DDoS-Angriffe verstehen: ein Leitfaden für WordPress-Administratoren

Veröffentlicht: 2019-10-10

Ein Distributed Denial of Service (DDoS) ist eine Art von Denial of Service (DoS)-Angriff, bei dem der Angriff von mehreren Hosts und nicht nur von einem Host ausgeht, was es sehr schwierig macht, sie zu blockieren. Wie bei jedem DoS-Angriff besteht das Ziel darin, ein Ziel unzugänglich zu machen, indem es auf irgendeine Weise überlastet wird.

Im Allgemeinen sind an einem DDoS-Angriff mehrere Computer oder Bots beteiligt. Während des Angriffs sendet jeder Computer böswillig Anfragen, um das Ziel zu überlasten. Typische Ziele sind Webserver und Websites, einschließlich WordPress-Websites. Infolgedessen können Benutzer nicht auf die Website oder den Dienst zugreifen. Dies geschieht, weil der Server gezwungen ist, seine Ressourcen ausschließlich für die Bearbeitung dieser Anforderungen zu verwenden.

Für WordPress-Administratoren ist es wichtig, DDoS-Angriffe zu verstehen und darauf vorbereitet zu sein. Sie können jederzeit auftreten. In diesem Artikel werden wir DDoS eingehend untersuchen und Ihnen einige Tipps geben, wie Sie Ihre WordPress-Site schützen können.

DDoS ist ein Angriff, der auf Störungen abzielt, und kein Hack

Es ist wichtig zu verstehen, dass ein DDoS-Angriff kein bösartiger WordPress-Hack im herkömmlichen Sinne ist. Hacking bedeutet, dass sich ein nicht autorisierter Benutzer Zugriff auf einen Server oder eine Website verschafft, die er nicht haben sollte.

Ein Beispiel für einen traditionellen Hack ist, wenn ein Angreifer eine Schwachstelle im Code ausnutzt oder wenn er einen Paket-Sniffer verwendet, um WordPress-Passwörter zu stehlen. Sobald der Hacker die Zugangsdaten hat, kann er Daten stehlen oder die Website kontrollieren.

DDoS dient einem anderen Zweck und erfordert keinen privilegierten Zugriff. DDoS zielt einfach darauf ab, den normalen Betrieb des Ziels zu stören. Bei herkömmlichen Hacks möchte der Angreifer vielleicht eine Weile unbemerkt bleiben. Bei DDoS wissen Sie fast sofort, ob der Angreifer erfolgreich ist.

Verschiedene Arten von Distributed-Denial-of-Service-Angriffen

DDoS ist nicht nur eine einzelne Angriffsart. Es gibt verschiedene Varianten und alle funktionieren etwas anders unter der Haube. Unter der DDoS-Kategorie gibt es mehrere Unterkategorien, in die Angriffe eingeteilt werden können. Nachfolgend sind die häufigsten aufgeführt.

Volumetrische DDoS-Angriffe

Volumetrische DDoS-Angriffe sind technisch unkompliziert: Angreifer überfluten ein Ziel mit Anfragen, um die Bandbreitenkapazität zu überlasten. Diese Angriffe zielen nicht direkt auf WordPress ab. Stattdessen zielen sie auf das zugrunde liegende Betriebssystem und den Webserver ab. Nichtsdestotrotz sind diese Angriffe für WordPress-Websites sehr relevant. Wenn die Angreifer erfolgreich sind, wird Ihre WordPress-Site während der Dauer des Angriffs keine Seiten für legitime Besucher bereitstellen.

Spezifische DDoS-Angriffe, die in diese Kategorie fallen, umfassen:

  • NTP-Amplifikation
  • UDP-Fluten

DDoS-Angriffe auf Anwendungsebene

DDoS-Angriffe auf Anwendungsebene konzentrieren sich auf Ebene 7, die Anwendungsebene. Das bedeutet, dass sie sich auf Ihren Apache- oder NGINX-Webserver und Ihre WordPress-Website konzentrieren. Layer-7-Angriffe bekommen mehr für ihr Geld , wenn es um den angerichteten Schaden im Verhältnis zur aufgewendeten Bandbreite geht.

