Neue, aggressive Wellen an DDoS-Attacken

Check Point hat die steigende Anzahl von Vorfällen beobachtet, bei denen massive Layer-7-Web-DDoS-Angriffe mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert werden. Derartig ausgeklügelte Angriffe zeichnen sich durch ihre Hartnäckigkeit und Dauer aus. Sie umfassen koordinierte Angriffe über mehrere Vektoren der Netzwerk- und Anwendungsebene. Anhand der folgenden von Check Point beobachteten Beispiele lässt sich ein Bild der aktuellen Bedrohungslage skizzieren.

Beispiel Nr. 1 für abgewehrte DDoS-Tsunami-Angriffe: Nationalbank in EMEA

Eine große Nationalbank mit Sitz in der EMEA-Region wurde innerhalb weniger Tage mit mindestens zwölf separaten Angriffswellen konfrontiert, in der Regel zwei bis drei pro Tag. Um darzustellen, wie massiv die Angriffe ausfielen, empfiehlt sich die Heranziehung des RPS (Request per Second). RPS ist ein wichtiger Parameter für die Bewertung von Schwere, Auswirkungen und Umfang von DDoS-Angriffen und bezeichnet die Anzahl der Anfragen pro Sekunde. Bei der Bank überschritten mehrere Angriffswellen die Schwelle von 1 Million RPS. Eine erreichte einen Spitzenwert von fast 3 Millionen RPS. Zum Vergleich: Diese Bank hat normalerweise einen Datenverkehr von weniger als 1000 RPS.

Gleichzeitig haben Angreifer mehrere volumetrische Angriffe auf der Netzwerkebene mit über 100 Gbit/s gestartet. Bei den Angriffen wurde eine Vielzahl unterschiedlicher Angriffsvektoren verwendet, darunter HTTPS-Flood, UDP-Fragmentierungsangriffe, TCP-Handshake-Verletzungen, SYN-Floods und mehr.

Beispiel Nr. 2: Angriffswelle auf Versicherungsgesellschaft

Eine Versicherungsgesellschaft war innerhalb weniger Tage mit mehreren groß angelegten Angriffswellen konfrontiert, wobei mehrere Wellen Spitzenwerte von über 1 Million RPS erreichten. Die größte dieser Wellen erreichte 2,5 Millionen Anfragen pro Sekunde. Der typische Datenverkehr für das Unternehmen liegt bei mehreren hundert Anfragen pro Sekunde, so dass diese Angriffe die Anwendungsinfrastruktur bei weitem überfordern würden.

Darüber hinaus haben die Angreifer einige der Angriffswellen mit volumetrischen Angriffen auf der Netzwerkebene kombiniert, die über 100 Gbit/s erreichten. Die Angriffe umfassten ausgeklügelte Angriffsvektoren wie Web-DDoS-Tsunami-Angriffe (HTTP/S-Floods), DNS-Floods, DNS-Verstärkungsangriffe, UDP-Floods, UDP-Fragmentierungsangriffe, NTP-Floods, ICMP-Floods und mehr.

Nachfolgend ein Beispiel für einen der Angriffe mit mehreren Wellen über einen Zeitraum von drei Stunden, wobei mehrere Spitzen den Schwellenwert von 1 Million Anfragen pro Sekunde (RPS) erreichten und einige über 2,5 Millionen RPS stiegen:

Beispiel Nr. 3: Europäisches Telekommunikationsunternehmen

Ein europäisches Telekommunikationsunternehmen war wiederholt das Ziel staatlich unterstützter Angriffsgruppen. In dieser Woche wurde es mit einer anhaltenden Web-DDoS-Attacke von etwa 1 Mio. RPS fast ununterbrochen für zwei Stunden angegriffen, wobei der Spitzenverkehr 1,6 Mio. RPS erreichte.

Vor aggressiven DDoS-Wellen schützt

Moderne DDoS-Angriffsprofile haben sich weiterentwickelt und kombinieren mehrere Vektoren, um sowohl die Netzwerk- als auch die Anwendungsebene anzugreifen. Diese ausgeklügelten Angriffe nutzen Verschlüsselung und innovative Techniken wie dynamische IP-Adressierung, um legitimen Datenverkehr zu imitieren, was sie äußerst effektiv und schwer zu erkennen macht. Herkömmliche Abwehrmethoden sind oft unzureichend, insbesondere bei Angriffen auf Layer 7, da sie verschlüsselten Datenverkehr nicht effektiv untersuchen können.

Eine Cloud-basierte, automatisierte DDoS-Abwehrinfrastruktur ist daher unabdinglich. Sie zeichnet sich dadurch aus, dass sie vielschichtige Angriffe dieser Art nahtlos abfängt und Unterbrechung der Arbeitsprozesse verhindert. Da die Bedrohungen sehr vielfältig ausfallen, braucht es daher bestenfalls eine Reihe automatisierter Schutzmodule.

Diese neue Welle von Cyber-Bedrohungen unterstreicht die Notwendigkeit adaptiver und umfassender Verteidigungsstrategien, die solche Angriffe antizipieren und entschärfen können, um ununterbrochene Dienste und den Schutz kritischer Infrastrukturen zu gewährleisten.