Was ist ein DDoS-Botnetz?

Ein DDoS-Botnetz ist eine Gruppe oder ein DDoS von kompromittierten Computern oder IoT-Geräten (Internet der Dinge), die von böswilligen Akteuren genutzt werden, um Distributed Denial of Service (DDoS)-Angriffe durchzuführen. Diese Angriffe zielen darauf ab, das Ziel mit Traffic zu überfluten, seine normale Funktion zu stören und es für legitime Nutzer unzugänglich zu machen. 

Botnetz vs. DDoS-Botnetz

Botnetze bestehen aus mehreren kompromittierten Computern oder Internet-of-Things (IoT)-Geräten, die unter der Kontrolle eines Hackers (auch „Botmaster“ oder „Bot Herder“ genannt) stehen. Sie ermöglichen es einem Botmaster, über die gebündelten Computing-Ressourcen, die das Botnetz bietet, groß angelegte Angriffe zu starten. 

Ein DDoS-Botnetz ist einfach ein Botnetz, das speziell zur Durchführung von DDoS-Angriffen verwendet wird.

Was versteht man unter einem DDoS-Angriff?

Ein Distributed Denial of Service (DDoS) ist eine Form von Cyberattacke, bei der ein Angreifer zahlreiche kompromittierte Computer (ein DDoS-Botnetz) nutzt, um einen volumetrischen Angriff zu starten, mit der Absicht, ein Zielsystem zu überwältigen. Diese Art von Angriff kann dazu führen, dass das Ziel (ein Service oder Server) für legitime Nutzer nicht mehr verfügbar ist. Sie können sich einen DDoS-Angriff als eine Flut von unrechtmäßigem DDoS Traffic aus verschiedenen Quellen vorstellen, die das Zielsystem effektiv außer Gefecht setzt.  

Wie entstehen Botnetze?

Um ein Botnetz zu erstellen, infizieren Botmaster zunächst ein Netzwerk von Geräten, die sie für ihre Angriffe nutzen wollen. Hierfür verschaffen sich Hacker Zugriff via Software-Exploits, Firmware-Exploits oder über einen kompromittierten Link oder eine Datei erfolgte Malware-Downloads. Sobald ein Gerät infiziert ist, kann der Botmaster die kombinierten Computing-Ressourcen nutzen, um seine Angriffe – oft ohne das Wissen des Gerätebesitzers – durchzuführen. Es gibt zwar keine bestimmte Anzahl infizierter Geräte, die für die Einrichtung eines Botnetzes erforderlich ist, aber je größer das Netzwerk, desto größer sind die potenziellen Auswirkungen eines Angriffs. Sind die Geräte einmal infiziert, lassen sie sich anhand zwei verschiedener Modelle steuern.

Wie werden Botnetze gesteuert?

Client-Server-Modell

Die Steuerung der Bots erfordert eine Infrastruktur, die die Kommunikation zwischen dem Server (dem Botmaster) und den Clients (den infizierten Computern oder Geräten) ermöglicht. Das Client-Server-Modell wurde als erstes etabliert. Es funktioniert über einen zentralen Server (Command & Control Server oder kurz C&C), der die Anweisungen übermittelt. Mit anderen Worten: Im Client-Server-Modell verlassen sich die Clients ausschließlich auf die Anweisungen des C&C-Servers des Botmasters. Diese Abhängigkeit ist gleichzeitig bzw. glücklicherweise der größte Nachteil des Modells, denn wenn der C&C-Server entdeckt und deaktiviert wird, ist das Botnetz nicht mehr funktionsfähig.

P2P und dezentralisierte Befehlssteuerung

Peer-to-Peer (P2P) und dezentralisierte C&C-Modelle kamen zum Einsatz, um die Nachteile zentralisierter Client-Server-Modelle zu umgehen. Bei diesem Modell kann jeder Client die Rolle des Servers übernehmen. Statt Anweisungen über eine zentrale Quelle zu versenden, kann jeder Client im Botnetz diese weiterleiten. Dieses Modell kann zwar die Übermittlung von Anweisungen verlangsamen, macht aber die Zerschlagung eines entsprechenden Botnetzes nahezu unmöglich.

Welche Arten von Angriffen sind mit Botnetzen möglich?

