an Fahrt; über 66% aller weltweiten DDoS-Angriffe im Jahr 2020 ereigneten sich im zweiten Quartal (ein Anstieg von fast 100%). Der Mai war der hektischste Monat in der ersten Hälfte des Jahres 2020, gefolgt von Juni und April. Fast ein Drittel aller L3/4-DDoS-Angriffe fand im Mai statt.

Im Mai verzeichneten wir 63% aller L3/4-DDoS-Angriffe mit einem Spitzenwert von über 100 Gbit/s. Als sich die globale Pandemie im Mai weltweit weiter zuspitzte, waren die Angreifer besonders darauf aus, Websites und andere Webapplikationen zu stören.

 

Kleine Angriffe dominieren weiterhin zahlenmäßig, große Angriffe werden immer größer

Wie stark ein DDoS-Angriff ist, wird durch seine Größe definiert – durch die tatsächliche Anzahl von Paketen oder Bits, die die Verbindung überfluten, um das Ziel zu überwältigen. Ein „großer“ DDoS-Angriff ist ein Angriff, der mit einer hohen Internet-Trafficrate seinen Höhepunkt erreicht. Die Rate kann dabei in Form von Paketen oder Bits gemessen werden. Angriffe mit hohen Bitraten versuchen, die Internetverbindung zu sättigen. Angriffe mit hohen Paketraten versuchen, die Router oder andere Inline-Hardwaregeräte zu überwältigen.

Ähnlich wie im ersten Quartal war auch die Mehrzahl der DDoS-Angriffe im zweiten Quartal im Hinblick auf den Umfang des Cloudflare-Netzwerks relativ „klein“. Im zweiten Quartal erreichten fast 90 % aller L3/4-DDoS-Angriffe, die wir beobachtet haben, ihren Höhepunkt schon unter 10 Gbit/s. Doch auch kleine Angriffe, deren Spitzenwerte unter 10 Gbit/s liegen, können bei Websites und Webapplikationen immer noch leicht zu einem weltweiten Ausfall führen, wenn diese nicht durch einen cloudbasierten DDoS-Abwehrdienst geschützt sind.

 

Was die Paketzahl angeht, bewegten sich die Spitzenwerte der meisten DDoS-Angriffe bei weniger als 1 Mio. Pakete pro Sekunde (pps). Normalerweise kann eine 1-Gbit/s-Ethernet-Schnittstelle zwischen 80.000 und 1,5 Mio. pps liefern. Wenn man jedoch davon ausgeht, dass die Schnittstelle auch für den legitimen Traffic verwendet wird und dass die Schnittstelle der meisten Organisationen viel weniger als 1 Gbit/s bewältigt, können Sie sehen, wie selbst „kleine“ DDoS-Angriffe leicht Websites und Webapplikationen lahmlegen können.

 

Was die Dauer betrifft, so dauerten 83 % aller Angriffe zwischen 30 und 60 Minuten. Wir sahen einen ähnlichen Trend im ersten Quartal, wobei 79 % der Angriffe in den gleichen Zeitraum fielen. Dies mag wie ein kurzer Zeitraum erscheinen, aber stellen Sie sich dies als einen 30- bis 60-minütigen Cyber-Kampf zwischen Ihrem Sicherheitsteam und den Angreifern vor. Jetzt scheinen die 30 bis 60 Minuten nicht mehr so kurz. Wenn ein DDoS-Angriff zu einem Ausfall oder einer Verschlechterung des Dienstes führt, kann es noch viel länger dauern, Ihre Geräte neu zu starten und Ihren Dienst wieder aufzunehmen, und jede Minute kostet Sie Umsatz und schadet Ihrem Ruf.

 

Im zweiten Quartal erlebte unser Netzwerk die größten DDoS-Angriffe überhaupt

In diesem Quartal sahen wir eine zunehmende Zahl groß angelegter Angriffe; sowohl in Bezug auf die Paket- als auch in Bezug auf die Bitrate. Tatsächlich wurden 88 % aller DDoS-Angriffe im Jahr 2020, die in der Spitze über 100 Gbit/s erreichten, nach dem Inkrafttreten von Lockdowns im März gestartet. Auch hier war der Mai nicht nur der Monat mit den meisten Angriffen, sondern auch der Monat mit der größten Anzahl von Großangriffen über 100 Gbit/s.

 

Was die Paketgröße angeht, übertraf der Juni den Mai mit einem gewaltigen Angriff mit 754 Millionen pps. Abgesehen von diesem Angriff blieben die maximalen Paketraten während des gesamten Quartals mit etwa 200 Millionen pps weitgehend konstant.

