Ursprünge von Denial-of-Service-Bedrohungen
Bei herkömmlichen Denial-of-Service-Angriffen sendet der Hacker mehrere Anfragen mit fiktiven IP-Adressen (Internet Protocol) an den Zielcomputer oder -dienst. Wenn der Server versucht, diese Adressen zu authentifizieren, stößt er auf eine Welle von Fehlercode-Antworten, die eine wiederkehrende Kette von SMTP-Verkehr auslösen, die den Server schnell überlasten kann. In ähnlicher Weise würde der Hacker bei einem Smurf-Angriff Pakete mit einer gefälschten IP-Adresse, die zu diesen Zielcomputern gehört, an mehrere Hosts senden. Wenn die Host-Rechner des Empfängers antworten, überschwemmen sie sich selbst mit antwortendem Paketverkehr.
Bei einer SYN-Flut nutzt ein Angreifer den TCP-3-Wege-Handshake-Prozess (SYN, SYN-ACK, ACK), um einen Dienst offline zu schalten. Beim 3-Wege-Handshake würde Server A eine TCP-SYNchronize-Anforderungsnachricht an Server B initiieren. Beim Empfang der Anforderung sendet Host B (der Zielcomputer) ein SYNchronize-ACKnowledgement-Paket zurück an Server A. An diesem Punkt erfolgt die Ablehnung Es kommt zu einem Service-Angriff. Bei einem legitimen Austausch zum Aufbau einer TCP-Socket-Verbindung besteht der nächste Schritt darin, dass Host A eine ACKnowledge-Nachricht an Host B zurücksendet. Wenn der Hacker, der Host A kontrolliert, dies jedoch verhindert, kann der Handshake nicht abgeschlossen werden. Das Ergebnis ist, dass Host B über einen verbundenen Port verfügt, der für zusätzliche Anfragen nicht verfügbar ist. Wenn der Angreifer wiederholt Anfragen dieser Art sendet, können alle verfügbaren Ports auf Host B schnell hängen bleiben und nicht mehr verfügbar sein.
Sich weiterentwickelnde Denial-of-Service-Bedrohungen
SYN-Floods, Banana-Angriffe und andere Arten herkömmlicher DoS-Hacks sind auch heute noch im Einsatz – und natürlich bleiben Botnet-gestützte DDoS-Angriffe eine ständige Bedrohung. Aber böswillige Hacker haben in den letzten Jahren die Anzahl der Maschinen und Dienste, auf die sie abzielen, erweitert und die Bedrohungsoberfläche erheblich erweitert. Immer häufiger geraten Unternehmen ins Visier von „Degradation of Service“-Angriffen geringerer Intensität, die zu kostspieligen Service-Verlangsamungen führen, ohne dass Ressourcen vollständig offline gehen. Diese Angriffsmethode wird immer häufiger eingesetzt, da sich immer mehr Unternehmen auf Amazon Web Services (AWS) und ähnliche Cloud-Angebote verlassen, um ihren Webbetrieb zu betreiben.
Wenn ein großer Einzelhändler, Finanzdienstleister, eine Verbrauchermarke oder ein ähnliches Handelsunternehmen seine Website auf AWS, Microsoft Azure oder einem anderen Cloud-Betreiber hostet, wird die Vereinbarung durch ein Service Level Agreement geregelt. Tatsächlich verspricht der Cloud-Betreiber für einen bestimmten Preis, die Verarbeitungsressourcen, die Bandbreite und die Support-Infrastruktur zur Verfügung zu stellen, die für diese Website erforderlich sind, um Transaktionen, Stunden Betriebszeit und zugehörige Kennzahlen. Wenn die Verkehrsbelastung das vereinbarte Maß übersteigt, was bei legitimem Verkehr von Vorteil wäre, wird dem Websitebesitzer ein höherer Satz in Rechnung gestellt. Dieser Prozess ist oft vollständig automatisiert, wie bei Amazon CloudWatch, das über automatische Skalierungsfunktionen verfügt, um die Verarbeitungsressourcen je nach Bedarf dynamisch zu erhöhen oder zu verringern.
Kostspielige Herabwürdigung des Dienstes
Wie man sich vorstellen kann, können sich Kriminelle in diese Beziehungen einmischen, indem sie unrechtmäßigen Datenverkehr auf eine Zielwebsite leiten und leicht die Geschäftskosten für eine Zielorganisation erhöhen. Bei dieser Art von Angriffen werden häufig pulsierende „Zombie“-Server eingesetzt, die intermittierende Datenverkehrsstöße senden. Da es sich bei den betreffenden Traffic-Lasten um gelegentlichen Traffic handelt und dieser nicht offensichtlich aus einer böswilligen Quelle stammt, sieht er sehr nach legitimem Traffic aus, sodass es für Cybersicherheit-Mitarbeiter äußerst schwierig sein kann, ihn aufzudecken und zu stoppen.
Ein weiteres Toolset, das bei dieser Art von Denial-of-Service- oder Degradation-of-Service-Vorfällen zum Einsatz kommt, sind sogenannte „Stresser“-Anwendungen, die ursprünglich dazu gedacht waren, Website-Eigentümern dabei zu helfen, Schwachstellen in ihrer Web-Infrastruktur zu identifizieren. Diese leicht erhältlichen und einfach zu verwendenden Apps, einschließlich WebHive, können auf mehreren Cloud-Instanzen installiert werden, um beeindruckende DDoS-Funktionen aufzubauen. Auf diese Weise koordiniert können diese Angriffstools große kommerzielle Websites für längere Zeit offline schalten.
Wichtige Erkenntnisse zum Denial-of-Service
Denial-of-Service-Angriffe haben sich im Laufe der Jahre verschoben und verändert, doch der angerichtete Schaden nimmt immer weiter zu. Eine Umfrage des Ponemon Institute unter großen Unternehmen aus verschiedenen Branchen ergab, dass ein typisches Unternehmen jährlich vier Denial-of-Service-Vorfälle erleidet und dass die durchschnittlichen Gesamtkosten pro Jahr für die Bewältigung von DoS etwa 1,5 Millionen US-Dollar betragen. Die Einrichtung einer Sicherheitsarchitektur , die es Ihnen ermöglicht, DoS-Angriffe zu erkennen, zu verhindern und darauf zu reagieren, ist ein entscheidender Schritt in jedem effektiven Cybersicherheitsprogramm.
Feedback