Dieser Blogbeitrag wurde von Anupam Vij, Principal PM Manager, und Syed Pasha, Principal Network Engineer, Azure Networking verfasst.

In der zweiten Hälfte des Jahres 2021 hat die Welt in Bezug auf Komplexität und Häufigkeit ein nie dagewesenes Maß an Distributed-Denial-of-Service-Aktivitäten (DDoS) erlebt. Die Gamingbranche war möglicherweise am schwersten betroffen, da DDoS-Angriffe das Gameplay von Blizzard-Spielen¹, Titanfall², Escape from Tarkov³, Dead by Daylight⁴ und Final Fantasy 14⁵ störten. Voice-over-IP-Anbieter (VoIP) wie Bandwidth.com⁶, VoIP Unlimited⁷ und VoIP.ms⁸ erlitten Ausfälle nach erpresserischen DDoS-Angriffen. In Indien konnte während der Feiertage im Oktober⁹ eine 30-fache Steigerung von DDoS-Angriffen beobachtet werden, die auf mehrere Breitbandanbieter abzielten. Dies zeigt, dass Feiertage tatsächlich eine attraktive Zeit für Cyberkriminelle sind. Wie im 2021 Microsoft Digital Defense Report erläutert, ist es aufgrund der Verfügbarkeit von DDoS-Dienstleistungen („DDos-for-Hire“) und der niedrigen Kosten (nur etwa 300 US-Dollar pro Monat) ausgesprochen einfach, ohne besondere Vorkenntnisse oder Voraussetzungen gezielte DDoS-Angriffe durchzuführen.

Trotz der sich ständig weiterentwickelnden Cyberbedrohungen konnte das Azure DDoS Protection-Team bei Microsoft einige der größten DDoS-Angriffe erfolgreich entschärfen, die die Azure-Plattform und die ganze Welt bisher erlebt haben. In diesem Rückblick erzählen wir von den Trends bei DDoS-Angriffen, die wir in der zweiten Hälfte des Jahres 2021 beobachten konnten, und teilen unsere gewonnenen Erkenntnisse.

Im August wurde die höchste Anzahl von Angriffen verzeichnet

Microsoft hat durchschnittlich 1.955 Angriffe pro Tag entschärft, was einem Anstieg von 40 Prozent im Vergleich zur ersten Jahreshälfte 2021 entspricht. Der Tag, an dem die Höchstzahl von Angriffen verzeichnet wurde, war der 10. August 2021 mit 4.296 Angriffen. Insgesamt hat Microsoft in der zweiten Jahreshälfte 2021 mehr als 359.713 individuelle Angriffe auf unsere globale Infrastruktur entschärft, was einem Anstieg von 43 Prozent gegenüber der ersten Jahreshälfte 2021 entspricht.

Interessanterweise kam es während der Feiertage am Jahresende zu weniger Angriffen als in den vorherigen Jahren. Im dritten Quartal wurden mehr Angriffe durchgeführt als im vierten Quartal, wobei die meisten Angriffe im August erfolgten. Dies kann darauf hindeuten, dass Angreifer*innen beginnen, ihre Aktivitäten über das ganze Jahr zu streuen. Die Weihnachtszeit wäre damit nicht mehr die DDoS-Hochsaison. Dies verdeutlicht die Wichtigkeit von DDoS-Schutz während des ganzen Jahres und nicht nur in Zeiten von Spitzenlasten.

Microsoft hat einen Angriff mit 3,47 TBit/s und zwei weitere mit mehr als 2,5 TBit/s entschärft.

Im letzten Oktober hat Microsoft einen DDoS-Angriff mit 2,4 Terabyte pro Sekunde (TBit/s) auf Azure gemeldet und erfolgreich entschärft. Seitdem haben wir drei weitere größere Angriffe abgeschwächt.

Im November hat Microsoft einen DDoS-Angriff mit einem Durchsatz von 3,47 TBit/s und einer Paketrate von 340 Millionen Paketen pro Sekunde (PPS) entschärft, der auf einen Azure-Kunden in Asien abzielte. Unserer Ansicht nach war dies der größte gemeldete Angriff der Geschichte.