Der Angriff mit 754 Millionen pps wurde automatisch erkannt und durch Cloudflare bekämpft und war Teil einer organisierten viertägigen Kampagne, die vom 18. bis zum 21. Juni dauerte. Zeitweise richtete sich der Angriffs-Traffic von über 316.000 IP-Adressen auf nur eine einzige Cloudflare-IP-Adresse.

Die DDoS-Schutzsysteme von Cloudflare haben den Angriff automatisch erkannt und bekämpft – aufgrund der Größe und globalen Abdeckung unseres Netzwerks hat sich der Angriff nicht auf die Performance der Seite ausgewirkt. Ein global zusammengeschaltetes Netzwerk ist bei der Abwehr großer Angriffe von entscheidender Bedeutung. Ein solches Netzwerk ist in der Lage, den Angriffs-Traffic zu absorbieren und ihn nahe des Ursprungs zu bekämpfen, während der legitime Kunden-Traffic weiterhin bedient wird, ohne dass es zu Latenz oder Dienstunterbrechungen kommt.

Die USA sind das Ziel der meisten Angriffe

Betrachtet man die Verteilung der L3/4-DDoS-Angriffe nach Ländern, so waren unsere Rechenzentren in den USA den meisten Angriffen ausgesetzt (22,6 %), gefolgt von Deutschland (4,4 %), Kanada (2,7 %) und Großbritannien (2,6 %).

 

Betrachtet man die Gesamtzahl der Angriffsbytes, die von jedem Cloudflare-Rechenzentrum bekämpft wurden, liegen die USA wieder an der Spitze (34,9 %), jedoch gefolgt von Hongkong (6,6 %), Russland (6,5 %), Deutschland (4,5 %) und Kolumbien (3,7 %). Der Grund für diese Änderung liegt in der Gesamtmenge an Bandbreite, die bei jedem Angriff erzeugt wurde. So kam Hongkong zwar aufgrund der relativ geringen Anzahl von Angriffen (1,8 %), nicht unter die Top 10 der meisten Angriffe. Aber die Angriffe waren sehr volumetrisch und erzeugten so viel Angriffs-Traffic, dass Hongkong bei der Gesamtzahl der Angriffsbytes auf den zweiten Platz schnellte.

Bei der Analyse von L3/4-DDoS-Angriffen wird der Traffic nach den Standorten der Cloudflare-Edge-Rechenzentren und nicht nach dem Standort der Quell-IP gebündelt. Der Grund dafür: Angreifer, die L3/4-Angriffe starten, können die Quell-IP-Adresse „fälschen“ (verändern), um die Angriffsquelle zu verschleiern. Wenn wir das Land auf der Grundlage einer gefälschten Quell-IP ableiten würden, bekämen wir gefälschte Ergebnisse. Cloudflare löst das Problem der gefälschten IPs dadurch, dass die Angriffsdaten nach dem Standort des Rechenzentrums von Cloudflare angezeigt werden, in dem der Angriff beobachtet wurde. In unserem Bericht liefern wir geografisch genaue Angaben, weil wir Rechenzentren in über 200 Städten auf der ganzen Welt besitzen.

57 % aller L3/4-DDoS-Angriffe im zweiten Quartal waren SYN-Floods

Mit dem Begriff Angriffsvektor beschreibt man die Methode des Angriffs. Im zweiten Quartal beobachteten wir, dass Angreifer bei L3/4-DDoS-Angriffen immer mehr Vektoren verwendeten. Insgesamt wurden im zweiten Quartal 39 verschiedene Arten von Angriffsvektoren verwendet, verglichen mit 34 im ersten Quartal. SYN-Floods bildeten die Mehrheit mit einem Anteil von über 57%, gefolgt von RST- (13%), UDP- (7%), CLDAP- (6%) und SSDP-Angriffen (3%).

 

SYN-Flood-Angriffe versuchen, den Handshake-Prozess einer TCP-Verbindung auszunutzen. Durch wiederholtes Senden von ersten Verbindungsanfragepaketen mit einem Synchronize Flag (SYN) versucht der Angreifer, die Verbindungstabelle des Routers zu überlasten, in der der Status von TCP-Verbindungen verfolgt wird. Der Router antwortet mit einem Paket, das ein Synchronized Acknowledgement Flag (SYN-ACK) enthält, weist jeder gegebenen Verbindung eine bestimmte Menge Speicher zu und wartet fälschlicherweise darauf, dass der Client mit einer endgültigen Bestätigung (ACK) antwortet. Wenn eine ausreichende Anzahl von SYNs den Speicher des Routers belegen, kann der Router legitimen Clients keine weitere Speicherkapazität mehr zuweisen, was zu einem Denial Of Service führt.

