Ein Distributed Denial of Service (DDoS) ist eine Art von Denial of Service (DoS)-Attacke, bei der der Angriff nicht von einem, sondern von mehreren Hosts ausgeht, was es sehr schwierig macht, sie zu blockieren. Wie bei jedem DoS-Angriff besteht das Ziel darin, ein Ziel durch Überlastung in irgendeiner Form unerreichbar zu machen und dadurch ein Unternehmen zu schädigen.
Im Allgemeinen umfasst eine DDoS-Attacke eine Reihe von Computern, so genannte Bots, in diesem Zusammenhang auch Botnetze genannt. Während des Angriffs sendet jeder Computer böswillig Anfragen, um das Ziel zu überlasten. Typische Ziele im Internet sind Webserver und Websites, einschließlich WordPress-Websites. Infolgedessen können die Benutzer nicht auf die Website oder den Dienst zugreifen. Dies geschieht, weil der Server gezwungen ist, seine Ressourcen ausschließlich zur Bearbeitung dieser Anfragen zu verwenden.
Für WordPress-Administratoren ist es wichtig, DDoS-Angriffe zu verstehen und darauf vorbereitet zu sein. Sie können zu jeder Zeit auftreten. In diesem Artikel befassen wir uns eingehend mit DDoS und geben Ihnen einige Tipps, wie Sie Ihre WordPress-Website schützen können.
DDoS ist ein Angriff, der auf Störung abzielt und nicht auf einen Hack
Es ist wichtig zu verstehen, dass es sich bei einem DDoS-Angriff nicht um einen bösartigen WordPress-Hack im herkömmlichen Sinne handelt. Hacking bedeutet, dass sich ein unberechtigter Benutzer Zugriff auf einen Server oder eine Website verschafft, den er nicht haben sollte.
Ein Beispiel für einen traditionellen Hack ist, wenn ein Angreifer eine Schwachstelle im Code ausnutzt, oder wenn er einen Packet Sniffer verwendet, um WordPress-Passwörter zu stehlen. Sobald der Hacker die Anmeldeinformationen hat, kann er Daten stehlen oder die Website kontrollieren.
DDoS dient einem anderen Zweck und erfordert keinen privilegierten Zugriff. DDoS zielt einfach darauf ab, den normalen Betrieb des Ziels zu stören. Bei herkömmlichen Hacks möchte der Angreifer möglicherweise eine Zeit lang unbemerkt bleiben. Bei DDoS erfahren Sie fast sofort, wenn der Angreifer erfolgreich ist.
Verschiedene Arten von DDoS-Attacken
DDoS ist nicht nur eine einzige Art von Angriff. Es gibt mehrere verschiedene Varianten, die unter der Haube alle ein wenig anders funktionieren. Unter der DDoS-Kategorie gibt es mehrere Unterkategorien, in die Angriffe eingeordnet werden können. Im Folgenden sind die gängigsten aufgeführt.
Volumetric DDoS-Attacken
Volumetrische DDoS-Attacken sind technisch einfach: Angreifer überfluten ein Ziel mit Anfragen, um die Bandbreitenkapazität zu überlasten. Diese Angriffe zielen nicht direkt auf WordPress ab. Stattdessen zielen sie auf das zugrunde liegende Betriebssystem und den Webserver ab. Nichtsdestotrotz sind diese Angriffe für WordPress-Websites sehr relevant. Wenn die Angreifer erfolgreich sind, wird Ihre WordPress-Site während der Dauer des Angriffs keine Seiten für legitime Besucher bereitstellen.
Zu den spezifischen DDoS-Angriffen, die in diese Kategorie fallen, gehören:
- NTP-Verstärkung (NTP amplification)
- UDP-Floods
DDoS-Attacken auf Anwendungsebene
DDoS-Attacken auf der Anwendungsschicht konzentrieren sich auf Schicht 7, die Anwendungsschicht. Das heißt, sie konzentrieren sich auf Ihren Apache- oder NGINX-Webserver und Ihre WordPress-Website. Layer-7-Angriffe haben ein größeres Aufwand-Nutzen-Verhältnis für den Angreifenden, wenn es um den angerichteten Schaden im Verhältnis zur aufgewendeten Bandbreite geht.