Botnetze sind in der Lage, jeden Angriff auszuführen, den auch ein einzelner Computer ausführen kann. Der Unterschied liegt jedoch im Ausmaß der Angriffe. Volumetrische Angriffe wie DDoS, Account Takeover und Spam werden von Botnetzen am häufigsten durchgeführt.  Zu den bekanntesten Botnetzangriffen gehören die DDoS-Angriffe des Mirai-Botnetzes aus dem Jahr 2016, die beliebte Websites wie Twitter, Netflix und Reddit zum Erliegen brachten, sowie die Nutzung von fast 2 Millionen PCs durch das 3ve-Botnetz, um Klickbetrug im Wert von fast 30 Millionen US-Dollar zu begehen.  

Wie können Sie Ihre Anwendungen vor DDoS-Botnetzen schützen?

Der Schutz Ihrer Anwendungen vor DDoS-Botnetzen ist gleichbedeutend mit dem Schutz Ihrer Anwendungen vor DDoS-Angriffen. Zu den Best Practices gehören: 

  1. Traffic-Muster verstehen: Die erste Verteidigungslinie besteht in der Erstellung eines Traffic-Profils. Dieses Profil gibt an, wie „erwünschter“ Traffic aussieht, und legt die Erwartungen für das Traffic-Volumen in Ihrem Netzwerk fest.  Dank der Überwachung Ihres Traffics mithilfe dieses Profils lassen sich Regeln konfigurieren, die nur so viel Traffic zulassen, wie Ihre Infrastruktur bewältigen kann, ohne Ihre Endnutzer zu beeinträchtigen. 

  2. Verwenden Sie Rate Limiting: Rate Limiting liefert eine gute Grundlage, und Sie können anschließend erweiterte Erkennungsmethoden einsetzen, um ausschließlich Traffic zuzulassen, der anhand einer Analyse weiterer Variablen validiert wurde. Schon eine kleine Sicherheitslücke kann Ihrem Netzwerk und Ihren Servern irreparablen Schaden zufügen und Ihre Mitarbeiter durch die fünf emotionalen Phasen eines DDoS-Angriffs schicken. Sorgen Sie also am besten gleich von Anfang an vor.

  3. Exposition minimieren: Eine der einfachsten Möglichkeiten, DDoS-Angriffe abzuwehren, besteht darin, die Angriffsfläche zu verkleinern. So werden die Möglichkeiten der Angreifer eingeschränkt und Sie können gleichzeitig Abwehr- und Schutzmechanismen entwickeln. Sie sollten sicherstellen, dass Sie Ihre Anwendungen und Hosts nicht für Ports, Protokolle und andere Anwendungen freigeben, mit denen keine Kommunikation zu erwarten ist. In den meisten Fällen können Sie dies erreichen, indem Sie Ihre Infrastrukturressourcen hinter einem als Proxy fungierenden Content Delivery Network (CDN) platzieren, das den direkten Internet-Traffic zu bestimmten Teilen Ihrer Infrastruktur einschränkt. Außerdem können Sie eine Firewall oder Zugriffskontrolllisten (ACLS) verwenden, um den Traffic zu bestimmten Anwendungen zu steuern. 

  4. Nutzen Sie eine anwendungsbasierte Firewall: Wenn Ihre Anwendung mit dem Internet verbunden ist, werden Sie täglich mehrfach angegriffen. Im Durchschnitt wird eine App mit Internetverbindung alle 39 Sekunden angegriffen. Als bewährte Praxis empfiehlt sich der Einsatz einer Web Application Firewall (WAF) zum Schutz vor Angriffen. Zunächst sollten Sie OWASP Top 10-Angriffe aktiv abwehren. So sollten Sie auch in der Lage sein, ein individuelles Traffic-Profil zur Abwehr von zusätzlichen ungültigen Anfragen zu erstellen. Solche Anfragen können beispielsweise als legitimer Traffic von bekannten Schad-IPs getarnt sein oder aus einer geografischen Region stammen, in der Ihr Unternehmen gar nicht tätig ist. Darüber hinaus unterstützt eine WAF Sie bei der Angriffsabwehr, da Sie Ihnen Zugriff auf erfahrene Experten geben kann, die die Traffic-Heuristik untersuchen und einen maßgeschneiderten Schutz für Ihre Anwendung entwickeln.