Um zu verstehen, warum das der Fall ist, gehen wir ein Beispiel für einen DDoS-Angriff auf die WordPress-REST-API durch. Der Angriff beginnt mit einer HTTP-Anforderung, wie einem HTTP GET oder HTTP POST von einem der Host-Computer. Diese HTTP-Anforderung verwendet eine relativ geringe Menge an Ressourcen auf dem Host. Auf dem Zielserver kann es jedoch mehrere Operationen auslösen. Beispielsweise muss der Server die Anmeldeinformationen prüfen, aus der Datenbank lesen und eine Webseite zurückgeben.

In diesem Fall haben wir eine große Diskrepanz zwischen der vom Angreifer verwendeten Bandbreite und den vom Server verbrauchten Ressourcen. Diese Ungleichheit wird typischerweise während eines Angriffs ausgenutzt. Spezifische DDoS-Angriffe, die in diese Kategorie fallen, umfassen:

  • HTTP-Fluten
  • Langsame Post-Angriffe

Protokollbasierte DDoS-Angriffe

Protokollbasierte DDoS-Angriffe folgen demselben Modell der Erschöpfung von Ressourcen wie die anderen DDoS-Angriffe. Im Allgemeinen konzentrieren sie sich jedoch auf die Netzwerk- und Transportschichten und nicht auf den Dienst oder die Anwendung.

Diese Angriffe versuchen, den Dienst zu verweigern, indem sie auf Appliances wie Firewalls oder den zugrunde liegenden TCP/IP-Stack abzielen, der auf Ihrem Server ausgeführt wird. Sie nutzen Schwachstellen darin aus, wie der Netzwerkstapel des Servers Netzwerkpakete verarbeitet oder wie die TCP-Kommunikation funktioniert. Beispiele für protokollbasierte DDoS-Angriffe sind:

  • Syn-Fluten
  • Ping des Todes

Multi-Vektor-DDoS-Angriffe

Wie zu erwarten, beschränken sich Angreifer nicht nur auf eine Angriffsart. DDoS-Angriffe verfolgen immer häufiger einen Multi-Vektor-Ansatz. Multi-Vektor-DDoS-Angriffe sind genau das, was Sie erwarten würden: DDoS-Angriffe, die mehrere Techniken verwenden, um ein Ziel offline zu schalten.

Reflexion und Verstärkung in DDoS verstehen

Zwei Begriffe, die bei DDoS-Angriffen häufig vorkommen, sind Reflektion und Amplifikation. Beides sind Techniken, die Angreifer verwenden, um DDoS-Angriffe effektiver zu machen.

Reflection ist eine Technik, bei der der Angreifer eine Anfrage mit einer gefälschten IP-Adresse an einen Drittanbieter -Server sendet. Die gefälschte IP-Adresse ist die Adresse des Ziels. Bei dieser Art von Angriffen verwenden Angreifer normalerweise eine Vielzahl von UDP-Protokollen. So funktioniert es:

  1. Der Angreifer sendet eine UDP-Anfrage mit der gefälschten IP-Adresse, sagen wir der IP Ihrer WordPress-Seite, an eine große Anzahl von Servern, die Reflektoren genannt werden.
  2. Die Reflektoren erhalten die Anfrage und antworten gleichzeitig auf die IP Ihrer WordPress-Site.
  3. Die Reflektorantworten überschwemmen Ihre WordPress-Site, überlasten sie möglicherweise und machen sie nicht verfügbar.

Die Verstärkung funktioniert ähnlich wie die Reflexion. Dies erfordert jedoch weniger Bandbreite und Ressourcen, da die an die Reflektoren gesendeten Anforderungen viel kleiner sind als die Antworten, die die Reflektoren an das Ziel senden. Es funktioniert ähnlich wie bei Distributed-Denial-of-Service-Angriffen auf Anwendungsebene.

Die Rolle von Botnets bei DDoS-Angriffen

Haben Sie sich jemals gefragt, woher Angreifer die Ressourcen bekommen, um die Angriffe zu koordinieren?