Um zu verstehen, warum das so ist, lassen Sie uns ein Beispiel für einen DDoS-Angriff auf die WordPress-REST-API durchgehen. Der Angriff beginnt mit einer HTTP-Anfrage, z. B. einem HTTP GET oder HTTP POST von einem der Host-Rechner. Diese HTTP-Anforderung verbraucht eine relativ triviale Menge an Ressourcen auf dem Host. Auf dem Zielserver kann es jedoch mehrere Vorgänge auslösen. Zum Beispiel muss der Server Anmeldeinformationen prüfen, aus der Datenbank lesen und eine Webseite zurückgeben.
In diesem Fall haben wir eine große Diskrepanz zwischen der vom Angreifer verwendeten Bandbreite und den vom Server verbrauchten Ressourcen. Diese Diskrepanz wird typischerweise bei einem Angriff ausgenutzt. Zu den spezifischen DDoS-Angriffen, die in diese Kategorie fallen, gehören:
- HTTP-Floods
- Langsame Postangriffe (Slow Post attacks)
Protokollbasierte DDoS-Angriffe
Protokollbasierte DDoS-Angriffe folgen dem gleichen Modell der Erschöpfung von Ressourcen wie die anderen DDoS-Angriffe. Im Allgemeinen konzentrieren sie sich jedoch auf die Netzwerk- und Transportschicht und nicht auf den Dienst oder die Anwendung.
Diese Angriffe versuchen, den Dienst zu verweigern, indem sie auf Geräte wie Firewalls oder den zugrunde liegenden TCP\IP-Stack abzielen, der auf Ihrem Server läuft. Sie nutzen Schwachstellen in der Art und Weise aus, wie der Netzwerk-Stack des Servers mit Netzwerkpaketen umgeht, oder wie die TCP-Kommunikation funktioniert. Beispiele für protokollbasierte DDoS-Angriffe sind:
Multi-Vektor-DDoS-Angriffe
Wie zu erwarten, beschränken sich die Angreifer nicht nur auf eine Art des Angriffs. Es wird immer häufiger, dass DDoS-Angriffe einen Multi-Vektor-Ansatz verfolgen. Multi-Vektor-DDoS-Attacken sind genau das, was Sie erwarten würden: DDoS-Angriffe, die mehrere Techniken verwenden, um ein Ziel offline zu schalten.
Verstehen von Reflexion und Verstärkung bei DDoS
Zwei Begriffe, die im Zusammenhang mit DDoS-Angriffen häufig auftauchen, sind Reflexion und Amplifikation. Beides sind Techniken, die Angreifer verwenden, um DDoS-Angriffe effektiver zu gestalten.
Reflection ist eine Technik, bei der der Angreifer eine Anfrage mit einer gefälschten IP-Adresse an einen Drittanbieter-Server sendet. Die gefälschte IP-Adresse ist die Adresse des Ziels. Bei dieser Art von Angriffen verwenden die Angreifer typischerweise eine Vielzahl von UDP-Protokollen. So funktioniert es:
- Der Angreifer sendet eine UDP-Anfrage mit der gefälschten IP-Adresse, z. B. der IP Ihrer WordPress-Seite, an eine große Anzahl von Servern, die Reflektoren genannt werden.
- Die Reflektoren empfangen die Anfrage und antworten gleichzeitig auf die IP Ihrer WordPress-Site.
- Die Antworten der Reflektoren überschwemmen Ihre WordPress-Site, wodurch sie möglicherweise überlastet wird und nicht mehr verfügbar ist.
