Ursprung von Denial-of-Service-Bedrohungen
Bei herkömmlichen Denial-of-Service-Angriffen sendet der Hacker mehrere Anforderungen mit fiktiven IP-Adressen (Return Internet Protocol) an den Zielcomputer oder-Dienst. Wenn der Server versucht, diese Adressen zu authentifizieren, stößt er auf eine Welle von Fehlercode-Antworten, wodurch eine wiederkehrende Kette von SMTP-Datenverkehr ausgelöst wird, der den Server schnell sättigen kann., In ähnlicher Weise sendet der Hacker bei einem Schlumpfangriff Pakete an mehrere Hosts mit einer gefälschten IP-Adresse, die zu diesen Zielcomputern gehört. Wenn die Empfängerhostcomputer antworten, überfluten sie sich effektiv mit antwortendem Paketverkehr.
In einer SYN-Flut nutzt ein Angreifer den TCP-3-Wege-Handshake-Prozess (SYN, SYN-ACK, ACK), um einen Dienst offline zu schalten. Beim 3-Wege-Handshake würde Server A eine TCP-Synchronize-Anforderungsnachricht an Server B initiieren. Beim Empfang der Anforderung sendet Host B (der Zielcomputer) ein SYNchronize-ACKnowledgement-Paket zurück an Server A., An diesem Punkt tritt der Denial-of-Service-Angriff auf. In einem legitimen Austausch zum Herstellen einer TCP-Socket-Verbindung besteht der nächste Schritt darin, dass Host A eine Bestätigungsnachricht an Host B zurücksendet, aber wenn der Hacker, der Host A steuert, dies verhindert, kann der Handshake nicht abgeschlossen werden. Das Ergebnis ist, dass Host B über einen verbundenen Port verfügt, der für zusätzliche Anforderungen nicht verfügbar ist. Wenn der Angreifer wiederholte Anforderungen dieser Art sendet, können alle verfügbaren Ports auf Host B schnell auflegen und nicht mehr verfügbar sein.,
Sich entwickelnde Denial-of-Service-Bedrohungen
SYN – Überschwemmungen, Bananenangriffe und andere Arten herkömmlicher DoS-Hacks werden heute noch verwendet-und natürlich bleiben Botnet-basierte DDoS-Angriffe eine ständige Bedrohung. Böswillige Hacker haben jedoch in den letzten Jahren die Anzahl der Maschinen und Dienste, auf die sie abzielen, erweitert und die Bedrohungsoberfläche erheblich erweitert. Zunehmend werden Organisationen auf Angriffe mit geringerer Intensität „Degradation of Service“ ausgerichtet, die kostspielige Verlangsamungen des Dienstes verursachen, ohne die Ressourcen vollständig offline zu schalten., Diese Angriffsmethode ist immer häufiger geworden, da immer mehr Unternehmen auf Amazon Web Services (AWS) und ähnliche Cloud-Angebote angewiesen sind, um ihren Webbetrieb zu betreiben.
Wenn ein großer Einzelhändler, Finanzdienstleister, eine Verbrauchermarke oder ein ähnliches Handelsunternehmen seine Website auf AWS, Microsoft Azure oder einem anderen Cloud-Betreiber hostet, unterliegt die Vereinbarung einer Service Level Agreement., Tatsächlich verspricht der Cloud-Betreiber zu einem bestimmten Preis, die Verarbeitungsressourcen, die Bandbreite und die Supportinfrastruktur zur Verfügung zu stellen, die für diese Website erforderlich sind, um X-Mengen an Webverkehr zu unterstützen, wobei X als Gigabyte an Daten, Anzahl der Einzelhandelstransaktionen, Betriebszeiten und zugehörige Metriken gemessen wird. Wenn die Verkehrsbelastung die vereinbarten Werte überschreitet, was positiv wäre, wenn der Verkehr legitim ist, wird dem Websitebesitzer eine höhere Gebühr berechnet., Dieser Prozess ist häufig vollständig automatisiert, wie bei Amazon CloudWatch, das über automatische Skalierungsfunktionen verfügt, um die Verarbeitungsressourcen bei Bedarf dynamisch zu erhöhen oder zu verringern.
Kostspielige Verunglimpfung des Dienstes
Wie man sich vorstellen kann, können sich schlechte Akteure in diese Beziehungen einbringen, indem sie illegitimen Datenverkehr auf eine Zielwebsite lenken und die Kosten für die Geschäftstätigkeit für eine Zielorganisation leicht erhöhen. Pulsierende „Zombie“ – Server, die intermittierende Traffic-Bursts senden, werden häufig bei dieser Art von Angriff verwendet., Da die fraglichen Verkehrslasten gelegentlich und nicht offensichtlich von einer böswilligen Quelle stammen, scheinen sie legitimen Datenverkehr sehr ähnlich zu sein, was bedeutet, dass es für Cybersicherheitspersonal äußerst schwierig sein kann, sie aufzudecken und zu stoppen.
Ein weiteres Toolset, das bei dieser Art von Denial of Service oder Service-of-Service-Incident verwendet wird, sind sogenannte „Stresser“ – Anwendungen, die ursprünglich Website-Besitzern helfen sollten, Schwachstellen in ihrer Webinfrastruktur zu identifizieren., Diese Apps, einschließlich WebHive, sind leicht zu erhalten und einfach zu verwenden und können auf mehreren Cloud-Instanzen installiert werden, um beeindruckende DDoS-Funktionen aufzubauen. Auf diese Weise koordiniert, können diese Angriffstools große kommerzielle Websites über einen längeren Zeitraum offline schalten.
Key Denial of Service Takeaways
Denial-of-Service-Angriffe haben sich im Laufe der Jahre verschoben und verändert, aber der entstandene Schaden nimmt weiter zu., Eine Umfrage des Ponemon Institute unter großen Unternehmen in einer Reihe von Branchen ergab, dass das typische Unternehmen jährlich vier Denial-of-Service-Vorfälle erleidet und dass die durchschnittlichen Gesamtkosten pro Jahr für den Umgang mit DoS ungefähr 1.5 Millionen US-Dollar betragen. Die Einrichtung einer Sicherheitsarchitektur, mit der Sie DoS-Angriffe erkennen, verhindern und darauf reagieren können, ist ein entscheidender Schritt in jedem effektiven Cybersicherheitsprogramm.