Ein DDoS-Angriff (Distributed Denial of Service) ist nicht zum Lachen: Er überflutet Ihr Netzwerk mit bösartigem Datenverkehr, bringt Ihre Anwendungen zum Erliegen und verhindert, dass legitime Benutzer auf Ihren Dienst zugreifen können. DDoS-Angriffe führen häufig zu Umsatzeinbußen, abgebrochenen Warenkörben, Rufschädigung und unzufriedenen Benutzern.
Im ersten Teil dieser Blogserie wurden einige der Schritte erörtert, die Sie unternehmen sollten, um sich auf einen DDoS-Angriff (Distributed Denial of Service) vorzubereiten, bevor er stattfindet. In diesem Beitrag wird erörtert, was zu tun ist, wenn Sie angegriffen werden.
Auch wenn Sie nicht kontrollieren können, wann Sie angegriffen werden, kann die Befolgung der unten beschriebenen Schritte Ihnen helfen, die Auswirkungen des Angriffs zu minimieren, Sie auf den Weg der Besserung zu bringen und zu verhindern, dass so etwas noch einmal passiert.
Benachrichtigen Sie die Hauptbeteiligten
Es wird oft gesagt, dass der erste Schritt zur Lösung eines Problems darin besteht, zu erkennen, dass Sie ein Problem haben. Zu diesem Zweck müssen Sie die wichtigsten Interessengruppen innerhalb der Organisation alarmieren und erklären, dass Sie angegriffen werden und welche Schritte unternommen werden, um das Problem zu entschärfen.
Beispiele für wichtige Interessengruppen sind der CISO des Unternehmens, das Security Operations Center (SOC), der IT-Direktor des Netzwerks, die Betriebsleiter, die Leiter der betroffenen Dienste usw.
Da Sie bei der Bekämpfung des Angriffs wahrscheinlich alle Hände voll zu tun haben werden, ist es wahrscheinlich am besten, diese Warnung kurz und bündig zu halten.
Die wichtigsten Informationen – soweit sie Ihnen vorliegen – sollten enthalten:
- Was geschieht
- Wann begann der Angriff
- Welche Ressourcen (Anwendungen, Dienste, Server usw.) sind betroffen
- Auswirkungen auf Benutzer und Kunden
- Welche Schritte werden unternommen, um den Angriff abzuschwächen
Halten Sie die Beteiligten auf dem Laufenden, während sich das Ereignis entwickelt und/oder neue Informationen verfügbar werden. Wenn Sie die wichtigsten Beteiligten ständig auf dem Laufenden halten, können Sie Verwirrung, Ungewissheit und Panik vermeiden und die Bemühungen zur Abwehr des Angriffs koordinieren.
Benachrichtigen Sie Ihren Sicherheitsdienstleister
Neben der Benachrichtigung der Beteiligten in Ihrem Unternehmen sollten Sie auch Ihren Sicherheitsdienstleister benachrichtigen und alle Maßnahmen einleiten, die er zur Bewältigung des Angriffs ergreifen kann.
Ihr Sicherheitsdienstleister kann Ihr Internetdienstanbieter (ISP), Ihr Webhosting-Anbieter oder ein spezieller Sicherheitsdienst sein.
Jeder Anbietertyp hat unterschiedliche Fähigkeiten und einen anderen Leistungsumfang. Ihr ISP kann Ihnen dabei helfen, die Menge des bösartigen Netzwerkverkehrs, der Ihr Netzwerk erreicht, zu minimieren, während Ihr Web-Hosting-Anbieter Ihnen dabei helfen kann, die Auswirkungen von Anwendungen zu minimieren und Ihren Dienst zu erweitern. Ebenso verfügen Sicherheitsdienste in der Regel über spezielle Tools für den Umgang mit DDoS-Angriffen.
Selbst wenn Sie noch keinen vordefinierten Dienstleistungsvertrag haben oder das DDoS-Schutzangebot des Anbieters nicht abonniert haben, sollten Sie sich dennoch erkundigen, wie er Ihnen helfen kann.
Gegenmaßnahmen aktivieren
Wenn Sie Gegenmaßnahmen ergriffen haben, ist es jetzt an der Zeit, diese zu aktivieren.
Ein Ansatz besteht darin, IP-basierte Zugriffskontrolllisten (ACLs) zu implementieren, um den gesamten Datenverkehr aus Angriffsquellen zu blockieren. Dies geschieht auf der Ebene des Netzwerk-Routers und kann in der Regel entweder von Ihrem Netzwerkteam oder Ihrem ISP durchgeführt werden. Dies ist ein nützlicher Ansatz, wenn der Angriff von einer einzigen Quelle oder einer kleinen Anzahl von Angriffsquellen ausgeht. Wenn der Angriff jedoch von einem großen Pool von IP-Adressen ausgeht, ist dieser Ansatz möglicherweise nicht hilfreich.