Die Verstärkung funktioniert ähnlich wie die Reflexion. Dabei werden weniger Bandbreite und Ressourcen benötigt, da die an die Reflektoren gesendeten Anfragen viel kleiner sind als die Antworten, die die Reflektoren an das Ziel senden. Es funktioniert ähnlich wie bei Distributed-Denial-of-Service-Angriffen auf Anwendungsebene.
Die Rolle von Botnets bei DDoS-Angriffen
Haben Sie sich jemals gefragt, woher die Angreifer die Ressourcen für die Koordinierung der Angriffe bekommen? Die Antwort lautet: Botnets. Ein Botnet ist ein Netzwerk oder Geräte, die durch Malware kompromittiert wurden. Dies kann ein PC, ein Server, ein Netzwerk oder ein Handy sein. Die Malware ermöglicht es Angreifern, jeden einzelnen kompromittierten Host aus der Ferne zu steuern.
Wenn sie für DDoS verwendet werden, führen Botnets einen koordinierten Denial-of-Service-Angriff gegen einen bestimmten Zielhost oder eine Gruppe von Hosts durch. Kurz gesagt: Botnets ermöglichen es Angreifern, Ressourcen auf infizierten Computern zu nutzen, um Angriffe auszuführen.
Die Motivation hinter Distributed-Denial-of-Service-Angriffen
Aber warum führen Menschen DDoS-Angriffe durch? Eine mögliche Antwort ist Aktivismus. Wenn jemand mit Ihrem Standpunkt nicht einverstanden ist, möchte er vielleicht Ihre Stimme zum Schweigen bringen. DDoS bietet ein Mittel, dies zu tun.
Neben Hackerangriffen sind auch staatliche Cyber-Kriegsführung oder industrielle Angriffe mit kommerziellen Motiven mögliche Treiber von DDoS. Und ziemlich häufig sind auch schelmische Angreifer, Teenager, die Spaß haben und DDoS nutzen, um etwas Chaos zu verursachen.
Einer der größten Motivatoren ist natürlich Geld. Angreifer können ein Lösegeld verlangen, um den Angriff auf Ihre WordPress-Website zu beenden. Es könnte sein, dass sie kommerziell davon profitieren, wenn Ihre Website nicht erreichbar ist. Um noch einen Schritt weiter zu gehen, gibt es DDoS for hire services!
Beispiele aus der Praxis für Distributed Denial of Service
Wie schwerwiegend können Distributed-Denial-of-Service-Angriffe sein? Werfen wir einen Blick auf einige berühmte DDoS-Angriffe der letzten Jahre.
GitHub: GitHub wurde im Jahr 1015 Opfer eines massiven Denial-of-Service-Angriffs. Es schien, dass die Angriffe auf zwei Anti-Zensur-Projekte auf der Plattform gerichtet waren. Die Angriffe beeinträchtigten die Leistung und Verfügbarkeit von GitHub für einige Tage.
Im Jahr 2018 war GitHub dann erneut das Ziel eines DDoS-Angriffs. Diesmal nutzten die Angreifer einen Angriff auf Basis von Memcaching. Sie nutzten die Methoden der Verstärkung und Reflexion. Trotz der Größe des Angriffs brachten die Angreifer GitHub nur für etwa 10 Minuten zum Stillstand.
Dyn DNS: Am 21. Oktober 2016 wurde Dyn DNS Opfer eines groß angelegten DDoS-Angriffs. Aufgrund des Angriffs konnten die Dyn-DNS-Dienste die Benutzeranfragen nicht auflösen. Infolgedessen waren Tausende von stark frequentierten Websites, darunter Airbnb, Amazon, Twitter und VISA, nicht erreichbar. Der Angriff wurde über eine große Anzahl von IoT-Geräten koordiniert, darunter Webcams und Babyphone.