Es handelte sich um einen verteilten Angriff aus ca. 10.000 Quellen und mehreren Ländern weltweit, einschließlich der USA, China, Südkorea, Russland, Thailand, Indien, Vietnam, Iran, Indonesien und Taiwan. Angriffsvektoren waren UDP-Reflection auf Port 80 mithilfe des Simple Service Discovery Protocol (SSDP), des Connection-less Lightweight Directory Access-Protokolls (CLDAP), dem Domain Name System (DNS) und des Network Time Protocol (NTP), der eine einzige Spitze aufwies. Der gesamte Angriff dauerte ca. 15 Minuten.

Im Dezember haben wir in Asien zwei weitere Angriffe mit mehr als 2,5 TBit/s abgeschwächt. Der erste war ein UDP-Angriff mit 3,25 TBit/s über Ports 80 und 443, der sich über mehr als 15 Minuten erstreckte und vier Hauptspitzen aufwies: die erste mit 3,25 TBit/s, die zweite mit 2,54 TBit/s, die dritte mit 0,59 TBit/s und die vierte mit 1,25 TBit/s. Der zweite Angriff erfolgte über eine UDP-Überflutung auf Port 443 mit 2,55 TBit/s und einer einzelnen Spitze. Der gesamte Angriff dauerte nur etwas mehr als fünf Minuten.

In solchen Fällen müssen sich unsere Kunden keine Gedanken über den Schutz ihrer Workloads in Azure machen. Bei lokalen Workloads wäre dies anders. Azure DDoS Protection basiert auf verteilten DDoS-Erkennungs- und -Entschärfungspipelines und kann erheblich skalieren, um eine Höchstzahl an DDoS-Angriffen zu absorbieren und unseren Kunden das benötigte Maß an Schutz zu bieten. Der Dienst setzt auf eine schnelle Erkennung und Entschärfung großer Angriffe, indem er unsere Infrastruktur an vielen Stellen im globalen Microsoft-Netzwerk kontinuierlich überwacht. Datenverkehr wird mithilfe von Traffic Scrubbing am Edge des Azure-Netzwerks gefiltert, bevor er die Verfügbarkeit von Diensten beeinträchtigen kann. Wenn wir feststellen, dass es sich um ein erhebliches Angriffsvolumen handelt, nutzen wir unsere weltweiten Azure-Standorte, um den Angriff an dem Ort zu entschärfen, von dem er ausgeht.

Kurze Burst- und Mehrvektorangriffe bleiben weit verbreitet, obwohl mehr Angriffe länger dauern

Wie in der ersten Jahreshälfte 2021 waren die meisten Angriffe kurzlebig, wobei der Anteil der Angriffe, die höchstens 30 Minuten dauerten, in der zweiten Jahreshälfte von 74 auf 57 Prozent sank. Wir haben einen Anstieg der Angriffe verzeichnet, die länger als eine Stunde dauerten, wobei die Steigerung von 13 auf 27 Prozent einer Verdopplung der Häufigkeit entspricht. Angriffe mit mehreren Vektoren herrschen weiterhin vor.

Es ist wichtig zu beachten, dass längere Angriffe von Kunden in der Regel als Abfolge mehrerer kurzer, wiederholter Burstangriffe wahrgenommen werden. Ein solches Beispiel ist der entschärfte Angriff mit 3,25 TBit/s, der aus vier aufeinanderfolgenden, kurzlebigen Bursts bestand, die jeweils innerhalb weniger Sekunden auf mehrere Terabyte skalierten.

UDP-Spoofingangriffe dominieren und überfluten die Gamingbranche

UDP-Angriffe stellten in der zweiten Hälfte 2021 mit 55 Prozent aller Angriffe den größten Vektor dar. Dies entspricht einem Anstieg von 16 Prozent im Vergleich zum ersten Halbjahr 2021. Gleichzeitig sind TCP-Angriffe von 54 auf nur 19 Prozent gesunken. Floodingangriffe mit UDP-Spoofing waren der häufigste Angriffstyp (55 %), gefolgt von TCP-ACK-Floodingangriffen (14 %) und DNS-Verstärkungsangriffen (6 %).

Die Gamingbranche ist weiterhin am schwersten betroffen. Die Gamingbranche war schon immer von DDoS-Angriffen geplagt, da Spieler oft bis zum Äußersten gehen, um zu gewinnen. Wir beobachten jedoch, dass viele weitere Branchen ebenso anfällig sind, da sie eine steigende Anzahl von Angriffen verzeichnen. Bei diesen Branchen handelt es sich z. B. um das Bankwesen, die Medien, Internetdienste (Internet Service Providers, ISPs), den Einzelhandel und Lieferketten. Insbesondere während der Feiertage stellen ISPs wichtige Dienste bereit, auf denen Internettelefondienste, Onlinegaming und Medienstreaming basieren. Dies macht sie zu einem attraktiven Ziel für Angreifer*innen.

