Distributed Denial of Service (DDoS)
Koordinierter Angriff, der Dienste durch massiven Verkehr überlastet und Verfügbarkeit beeinträchtigt.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Fehlkonfigurationen können Dienste unzugänglich machen
- Angreifer adaptieren Taktiken, z. B. Low‑and‑Slow‑Methoden
- Kostenexplosion durch ungeplante Skalierung oder Scrubbing
- Implementiere minimale Angriffsfläche und Rate‑Limiting
- Setze Telemetrie auf allen kritischen Pfaden und korreliere Events
- Übe Incident Response regelmäßig inklusive Provider‑Koordination
I/O & Ressourcen
- Netzwerk‑Traffic‑Logs und Telemetrie
- Baseline‑Profile legitimer Nutzung
- Zugriff auf Edge‑ und CDN‑Konfiguration
- Liste gefilterter IPs/Netzwerke und deployed Rulesets
- Vorfallsdokumentation und forensische Artefakte
- Empfohlene Architekturänderungen zur Risikominderung
Beschreibung
Distributed Denial of Service (DDoS) bezeichnet koordinierte Angriffe, die Ressourcen eines Dienstes durch massiven Verkehr überlasten und Verfügbarkeit einschränken. Das Konzept umfasst Angriffsvektoren, Erkennungsprinzipien sowie Abwehrstrategien auf Netzwerk‑ und Anwendungsebene. Relevante Maßnahmen betreffen Monitoring, Skalierung, Filtering, Kooperation mit Providern sowie juristische Aspekte.
✔Vorteile
- Verbesserte Verfügbarkeit und reduzierte Ausfallzeiten
- Besseres Situationsverständnis durch Telemetrie und Forensik
- Skalierbare Abwehroptionen senken Geschäftsrisiko
✖Limitationen
- Komplette Verhinderung großer volumetrischer Angriffe ist kostenintensiv
- False Positives können legitimen Traffic beeinträchtigen
- Abhängigkeit von Drittanbietern (CDN/ISP) für effektive Scrubbing‑Kapazität
Trade-offs
Metriken
- Anzahl der abgewiesenen schädlichen Verbindungen pro Minute
Misst Effektivität von Filtern und Blacklists gegen angreifende Verbindungen.
- Peak-Bandbreitennutzung während eines Vorfalls
Zeigt die maximale Belastung für Netzwerk und hilft Kapazitätsplanung.
- Mean Time to Mitigate (MTTM)
Durchschnittszeit von Erkennung bis wirksamer Gegenmaßnahme.
Beispiele & Implementierungen
Mirai-Botnet (2016)
Großflächiger Angriff auf DNS-Provider und IoT-Geräte, der zu massiven Ausfällen führte und DDoS‑Abwehrmaßnahmen beschleunigte.
Gezielte API-Flood auf Online-Dienst
Angriffe auf spezifische API-Routen führten zu erhöhter Latenz und erforderten WAF-Regeln und Throttling.
Volumetrischer Angriff gegen E‑Commerce-Plattform
Massive Bandbreitenbelastung der Infrastruktur, die CDN‑basierte Scrubbing-Services und ISP‑Koordination notwendig machte.
Implementierungsschritte
Baseline‑Analyse: Traffic‑Profile erfassen und Anomalien definieren
Monitoring und Alerting konfigurieren für relevante Metriken
Layered-Mitigationsplan erstellen (Edge, Netzwerk, Anwendung)
Automatische Reaktionsplaybooks und Eskalationswege festlegen
Regelmäßige Tests und Übungen mit Providern durchführen
⚠️ Technische Schulden & Engpässe
Tech Debt
- Alte Firewall-Regeln ohne Dokumentation
- Fehlende Automatisierung für Incident Response
- Unzureichende Telemetrie an Edge‑Knoten
Bekannte Engpässe
Beispiele für Missbrauch
- Übermäßiges Blocken führt zu Kundenverlusten
- Fokussierung nur auf Bandbreite, nicht auf Applikationslogik
- Keine juristische Dokumentation während Vorfall, erschwerte Strafverfolgung
Typische Fallen
- Vertraue allein auf Cloud-Provider-Schutz ohne eigene Maßnahmen
- Zu enge Thresholds führen zu häufigen False Positives
- Ignorieren von Low‑and‑Slow‑Angriffen durch Fokus auf Volumen
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Begrenzte Budget‑ und Personalressourcen
- • Abhängigkeit von ISP-/CDN‑Unterstützung
- • Rechtliche Rahmenbedingungen und Meldepflichten