  5. Skalierung durch Design: Auch wenn es dabei isoliert betrachtet nicht um die beste Lösung handelt, bietet die Erhöhung der Bandbreiten- (Transit-)Kapazität oder der Server- (Rechen-)Kapazität eine Möglichkeit, um Angriffe abzufangen und zu verhindern. Achten Sie bei der Entwicklung Ihrer Anwendungen darauf, dass Sie über eine redundante Internetanbindung verfügen, um Traffic-Anstiege bewältigen zu können. Eine gängige Praxis ist das Loadbalancing. Dabei wird der eingehende Traffic kontinuierlich überwacht und auf die verfügbaren Ressourcen verteilt, um eine Überlastung einzelner Ressourcen zu vermeiden. Außerdem können Sie Ihre Webanwendungen mit Blick auf ein CDN erstellen, das einen zusätzlichen Netzwerkinfrastruktur-Layer für die Bereitstellung von Inhalten bietet – oft sogar näher an Ihren Endnutzern. Die meisten DDoS-Angriffe sind volumetrisch und verbrauchen riesige Mengen an Ressourcen. Sie sollten also in der Lage sein, Ihre Anwendungen hinsichtlich der benötigten Rechenleistung schnell nach oben oder nach unten zu skalieren. Durch den dezentralen Aufbau eines CDN werden die Angriffe so weit verteilt, dass sie sich leicht abfangen lassen. Außerdem bieten CDNs zusätzliche Möglichkeiten, um selbst anspruchsvollste Angriffe zu vereiteln. Die Entwicklung eines Angriffsprofils ermöglicht es CDNs, bösartigen Traffic herauszufiltern oder zu drosseln. 

Weitere Informationen darüber, wie Sie einen DDoS-Angriff abwehren können, finden Sie in unseren DDoS Best Practices-Richtlinien. 

Ihre Vorteile mit Fastly

  • Automatische Angriffsabwehr: Die Plattform erkennt und neutralisiert DDoS-Angriffe ohne manuelles Eingreifen und gewährleistet eine gleichbleibende Verfügbarkeit des Service.

  • Enorme globale Kapazität: Mit einer Netzwerkkapazität von über 350 Tbps kann Fastly selbst den größten volumetrischen Angriffen standhalten und die Netzwerkstabilität der Infrastruktur bei Extremereignissen bewahren.

  • Dynamische Traffic-Überwachung: Die kontinuierliche Auswertung von Traffic-Mustern hilft dabei, Anomalien zu erkennen und Bedrohungen effektiv zu bekämpfen, bevor sie Ihre Betriebsabläufe stören.

  • Schnelle Antwortzeit: Fastlys DDoS-Plattform blockiert Angriffe innerhalb von Sekunden und minimiert die Störungen für Ihre Endnutzer.

  • Adaptive Identifikationstechniken: Mithilfe innovativer Methoden wie Attribute Unmasking identifiziert und stoppt Fastly raffinierte, sich weiterentwickelnde Angriffe, die konventionelle Abwehrmechanismen umgehen.

  • Vielseitige Architekturunterstützung: Die DDoS-Schutzplattform lässt sich schnell in verschiedenen Infrastrukturen bereitstellen und passt sich bei Bedarf an Änderungen an.

  • Integrierte Plattform-Erfahrung: Fastly bietet eine eigenständige Lösung, die sich bei Bedarf in andere Fastly Edge Cloud Services integrieren lässt.

  • Kosteneffizienter Betrieb: Fastly berechnet Gebühren basierend auf legitimen Traffic und stellt sicher, dass Sie nicht durch Kosten belastet werden, die durch Angriffsspitzen entstehen.

  • Resilienter App- und API-Schutz: Fastly schützt Anwendungen und APIs vor Performance-Einbußen und Ausfällen und gewährleistet so eine zuverlässige Servicebereitstellung auch bei Angriffen.

  • Einfache Bereitstellung: Die Lösung wird mit einem einzigen Klick aktiviert und bietet sofortigen Schutz für Unternehmen jeder Größe.

Erfahren Sie mehr darüber, wie Fastly’s DDoS protection Ihnen helfen kann, Ihre digitale Infrastruktur zu sichern und einen unterbrechungsfreien Service aufrechtzuerhalten, indem Sie eine Demo anfordern

Erfahren Sie mehr über Fastly Next-Gen WAF

Demo anfordern