UDP wird häufig in Videospielen und Streaminganwendungen verwendet. Die meisten Angriffe auf die Gamingbranche waren Abwandlungen des Mirai-Botnetangriffs sowie UDP-Angriffe mit geringem Volumen. Eine überwiegende Mehrheit waren Floodingangriffe mit UDP-Spoofing, während ein kleiner Teil aus UDP-Reflection-Angriffen und Verstärkungsangriffen bestand (hauptsächlich SSDP, Memcached und NTP).

Sehr latenzempfindliche Workloads, wie z. B. Multiplayer-Gamingserver, können solchen kurzen UDP-Burstangriffen nicht standhalten. Ausfälle von nur wenigen Sekunden können sich auf den Spielverlauf auswirken, während Ausfälle, die länger als 10 Sekunden dauern, Gamingmatches in der Regel beenden. Für dieses Szenario hat Azure vor Kurzem die Vorschauversion des DDoS-Inlineschutzes veröffentlicht, der über virtuelle Partnernetzwerkgeräte (Network Virtual Appliances, NVAs) angeboten wird, die mit Azure Gateway Load Balancer bereitgestellt werden. Diese Lösung kann auf bestimmte Arten von Datenverkehr abgestimmt werden und Angriffe umgehend entschärfen, ohne die Verfügbarkeit oder Leistung von hochgradig latenzempfindlichen Anwendungen zu beeinträchtigen.

Erhebliche Zunahme von DDoS-Angriffen in Indien, die Asien-Pazifik-Region weiterhin bei Angreifer*innen beliebt

Mit 54 Prozent bleiben die USA weiterhin das bei Angreifer*innen beliebteste Ziel. Wir haben einen starken Anstieg bei Angriffen in Indien beobachtet, von nur zwei Prozent aller Angriffe in der ersten Hälfte des Jahres 2021 auf Platz 2 weltweit mit 23 Prozent aller Angriffe in der zweiten Jahreshälfte 2021. Asien-Pazifik-Region (Hongkong) bleibt ein beliebter Hotspot für Angreifer*innen (8 %). Interessanterweise ist im Vergleich zu anderen Regionen ein Rückgang der DDoS-Aktivität in Europa zu verzeichnen, und zwar von 19 Prozent in der ersten Hälfte des Jahrs 2021 auf 6 Prozent in der zweiten Jahreshälfte.

Die Angriffsdichte in Asien lässt sich größtenteils durch die hohe Gamingnachfrage¹⁰ erklären, insbesondere in China, Japan, Südkorea, Hongkong und Indien. Diese Nachfrage wächst weiter, da die zunehmende Marktdurchdringung von Smartphones die Beliebtheit von Handyspielen in Asien enorm steigert. In Indien ist die Beschleunigung der digitalen Transformation möglicherweise ein weiterer ausschlaggebender Faktor. Die Initiative „Digital India“¹¹ hat z. B. die Gefährdung der Region durch Cyberrisiken erhöht.

Vor neuen Angriffsvektoren geschützt

Während der Feiertage von Oktober bis Dezember mussten wir uns gegen neue TCP-PUSH-ACK-Floodingangriffe wehren, die in der Asien-Pazifik-Region, genauer gesagt in Hongkong, Südkorea und Japan, vorherrschten. Dabei haben wir bei Angreifer*innen eine neue Technik zur Manipulation der TCP-Optionen beobachtet, mit der Server mit riesigen Nutzlasten überflutet werden können. Bei dieser Angriffsvariante ist die TCP-Option länger als der Optionsheader selbst.

Dieser Angriff wurde automatisch und ohne Eingreifen von unserer Seite von unserer Plattformlogik zur erweiterten Erkennung und Entschärfung von Paketanomalien entschärft, ohne jegliche Auswirkungen auf Kunden.

Schützen Sie Ihre Workloads mit Microsoft vor DDoS-Angriffen

Ein neues Zeitalter der Digitalisierung rückt näher. Die zunehmende, weltweite Verbreitung von 5G und IoT sowie die immer häufigere Anwendung von Onlinestrategien in immer mehr Branchen führen dazu, dass die Bedrohung durch Cyberangriffe weiter wächst. Wir haben selbst erlebt, dass DDoS-Angriffe jetzt auch außerhalb der Feiertage überhandnehmen. Daher ist es entscheidend für Unternehmen, eine das ganze Jahr über stabile Antwortstrategie für DDoS-Angriffe zu haben.