Die Antwort sind Botnetze. Ein Botnet ist ein Netzwerk oder Geräte, die durch Malware kompromittiert wurden. Dies kann ein PC, Server, Netzwerk oder Smart Device sein. Die Malware ermöglicht es Angreifern, jeden einzelnen kompromittierten Host fernzusteuern.

Bei Verwendung für DDoS führen Botnets einen koordinierten Denial-of-Service-Angriff gegen einen bestimmten Zielhost oder eine Gruppe von Hosts durch. Kurz gesagt: Botnetze ermöglichen es Angreifern, Ressourcen auf infizierten Computern zu nutzen, um Angriffe durchzuführen. Dies war beispielsweise der Fall, als im Jahr 2018 über 20.000 WordPress-Sites verwendet wurden, um DDoS-Angriffe gegen andere WordPress-Sites durchzuführen (weiterlesen).

Die Motivation hinter verteilten Denial-of-Service-Angriffen

„Warum führen Menschen DDoS-Angriffe durch?“ ist an dieser Stelle eine gute Frage. Wir haben untersucht, warum ein böswilliger Hacker in der Vergangenheit Ihre WordPress-Seite angegriffen hat, aber nur einer dieser Punkte trifft wirklich auf DDoS zu: Haktivismus. Wenn jemand mit deinem Standpunkt nicht einverstanden ist, möchte er vielleicht deine Stimme zum Schweigen bringen. DDoS bietet dazu eine Möglichkeit.

Über Hactivisim hinaus sind Cyberkriegsführung auf staatlicher Ebene oder industrielle Angriffe mit kommerziellen Motiven ebenfalls mögliche Treiber von DDoS. Und ziemlich häufig sind auch schelmische Angreifer, Teenager, die Spaß haben und DDoS verwenden, um etwas Chaos zu verursachen.

Einer der größten Motivatoren ist natürlich Geld. Angreifer können ein Lösegeld verlangen, um den Angriff auf Ihre WordPress-Website zu stoppen. Es könnte sein, dass sie kommerziell davon profitieren, wenn Ihre Website nicht verfügbar ist. Um noch einen Schritt weiter zu gehen, gibt es DDoS für Mietdienste!

Beispiele aus der Praxis für Distributed Denial of Service

Wie schwerwiegend können Distributed-Denial-of-Service-Angriffe sein? Werfen wir einen Blick auf einige berühmte DDoS-Angriffe der letzten Jahre.

GitHub (zweimal!): GitHub erlitt 1015 einen massiven Denial-of-Service-Angriff. Es schien, dass die Angriffe auf zwei Anti-Zensur-Projekte auf der Plattform abzielten. Die Angriffe beeinträchtigten die Leistung und Verfügbarkeit von GitHub für einige Tage.

2018 war GitHub dann erneut das Ziel eines DDoS-Angriffs. Diesmal nutzten die Angreifer einen auf Memcaching basierenden Angriff. Sie nutzten die Verstärkungs- und Reflexionsmethoden. Trotz der Größe des Angriffs brachten die Angreifer GitHub nur für etwa 10 Minuten zum Erliegen.

Die Nation Estland: Der April 2007 markierte den ersten bekannten Cyberangriff auf eine ganze Nation. Kurz nachdem die estnische Regierung beschlossen hatte, die Statue des Bronzesoldaten aus dem Zentrum von Tallinn auf einen Soldatenfriedhof zu verlegen, kam es zu Unruhen und Plünderungen. Gleichzeitig starteten Angreifer eine Reihe von Distributed-Denial-of-Service-Angriffen, die wochenlang andauerten. Sie wirkten sich auf Online-Banking, Medien und Regierungsdienste im Land aus.

Dyn DNS: Am 21. Oktober 2016 erlitt Dyn einen groß angelegten DDoS-Angriff. Aufgrund des Angriffs konnten die Dyn-DNS-Dienste Benutzeranfragen nicht auflösen. Infolgedessen waren Tausende von stark frequentierten Websites, darunter Airbnb, Amazon.com, CNN, Twitter, HBO und VISA, nicht verfügbar. Der Angriff wurde über eine große Anzahl von IoT-Geräten koordiniert, darunter Webcams und Babyphones.

