DDoS und BGP Hijacking abwehren

Analysieren Sie schon die DNA des Internets?

18.10.2019
Von 
Regional Sales Manager DACH bei ThousandEyes
Viren und Trojaner waren gestern. Heute greifen kriminelle Hacker das Grundgerüst des Word Wide Web an. So bleibt Ihr Unternehmen vor DDoS-Attacken und BGP Hijacking geschützt.

Wenn es um die Bedrohungslage innerhalb der digitalisierten Welt geht, ist die gefühlte Sicherheit vor Ausfällen, Datenpannen und Attacken durch Cyberkriminelle trügerisch. Oft werden Gefahren, die einen reibungslosen Ablauf digitaler Kommunikation bedrohen, von Verantwortlichen nicht oder nur bedingt wahrgenommen. Ein Umdenken findet meist erst dann statt, wenn durch einen Ausfall der empfindlichen Struktur des Internets Schäden entstanden sind und nur langsam wieder zum Normalbetrieb zurückgekehrt werden muss.

Die Analyse von Internet- und Netzwerk-Traffic kann dabei helfen, DDoS-Angriffe und BGP Hijacking abzuschwächen.
Die Analyse von Internet- und Netzwerk-Traffic kann dabei helfen, DDoS-Angriffe und BGP Hijacking abzuschwächen.
Foto: alphaspirit - shutterstock.com

Gegen bekannte Bedrohungen wie Viren und Trojaner haben die meisten Unternehmen umfassende Schutzprogramme wie Firewalls und Antivirenscanner im Einsatz. Mittlerweile stellen aber auch andere Security-Risiken eine ernstzunehmende Gefahr für den geregelten Ablauf im Internet dar. Vor allem Hijacking innerhalb des Border Gateway Protocols (BGP) und Distributed-Denial-of-Service (DDoS)-Attacken machen IT-Sicherheits- und Netzwerkspezialisten das Arbeitsleben schwer.

Wie DDoS-Attacken Netzwerke lahmlegen

Bei der Übertragung von Daten über das Internet arbeiten Server im Hintergrund, damit Nutzer im Rahmen ihrer Datenanfragen, beispielsweise einem Webseitenaufruf, die gewünschten Informationen erhalten. Dies funktioniert in der Regel reibungslos, da auch bei großen Internetdiensten, wie beispielsweise E-Mail-Anbietern, leistungsstarke Server oder Rechenzentren im Backend laufen, die selbst mit einer großen Anzahl paralleler Abfragen zurechtkommen.

Distributed-Denial-of-Service-Attacken nutzen aus, dass selbst der leistungsstärkste Dienst ab einer gewissen Datenmenge nicht mehr alle Anfragen beantworten kann. Kriminelle Hacker schaffen es mittlerweile, im Zuge eines DDoS-Angriffs Datenabfragen in der Größenordnung von mehreren Terabyte pro Sekunde auf einen Dienst einprasseln zu lassen. In der Folge sind die Website, der Cloud-Dienst oder der E-Mail-Anbieter für reguläre Nutzer nicht mehr erreichbar.

DDoS-Attacken gibt es bereits seit vielen Jahren, aktuelle technologische Entwicklungen können jedoch in Zukunft dazu führen, dass diese Form der Internetkriminalität stärker und häufiger auftritt. Um eine solche Attacke zu initiieren, brauchen kriminelle Hacker Zugriff auf ungesicherte Geräte, die sie in ein sogenanntes Botnet integrieren. Dass ihr Gerät innerhalb eines Botnets aktiv ist, bekommen Nutzer dabei nur selten mit.

Die Entwicklung hin zum Internet der Dinge und damit zu immer mehr vernetzten Geräten, führt dazu, dass diese Botnets völlig neue Ausmaße annehmen können. Die nötige Bandbreite und Infrastruktur für solche Attacken wird auch durch den neuen Mobilfunkstandard 5G getrieben. Von den geringeren Latenzzeiten und höheren Übertragungsraten von Endgeräten profitieren nämlich nicht nur Unternehmen sondern auch kriminelle Hacker.

BGP Hijacking bedeutet Chaos

Für eine DDoS-Attacke müssen Cyberkriminelle wissen, unter welcher Adresse sie ihr Ziel erreichen können. Dies gilt auch für normale Nutzer. Um den korrekten Server zu finden, von dem Daten abgerufen werden sollen, muss seine Adresse bekannt sein. Das Border Gateway Protocol (BGP) sorgt als grundlegende Schicht des Internets dafür, dass das funktioniert. Es umfasst die Grundregeln der Kommunikation im Internet und dient als Anschriftenverzeichnis, durch das Anfragen gezielt an die zuständige Stelle weitergeleitet werden können.

Durch Fehler oder böswilliges Verhalten können jedoch Netzwerkprobleme auftreten. So kam es beispielsweise 2019 aufgrund eines Fehlers bei einem Internet Service Provider (ISP) dazu, dass die Serveradresse eines US-amerikanischen Stahlwerks fälschlicherweise für die des Cloud-Providers Cloudflare gehalten wurde. Die wesentlich höheren Zugriffszahlen auf den Server führten dazu, dass Anfragen nicht mehr beantwortet wurden und Nutzer keinen Zugriff auf die Cloud-Anwendung hatten. Was in diesem Beispiel nur ein Fehler in der Konfiguration eines ISPs war, wird von Kriminellen auch genutzt, um Unternehmensdaten zu stehlen.

Da die im BGP vermerkten Adressen vieler Anbieter öffentlich zugänglich sind, können sich Cyberkriminelle als eben diese Anbieter ausgeben. Diese Vorgehensweise heißt BGP Hijacking und dient dazu, Nutzer auf falsche Websites zu führen, mit dem Ziel, sensible Daten abzuschöpfen. Diese Art der Cyberkriminalität wird in den nächsten Jahren weiter zunehmen - wirkungsvolle Mechanismen zur Bekämpfung von BGP Hijacking stehen derzeit noch nicht zur Verfügung.

DDoS-Attacken und BGP Hijacking schneller aufklären

Da wirksame Vorkehrungen gegen DDoS-Attacken und BGP Hijacking aktuell fehlen, ist es wichtig, dass solche Angriffe und Fehler möglichst schnell erkannt, ihre Ursachen aufgeklärt und Schäden beseitigt werden. Ein Mittel, um diesen Bedrohungen zu begegnen, ist die Netzwerkanalyse.

Sie liefert Einblick in das Innenleben des Internets. So lässt sich eine Art Landkarte des Webs erstellen, auf der fehlerhafte Datenströme und Verbindungen sichtbar werden. Mithilfe von weltweit verteilten Cloud-Agenten können Ausfälle beinahe in Echtzeit dargestellt werden. Bei Fehlern durch ISPs, DDoS-Attacken oder BGP Hijacking lassen sich frühzeitig die Ursachen oder Hintergründe eines Angriffs erkennen. Dadurch können betroffene Unternehmen Ausfälle schneller beheben.

Gerade bei Firmen, die mit Cloud Services und Online-Diensten traditionelle interne Firmennetzwerke ablösen, spielen Netzwerkanalysen eine wichtige Rolle. Die Kontrolle über die Datenströme liegt in dem Fall nicht mehr innerhalb des Unternehmens, sondern folgt den normalen Regeln des Internets. Damit steigt auch die Gefahr durch Cyberkriminelle und es gilt, jederzeit nachvollziehen zu können, wo eventuell Probleme auftreten. So kann die eingangs erwähnte gefühlte Sicherheit zu tatsächlicher Kontrolle werden. (jd)