DDoS-Überwachung: Wie Sie wissen, dass Sie angegriffen werden

Vor einiger Zeit haben wir darüber berichtet, wie Sie Ihre Windows IIS- und Loggly-Protokolle überprüfen können, um die Quelle eines DDoS-Angriffs zu erkennen, aber wie wissen Sie, wann Ihr Netzwerk angegriffen wird? Es ist nicht effizient, die Protokolle jeden Tag und jede Stunde von Menschen überwachen zu lassen, daher müssen Sie sich auf automatisierte Ressourcen verlassen. Die automatisierte DDoS-Überwachung verschafft Ihrem Sicherheitsteam mehr Bandbreite, um sich auf andere wichtige Aufgaben zu konzentrieren und dennoch Benachrichtigungen zu erhalten, falls Anomalien als Folge eines DDoS-Ereignisses auftreten.

Was ist ein DDoS-Angriff?

Kurz gesagt, ist ein DDoS-Angriff eine Flut von Datenverkehr zu Ihrem Webhost oder Server. Bei ausreichendem Datenverkehr kann ein Angreifer Ihre Bandbreite und Serverressourcen aufbrauchen, bis einer (oder beide) so überlastet sind, dass sie nicht mehr funktionieren. Der Server stürzt ab, oder es gibt einfach nicht genug Bandbreite, um echten Kunden den Zugriff auf Ihren Webdienst zu ermöglichen. Wie Sie sich wahrscheinlich denken können, bedeutet dies einen Zusammenbruch Ihres Dienstes und Umsatzeinbußen, solange der Angriff andauert.

DDoS-Angriffe können für ein Online-Unternehmen verheerend sein, weshalb es wichtig ist, zu verstehen, wie sie funktionieren und wie man sie schnell entschärfen kann. Während des Angriffs gibt es nicht nur eine Quelle, so dass man nicht nur eine IP filtern kann, um ihn zu stoppen. DDoS-Angreifer infizieren Benutzersysteme (das können Computer, aber auch eingebettete Systeme oder IoT-Geräte sein) mit einer Software, die es ihnen ermöglicht, diese weltweit zu kontrollieren. Der Angreifer verwendet ein zentrales System, das den mit Malware infizierten Rechnern befiehlt, Datenverkehr an die Website zu senden. Die Anzahl der Rechner, die dem Angreifer zur Verfügung stehen, hängt von der Anzahl der infizierten Geräte ab, kann aber in die Zehntausende gehen. Erschwerend kommt hinzu, dass DDoS-Malware in der Regel sehr ausgeklügelt ist und Techniken einsetzt, um Ihren Server so effizient wie möglich zu überlasten, indem sie z. B. unvollständige Verbindungsanfragen sendet, die auf Ihrem System Wartezustände verursachen, während derer das angreifende System neue Anfragen senden kann.

In der Regel können Sie feststellen, wie viel Angriff Sie aushalten können. Wenn Ihr normaler Datenverkehr über den Tag verteilt bei 100 Verbindungen liegt und Ihr Server normal läuft, dann werden 100 Rechner, die um eine Verbindung wetteifern, Sie wahrscheinlich nicht beeinträchtigen. Bei einem DDoS-Angriff sind es jedoch Tausende von Verbindungen von zahlreichen verschiedenen IPs auf einmal. Wenn Ihr Server nicht in der Lage ist, 10.000 Verbindungen auf einmal zu bewältigen, sind Sie möglicherweise anfällig für einen DDoS-Angriff.

Ohne Vorwarnung senden Hunderte oder Tausende von Rechnern (Server, Desktops und sogar mobile Geräte) gleichzeitig Datenverkehr an Ihre Website. Innerhalb von Minuten sind die Leistung und die Ressourcen Ihrer Website stark beeinträchtigt, und normale Benutzer können nicht mehr auf Ihre Website zugreifen.

Woher wissen Sie, wann ein DDoS-Angriff stattfindet?

Das Schlimmste an einem DDoS-Angriff ist, dass es keine Warnungen gibt. Einige große Hackergruppen senden Drohungen, aber in den meisten Fällen sendet ein Angreifer den Befehl zum Angriff auf Ihre Website ohne jegliche Warnung.

Da Sie normalerweise nicht auf Ihrer Website surfen, bemerken Sie erst, wenn sich Kunden beschweren, dass etwas nicht stimmt. Zunächst denken Sie wahrscheinlich nicht, dass es sich um einen DDoS-Angriff handelt, sondern dass Ihr Server oder Ihr Hosting nicht funktioniert. Sie überprüfen Ihren Server und führen grundlegende Tests durch, aber Sie werden nur eine hohe Menge an Netzwerkverkehr bei maximaler Auslastung der Ressourcen feststellen. Sie überprüfen vielleicht, ob Programme im Hintergrund laufen, aber Sie werden keine merklichen Probleme feststellen.

