Distributed-Denial-of-Service-Angriffe sind auf dem Vormarsch. Sie führen häufig dazu, dass Unternehmen offline gehen und den regulären Betrieb nicht gewährleisten können. Erst im Februar nutzten Kriminelle die Methode, um eine Reihe von niederländischen Unternehmen und Behörden zu attackieren. Für Handelsunternehmen ist der Schutz vor DDoS-Angriffen eine essentielle Aufgabe. Wie also kann sich der Handel schützen?
Der beste Weg, einen Angriff zu erkennen, ist die Überwachung des Anwendungs- und Netzwerkverkehrs. So können Firmen feststellen, ob eine schlechte Anwendungsperformance auf Ausfälle des Service Providers oder einen DDoS-Angriff zurückzuführen ist. Die Überwachung des Datenverkehrs ermöglicht es Firmen auch, legitimen Datenverkehr von Angriffen zu unterscheiden. Idealerweise sollten Sicherheitsadministratoren den Datenverkehr, die Anwendungsleistung, anomales Verhalten, Protokollverletzungen und Webserver-Fehlercodes überprüfen. Da DDoS-Angriffe fast immer von Botnetzen ausgeführt werden, sollten Anwendungstools in der Lage sein, zwischen legitimen Benutzern und Bot-Verkehr zu unterscheiden.
Bösartige Benutzer erkennen und stoppen
Es gibt zwei Hauptmethoden, um den DDoS-Angriffsverkehr zu identifizieren: einerseits das Identifizieren bösartige Benutzer und andererseits das Identifizieren bösartiger Anfragen. Für den DDoS-Datenverkehr von Anwendungen kann die Identifizierung bösartiger Benutzer der effektivste Weg sein, um Angriffe zu verhindern. Böswillige Benutzer können mit den folgenden Maßnahmen erkannt werden:
- Erkennen Sie bekannte Angriffsquellen wie bösartige IP-Adressen, die andere Websites aktiv angreifen und anonyme Proxies und TOR-Netzwerke identifizieren: Bekannte Angriffsquellen machen einen Großteil aller DDoS-Angriffe aus. Da sich bösartige Quellen aber ständig ändern, sollten Betriebe über eine aktuelle Liste aktiver Angriffsquellen verfügen.
- Identifizieren Sie bekannte Bot-Agenten: DDoS-Angriffe werden fast immer von einem automatisierten Client durchgeführt. Viele dieser Clients oder Bot-Agenten haben Eigenschaften, die sie von normalen Webbrowser-Agenten unterscheiden. Tools, die Bot-Agenten erkennen, können viele Arten von DDoS-Quellen sofort stoppen.
Bösartige Anfragen erkennen und stoppen
Da Anwendungs-DDoS-Angriffe den normalen Web-Anwendungsverkehr nachahmen, können sie durch typische Netzwerk-DDoS-Techniken schwer zu erkennen sein. Mit einer Kombination aus Kontrollen auf Anwendungsebene und der Erkennung von Anomalien können Firmen jedoch bösartigen Datenverkehr erkennen und stoppen. Zu den Maßnahmen gehören:
- Das Erkennen einer übermäßigen Anzahl von Anfragen aus einer einzigen Quelle oder Benutzersitzung: Automatisierte Angriffsquellen fordern Webseiten fast immer schneller an als legitime Benutzer.
- Weiterhin gilt es bekannte DDoS-Angriffe auf Netzwerk- und Anwendungsebene zu verhindern: Viele Arten von DDoS-Angriffen beruhen auf einfachen Netzwerktechniken wie fragmentierten Paketen, Spoofing oder nicht abgeschlossenen TCP-Handshakes. Fortgeschrittene Angriffe, typischerweise Angriffe auf Anwendungsebene, versuchen, die Serverressourcen zu überfordern. Diese Angriffe können durch ungewöhnliche Benutzeraktivitäten und bekannte Angriffssignaturen erkannt werden.