WordPress-Tipps zum Schutz vor DDoS-Angriffen

Als einzelner WordPress-Administrator haben Sie nicht die Ressourcen und die Infrastruktur, um einen DDoS-Angriff abzuwehren. Obwohl viele WordPress-Webhoster eine Art DDoS-Angriffsminderung anbieten. Fragen Sie also danach, wenn Sie einen Hosting-Anbieter für Ihre WordPress-Website auswählen. Sie können auch eine WordPress / Web Application Firewall (WAF) & Content Delivery Network (CDN) verwenden. Wir haben WAFs und CDNs in einem Eintrag gekoppelt, da es Anbieter wie Sucuri gibt, die beides in einer einzigen Lösung anbieten.

Wenn Sie eine WAF oder ein CDN verwenden, wird der Datenverkehr zuerst vom Dienst weitergeleitet und gefiltert, bevor er auf Ihre Website gelangt. Dieses Setup kann viele Angriffe am Pass abwehren und gleichzeitig den Schaden anderer begrenzen. Einige CDNs bieten Vorteile, die die Erkennung und Reaktion auf DDoS-Angriffe ermöglichen. Da sie von Skaleneffekten in der Cloud profitieren können, können CDNs und Online-WAFs Angriffe auslagern. Sie leiten sie an Netzwerke weiter, die über viel Bandbreite und die richtigen Tools verfügen, um damit umzugehen.

Abschreckung von Hackern und DDoS-Angriffen

Wie Sie jedoch beim WordPress BruteForce Botnet gesehen haben, gibt es mehrere Best Practices für die Sicherheit, die Sie auf Ihrer WordPress-Website implementieren können, damit sie nicht die Aufmerksamkeit von Angreifern und möglicherweise DDoS-Angriffen auf sich zieht:

  • Halten Sie Ihre WordPress-Site auf dem neuesten Stand: Wenn Sie Ihren WordPress-Kern, Plugins, Themes und alle andere Software, die Sie verwenden, auf dem neuesten Stand halten, verringern Sie das Risiko, dass eine bekannte Schwachstelle gegen Sie verwendet wird. Wenn Sie Ihre Website auf dem neuesten Stand halten, verringert sich auch die Wahrscheinlichkeit, dass sie Teil eines Botnetzes wird.
  • Verwenden Sie einen Scanner, um nach Schwachstellen zu suchen: Einige DoS-Angriffe nutzen Probleme wie Slowloris aus. Diese und weitere Sicherheitslücken können durch Schwachstellenscanner erkannt werden. Wenn Sie also Ihre Website und Ihren Webserver scannen, erkennen Sie häufig Schwachstellen, die DDoS-Angriffe ausnutzen können. Es gibt eine Vielzahl von Scannern, die Sie verwenden können. Wir verwenden den nicht-intrusiven WPScan Security Scanner für WordPress-Administratoren.
  • Überprüfen Sie Protokolle, um die Sicherheit zu verbessern und Probleme zu identifizieren: WordPress-Audit-Protokolle und andere Protokolle können dabei helfen, bösartiges Verhalten frühzeitig zu erkennen. Durch Protokolle können Sie Probleme identifizieren, die durch DDoS-Angriffe verursacht werden können, wie z. B. bestimmte HTTP-Fehlercodes. Protokolle ermöglichen es Ihnen auch, die Quelle eines Angriffs aufzuschlüsseln und zu analysieren. Es gibt mehrere Protokolldateien, die WordPress-Administratoren verwenden können, um ihre Website besser zu verwalten und zu sichern.
  • Härtere Benutzerauthentifizierung: Dies könnte die letzte bewährte Methode sein, aber sie ist genauso wichtig wie alle anderen. Implementieren Sie starke WordPress-Passwortrichtlinien, um sicherzustellen, dass Ihre Website-Benutzer starke Passwörter verwenden. Installieren Sie darüber hinaus ein Zwei-Faktor-Authentifizierungs-Plugin und implementieren Sie Richtlinien, um die Zwei-Faktor-Authentifizierung obligatorisch zu machen.