Zwischen der Zeit, die Sie brauchen, um zu erkennen, dass es sich um einen DDoS-Angriff handelt, und der Zeit, die zur Schadensbegrenzung benötigt wird, können mehrere Stunden vergehen. Das bedeutet mehrere Stunden verpassten Service und entgangene Einnahmen, was im Grunde genommen einen großen Einschnitt in Ihre Einnahmen bedeutet.

DDoS-Angriffs-Hinweise

Die effektivste Art, einen DDoS-Angriff zu entschärfen, ist es, sofort zu erkennen, wenn der Angriff beginnt, wann er stattfindet. Es gibt mehrere Anhaltspunkte, die darauf hinweisen, dass ein DDoS-Angriff im Gange ist:

  • Eine IP-Adresse stellt x Anfragen innerhalb von y Sekunden
  • Ihr Server antwortet mit einer 503 aufgrund von Serviceausfällen
  • Die TTL (time to live) einer Ping-Anfrage läuft aus
  • Wenn Sie dieselbe Verbindung für interne Software verwenden, Mitarbeiter bemerken Langsamkeitsprobleme
  • Log-Analyselösungen zeigen eine enorme Spitze im Datenverkehr

Die meisten dieser Anzeichen können verwendet werden, um ein Benachrichtigungssystem zu automatisieren, das eine E-Mail oder eine SMS an Ihre Administratoren sendet.

Loggly kann solche Warnungen auf der Grundlage von Protokollereignissen und definierten Schwellenwerten senden und diese Warnungen sogar an Tools wie Slack, Hipchat oder PagerDuty weiterleiten.

Zu viele Anfragen für eine IP

Sie können den Router vorübergehend so einrichten, dass er Datenverkehr von bestimmten IPs an NULL-Routen sendet. Dadurch werden die angreifenden IP-Adressen ins Leere oder in eine Sackgasse geschickt, so dass sie Ihre Server nicht beeinträchtigen können. Dies ist etwas schwierig, da Sie beim Versuch, den Angriff zu stoppen, leicht eine legitime IP-Adresse blockieren können. Ein weiteres Problem besteht darin, dass die Quell-IP-Adresse in der Regel gefälscht ist, so dass die Verbindung zwischen Ihrem Server und dem Quellcomputer nie zustande kommt.

Das Einstellen von Warnungen durch die Firewall oder das System zur Verhinderung oder Erkennung von Eindringlingen kann schwierig sein, da auch hier einige legitime Bots als Angriff gewertet werden. Die Konfiguration und die Einstellungen hängen auch von Ihrem System ab.

Im Großen und Ganzen möchten Sie eine Warnung einstellen, die ausgelöst wird, wenn ein Bereich von IP-Adressen zu viele Verbindungsanfragen innerhalb eines kleinen Zeitfensters sendet. Wahrscheinlich müssen Sie bestimmte IP-Adressen auf die Whitelist setzen, weil z. B. der Googlebot Ihre Website sehr schnell und häufig crawlt. Es wird einige Zeit dauern, bis diese Warnung richtig funktioniert, denn Sie wollen ja, dass einige Bots und Skripte laufen, die ein falsches positives Ergebnis an Ihr Warnsystem senden könnten.

Server antwortet mit 503

In Windows können Sie Warnungen planen, wenn ein bestimmtes Ereignis in der Ereignisanzeige eintritt. Sie können eine beliebige Aufgabe an ein Ereignis anhängen, einschließlich Fehlern, Warnungen oder anderen Ereignissen, die Ihnen helfen können, ein Problem zu entschärfen, bevor es zu einer kritischen Situation wird.

Um eine Aufgabe an ein 503-Ereignis anzuhängen, müssen Sie zunächst das Ereignis in der Ereignisanzeige finden. Öffnen Sie die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf das Ereignis.

Dadurch wird ein Konfigurationsbildschirm geöffnet, in dem Sie das Ereignis so konfigurieren können, dass eine E-Mail an einen Administrator oder an ein Team von Personen gesendet wird.

Wenn Sie mehrere Server haben, ist es effizient, einen ähnlichen Alarm mit Loggly einzurichten:

TTL Times Out

Sie können Ihre Server manuell anpingen, um die Bandbreite und die Verbindung zu testen, aber das hilft nicht, wenn Sie einen Alarm automatisieren wollen, bevor er kritisch wird. Wenn Sie den Server anpingen, wissen Sie bereits, dass etwas nicht stimmt.