WordPress-Tipps zum Schutz vor DDoS-Angriffen
Als einzelner WordPress-Administrator haben Sie nicht die Ressourcen und die Infrastruktur, um einen DDoS-Angriff abzuwehren. Obwohl viele WordPress-Webhosts eine Art von DDoS-Angriffsabwehr anbieten. Fragen Sie also danach, wenn Sie einen Hosting-Anbieter für Ihre WordPress-Website auswählen. Sie können auch eine WordPress / Web Application Firewall (WAF) & Content Delivery Network (CDN) verwenden. Wir haben Security Plugins in einem Blogbeitrag zusammengefasst, da es Anbieter wie Sucuri gibt, die beides in einer einzigen Lösung anbieten.
Wenn Sie eine WAF oder ein CDN verwenden, wird der Datenverkehr zunächst durch den Dienst geroutet und gefiltert, bevor er auf Ihre Website gelangt. Mit dieser Einstellung können viele Angriffe abgewehrt und der Schaden anderer begrenzt werden. Einige CDNs bieten Vorteile, die die Erkennung und Reaktion auf DDoS-Angriffe ermöglichen. Da sie von Skaleneffekten in der Cloud profitieren können, können CDNs und Online-WAFs Angriffe auslagern. Sie leiten sie an Netzwerke weiter, die über genügend Bandbreite und die richtigen Tools verfügen, um sie zu verarbeiten.
Abschreckung von Hackern & DDoS-Angriffen
Wie wir jedoch beim WordPress BruteForce Botnet gesehen haben, gibt es einige bewährte Sicherheitspraktiken, die Sie auf Ihrer WordPress-Website implementieren können, damit sie nicht die Aufmerksamkeit von Angreifern und möglicherweise DDoS-Angriffen auf sich zieht:
Halten Sie Ihre WordPress-Site auf dem neuesten Stand: Wenn Sie Ihren WordPress-Kern, Plugins, Themes und alle andere von Ihnen verwendete Software auf dem neuesten Stand halten, verringert sich das Risiko, dass eine bekannte Sicherheitslücke gegen Sie verwendet wird. Wenn Sie Ihre Website auf dem neuesten Stand halten, verringert sich auch die Wahrscheinlichkeit, dass sie Teil eines Botnets wird.
Verwenden Sie einen Scanner, um nach Schwachstellen zu suchen: einige DoS-Angriffe nutzen Probleme wie Slowloris aus. Diese und andere Sicherheitslücken können von Schwachstellenscannern erkannt werden. Wenn Sie also Ihre Website und Ihren Webserver häufig scannen, identifizieren Sie Schwachstellen, die DDoS-Angriffe ausnutzen können. Es gibt eine Vielzahl von Scannern, die Sie verwenden können.
Überprüfen Sie Protokolle, um die Sicherheit zu verbessern und Probleme zu identifizieren: WordPress-Auditprotokolle und andere Protokolle können helfen, bösartiges Verhalten frühzeitig zu erkennen. Anhand der Protokolle können Sie Probleme identifizieren, die möglicherweise durch DDoS-Angriffe verursacht werden, wie z. B. bestimmte HTTP-Fehlercodes. Protokolle ermöglichen es Ihnen auch, die Quelle eines Angriffs aufzuschlüsseln und zu analysieren. Es gibt mehrere Log-Dateien, die WordPress-Administratoren verwenden können, um ihre Website besser zu verwalten und zu sichern.
Nicht notwendige Informationen unzugänglich machen: Einige WordPress-Sicherheits Plugins bieten Möglichkeiten unnötige Informationen über das Server-Betriebssystem oder WordPress abzuschalten. Wenn man die WordPress-REST-API nicht verwendet, dann kann diese auch komplett deaktiviert werden.
Verbessern Sie die Benutzerauthentifizierung: Dies mag die letzte Best Practice sein, aber sie ist genauso wichtig wie alle anderen. Implementieren Sie starke WordPress-Passwortrichtlinien, um sicherzustellen, dass die Benutzer Ihrer Website sichere Passwörter verwenden. Installieren Sie darüber hinaus ein Plugin für die Zwei-Faktor-Authentifizierung und implementieren Sie Richtlinien, um die Zwei-Faktor-Authentifizierung obligatorisch zu machen.