Ist das Ziel des Angriffs eine Anwendung oder ein webbasierter Dienst, können Sie auch versuchen, die Anzahl der gleichzeitigen Anwendungsverbindungen zu begrenzen. Dieser Ansatz ist als Ratenbeschränkung bekannt und wird häufig von Webhosting-Anbietern und CDNs bevorzugt. Beachten Sie jedoch, dass dieser Ansatz anfällig für ein hohes Maß an Fehlalarmen ist, da er nicht zwischen bösartigem und rechtmäßigem Benutzerverkehr unterscheiden kann.
Dedizierte DDoS-Schutz-Tools bieten Ihnen den größten Schutz vor DDoS-Angriffen. DDoS-Schutzmaßnahmen können entweder als Appliance in Ihrem Rechenzentrum, als Cloud-basierter Scrubbing-Service oder als hybride Lösung eingesetzt werden, die ein Hardware-Gerät und einen Cloud-Service kombiniert.
In der Regel greifen diese Gegenmaßnahmen sofort, sobald ein Angriff erkannt wird. In einigen Fällen kann es jedoch erforderlich sein, dass solche Tools – wie Hardware-Geräte außerhalb des Pfades oder manuell aktivierte On-Demand-Abwehrdienste – vom Kunden aktiv in Gang gesetzt werden müssen.
Wie bereits erwähnt, ermöglichen die meisten Sicherheitsdienste während eines Angriffs ein Onboarding für den Notfall, selbst wenn Sie keine spezielle Sicherheitslösung installiert haben. Diese Einbindung ist häufig mit einer hohen Gebühr verbunden oder mit der Verpflichtung, den Dienst zu einem späteren Zeitpunkt zu abonnieren. Dies kann jedoch notwendig sein, wenn Sie keine andere Möglichkeit haben.
Überwachung des Angriffsverlaufs
Während des Angriffs sollten Sie den Verlauf überwachen, um zu sehen, wie er sich im Laufe der Zeit entwickelt.
Einige der wichtigsten Fragen, die Sie während dieser Zeit beantworten sollten:
- Welcher Typ von DDoS-Angriff ist es? Handelt es sich um eine Flut auf Netzwerkebene oder um einen Angriff auf der Anwendungsebene?
- Welche Merkmale weist der Angriff auf? Wie groß ist der Angriff (sowohl in Bezug auf die Bits pro Sekunde als auch auf die Pakete pro Sekunde)?
- Geht der Angriff von einer einzelnen IP-Quelle oder von mehreren Quellen aus? Können Sie diese identifizieren?
- Wie sieht das Angriffsmuster aus? Handelt es sich um eine einzelne anhaltende Flut oder um einen Burst-Angriff? Handelt es sich um ein einzelnes Protokoll oder um mehrere Angriffsvektoren?
- Bleiben die Ziele des Angriffs gleich oder ändern die Angreifer ihre Ziele im Laufe der Zeit?
Die Verfolgung des Angriffsverlaufs hilft Ihnen auch bei der Optimierung Ihrer Abwehrmaßnahmen.
Assess Defense Performance
Schließlich müssen Sie, während sich der Angriff entwickelt und Ihre Gegenmaßnahmen eingesetzt werden, deren fortlaufende Effektivität messen.
Die Frage ist hier einfach: Funktionieren die Abwehrmaßnahmen, oder kommt der Angriffsverkehr durch?
Ihr Sicherheitsanbieter sollte Ihnen ein SLA-Dokument (Service Level Agreement) vorlegen, in dem seine Serviceverpflichtungen festgelegt sind. Zwei der wichtigsten Metriken in diesem Dokument sind Time-to-Mitigate (TTM) und Consistency-of-Mitigation.
- Time-to-Mitigate misst, wie schnell sich Ihr Anbieter verpflichtet, den Angriff zu stoppen.
- Die Consistency-of-Mitigation-Metrik hingegen misst, wie gut er den Angriff stoppt. Diese Kennzahl wird in der Regel als der Anteil des bösartigen Datenverkehrs definiert, der in Ihr Netzwerk eindringen darf.
Wenn Sie feststellen, dass Ihr Sicherheitsdienst seine SLA-Verpflichtung nicht einhält – oder schlimmer noch – nicht in der Lage ist, den Angriff überhaupt zu stoppen, ist jetzt der richtige Zeitpunkt, um zu prüfen, ob Sie eine Änderung vornehmen müssen.
Laden Sie den „Hackers Almanac“ von Radware herunter, um mehr zu erfahren.
Jetzt herunterladen