Um Ping-Warnungen zu automatisieren, bieten mehrere Dienste im Internet die Möglichkeit, Ihre Website von überall auf der Welt anzupingen. Der Dienst pingt Ihre Website von verschiedenen Regionen rund um den Globus in einer von Ihnen konfigurierten Frequenz an. Wenn Sie Cloud-Hosting betreiben, kann es sein, dass in einer Region ein Problem auftritt, in einer anderen aber nicht. Daher helfen Ihnen diese Ping-Dienste, Probleme an bestimmten Orten zu erkennen.

Ein paar Ping-Dienste sind hier aufgeführt. Mit diesen Diensten wird Ihre Website rund um die Uhr überwacht, so dass Ihr IT-Team reagieren kann, falls Probleme auf Ihrem Server auftreten. Da ein DDoS-Angriff Ihre Bandbreite auffrisst, ist die Ping-Zeit zu lang oder bricht ab. Der Dienst sendet eine Warnung an Ihr Team, so dass es mit Entschärfungstechniken beginnen und das Problem beheben kann.

Log-Management-Systeme und DDoS-Angriffsüberwachung

Lösungen wie Loggly zeigen Ihre Verkehrsstatistiken über Ihren gesamten Stack an und helfen Ihnen, rund um die Uhr festzustellen, ob es irgendwelche Anomalien gibt. Mit Loggly können Sie einen laufenden Angriff erkennen und Warnmeldungen an Ihre Administratoren senden. Der Vorteil dieser Protokolle besteht darin, dass Sie nicht nur Verkehrsspitzen erkennen können, sondern auch die betroffenen Server, die an Ihre Benutzer zurückgegebenen Fehler und das genaue Datum und die Uhrzeit des Auftretens der Verkehrsspitzen. Analysetools sagen Ihnen nicht nur, dass es ein Problem gibt. Sie sagen Ihnen auch, welche Server betroffen sind, um Ihnen Zeit bei der Fehlersuche zu ersparen.

Mit Protokollverwaltungssystemen haben Sie einige weitere Vorteile gegenüber anderen Lösungen. Sie können Warnungen für jede Art von Ereignis einstellen, was diese Art von System viel flexibler macht als eine Warnung nur für den Datenverkehr.

Sie können Ihre Warnungen auch viel granularer gestalten. Bei einer Warnung, die auf einer IP an Ihrer Firewall basiert, werden Sie beispielsweise mehrere Fehlalarme erhalten, bis Sie Ihre Warnkonfigurationen so anpassen, dass nur verdächtige IPs erfasst werden. Mit Loggly können Sie Ihre Warnungen auf der Grundlage einer Kombination von Ereignissen und Datenverkehrsspitzen einstellen, so dass Sie nur die Anomalien erhalten, die das IT-Personal stören sollten, so dass es schnell reagieren kann.

Eine Anmerkung zu Warnungen: Zu viele von ihnen können einen gegenteiligen Effekt auf IT-Teams haben. Nehmen wir an, Sie haben Ihr System so eingestellt, dass es bei verschiedenen Anomalien, die in der Regel harmlos sind, Warnmeldungen sendet. Ihr Team erhält täglich Hunderte von Warnungen, die auf diesen Konfigurationen basieren. Bei einer Flut von harmlosen Ereignissen neigen die IT-Mitarbeiter dazu, alle zu ignorieren, auch die wichtigen. Das ist nicht beabsichtigt, aber wenn man täglich Hunderte von Warnungen erhält, können die wichtigen untergehen, und das Ergebnis ist, dass die IT-Abteilung während eines kritischen Ausfalls einen Fehler macht.

Wappnen Sie sich gegen DDoS

DDoS-Ereignisse sind schwierig, aber im Grunde ein großes Sicherheitsproblem für Administratoren. Aber mit etwas Automatisierung und Warnungen können Sie die richtigen proaktiven Benachrichtigungen auslösen, die die Zeit begrenzen, die benötigt wird, um einen DDoS-Angriff zu identifizieren und zu stoppen.

Nachdem Sie nun gelernt haben, wie man DDoS überwacht und wie man erkennt, ob man angegriffen wird, melden Sie sich für eine KOSTENLOSE Testversion von Loggly an, für die keine Kreditkarte erforderlich ist, und sehen Sie sich die Leistung von Anwendungen, das Systemverhalten und ungewöhnliche Aktivitäten im gesamten Stack an. Überwachen Sie Ihre wichtigsten Ressourcen und Metriken und beseitigen Sie Probleme, bevor sie sich auf Ihren Server und Ihre Benutzer auswirken.
>> Melden Sie sich jetzt für eine kostenlose Testversion von Loggly an

Die Warenzeichen, Dienstleistungsmarken und Logos von Loggly und SolarWinds sind das ausschließliche Eigentum von SolarWinds Worldwide, LLC oder seiner Tochtergesellschaften. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.