Unabhängig vom Angriffsvektor erkennt und bekämpft Cloudflare zustandsbehaftete oder zustandslose DDoS-Angriffe automatisch mit unserer dreigleisigen Schutzmethode, die aus unseren selbst entwickelten DDoS-Schutzsystemen besteht:

  1. Gatebot. Die zentralisierten DDoS-Schutzsysteme von Cloudflare zur Erkennung und Bekämpfung global verteilter volumetrischer DDoS-Angriffe. Gatebot läuft im Hauptrechenzentrum unseres Netzwerks. Es erhält Proben von jedem unserer Randrechenzentren, analysiert sie und sendet automatisch Anweisungen zur Schadensbekämpfung, wenn Angriffe erkannt werden. Gatebot ist auch mit den Webservern unserer Kunden synchronisiert, um deren Zustand zu ermitteln und entsprechend einen maßgeschneiderten Schutz auszulösen.
  2. dosd (Denial-of-Service-Daemon). Cloudflares dezentralisierte DDoS-Schutzsysteme. dosd läuft autonom in jedem Server in jedem Cloudflare-Rechenzentrum weltweit, analysiert den Traffic und wendet bei Bedarf lokale Abwehrregeln an. dosd ist nicht nur in der Lage, Angriffe superschnell zu erkennen und zu bekämpfen, sondern verbessert auch die Widerstandsfähigkeit unseres Netzwerks erheblich. Dazu delegiert es die Erkennungs- und Abwehrfähigkeiten an den Rand des Netzwerks.
  3. flowtrackd (Flow Tracking Daemon). Cloudflares TCP-Statusverfolgung zur Erkennung und Bekämpfung der am stärksten randomisierten und raffiniertesten TCP-basierten DDoS-Angriffe in unidirektionalen Routing-Topologien. flowtrackd kann den Zustand einer TCP-Verbindung identifizieren und dann Pakete, die nicht zu einer legitimen Verbindung gehören, verwerfen, herausfordern oder deren Rate begrenzen.

Zusätzlich zu unseren automatisierten DDoS-Schutzsystemen generiert Cloudflare auch Echtzeit-Bedrohungsinformationen, die Angriffe automatisch bekämpfen. Darüber hinaus bietet Cloudflare seinen Kunden eine Firewall, Rate Limiting und zusätzliche Tools, um ihren Schutz weiter anzupassen und zu optimieren.

DDoS-Abwehr von Cloudflare

Da sich die Internetnutzung für Unternehmen und Privatpersonen ständig weiterentwickelt, ist zu erwarten, dass sich auch die DDoS-Taktiken anpassen werden. Cloudflare schützt Websites, Anwendungen und ganze Netzwerke vor DDoS-Angriffen jeder Größe, Art und Komplexität.

Unsere Kunden und Branchenanalysten empfehlen unsere umfassende Lösung aus drei Hauptgründen:

  • Netzwerkgröße: Das 37-Tbit/s-Netzwerk von Cloudflare kann Angriffe jeder Größe, Art und Komplexität leicht blockieren. Das Cloudflare-Netzwerk hat eine DDoS-Abwehrkapazität, die höher ist als die der nächsten vier Wettbewerber zusammen.
  • Abwehrzeit: Cloudflare bekämpft die meisten Angriffe auf dem Network Layer global in weniger als 10 Sekunden – und wenn statische Regeln vorkonfiguriert sind, dann sofort (0 Sekunden). Dank unserer globalen Präsenz bekämpft Cloudflare Angriffe nahe des Ursprungs mit minimaler Latenz. In einigen Fällen ist der Traffic sogar schneller als über das öffentliche Internet.
  • Bedrohungserkennung: Cloudflares DDoS-Abwehr wird durch Bedrohungsinformationen aus über 27 Millionen Websites und Webapplikationen unterstützt. Darüber hinaus wird die Bedrohungserkennung in kundenseitige Firewalls und Tools integriert, um unsere Kunden zu unterstützen.

Aufgrund der Architektur seines Netzwerks nimmt Cloudflare auf dem Markt eine einzigartige Position ein und bietet seinen Kunden DDoS-Abwehr beispielloser Größe, Geschwindigkeit und Raffiniertheit. Das Netzwerk von Cloudflare ist wie ein Fraktal: Jeder Dienst läuft auf jedem Server in jedem Cloudflare-Rechenzentrum, das sich über 200 Städte weltweit erstreckt. Dadurch kann Cloudflare Angriffe in der Nähe des Ursprungs erkennen und bekämpfen, unabhängig von der Größe, der Quelle oder der Art des Angriffs.

 

Wenn Sie weitere Informationen zu Cloudflares DDoS-Lösung wünschen, kontaktieren Sie uns oder legen Sie gleich los.

Quelle: https://blog.cloudflare.com/network-layer-ddos-attack-trends-for-q2-2020/

War der Artikel hilfreich?
finde ich gut 1
Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.