Das Azure DDoS Protection-Team bei Microsoft schützt die gesamte Hardware von Microsoft sowie die komplette Azure-Infrastruktur. Unsere Vision ist es, alle internetseitigen Workloads in Azure in allen Schichten des Netzwerkstapels vor allen bekannten DDoS-Angriffen zu schützen.

Umfassender Schutz mit DDoS Protection Standard und der Web Application Firewall von Application Gateway

In Kombination mit DDoS Protection Standard bietet die Web Application Firewall (WAF) von Application Gateway oder eine Web Application Firewall eines Drittanbieters, die in einem virtuellen Netzwerk mit einer öffentlichen IP-Adresse bereitgestellt wird, umfassenden Schutz vor Angriffen auf Web- und API-Ressourcen, die in L3–L7 erfolgen. Dies funktioniert auch, wenn Sie Azure Front Door zusammen mit der WAF von Application Gateway einsetzen oder wenn sich Ihre Back-End-Ressourcen in Ihrer lokalen Umgebung befinden.

Wenn Sie PaaS-Webanwendungsdienste in Azure App Service oder Azure SQL-Datenbank ausführen, können Sie Ihre Anwendung hinter einer Application Gateway-Instanz und einer WAF hosten und DDoS Protection Standard in dem virtuellen Netzwerk aktivieren, das die Application Gateway-Instanz und die WAF enthält. In diesem Szenario ist die Webanwendung selbst nicht direkt an das öffentliche Internet angebunden, sondern wird durch die WAF von Application Gateway und DDoS Protection Standard geschützt. Um die potenzielle Angriffsfläche zu minimieren, sollten Sie die Webanwendung auch so konfigurieren, dass nur Datenverkehr von der öffentlichen Application Gateway-IP-Adresse akzeptiert wird, während unerwünschte Ports blockiert werden.

Verwenden Sie DDoS-Inlineschutz für latenzempfindliche Workloads

Für hochgradig latenzempfindliche Workloads, die kurzen DDoS-Burstangriffen nicht standhalten können, haben wir vor Kurzem die Vorschau des DDoS-Inlineschutzes veröffentlicht, die über mit Azure Gateway Load Balancer bereitgestellte Partner-NVAs angeboten wird. Der DDoS-Inlineschutz entschärft sogar kurze DDoS-Burstangriffe mit geringem Volumen umgehend, ohne die Verfügbarkeit oder Leistung von hochgradig latenzempfindlichen Anwendungen zu beeinträchtigen.

Optimieren Sie SecOps mit Azure Firewall Manager

DDoS Protection Standard wird automatisch so optimiert, dass alle öffentlichen IP-Adressen in virtuellen Netzwerken geschützt werden, z. B. diejenigen, die zu eine IaaS-VM, einem Lastenausgleich (klassische und dem Standard entsprechende Lastenausgleiche), zu Application Gateway und zu Azure Firewall Manager gehören. Neben der Verwaltung von Azure Firewall-Richtlinien unterstützt Azure Firewall Manager, ein Dienst für die Verwaltung der Netzwerksicherheit, jetzt auch die Verwaltung von DDoS Protection Standard für Ihre virtuellen Netzwerke. Wenn Sie DDoS Protection Standard in einem virtuellen Netzwerk aktivieren, werden Azure Firewall und alle öffentlichen Endpunkte im virtuellen Netzwerk geschützt.

Weitere Informationen zu Azure DDoS Protection Standard

•    Azure DDoS Protection Standard: Produktseite
•    Azure DDoS Protection Standard: Dokumentation
•    Azure DDoS Protection Standard: Referenzarchitekturen
•    DDoS Protection: Best Practices
•    Azure DDoS Rapid Response
•    DDoS Protection Standard: Preise und SLA

---

¹ Blizzard games hit with late-night DDoS attack | Digital Trends

² After years of struggling against DDoS attacks, Titanfall is being removed from sale | PC Gamer

³ 'Escape From Tarkov' suffers sustained server issues in possible DDoS attacks | NME

⁴ Dead by Daylight streamers are being DDoS attacked

⁵ 'Final Fantasy 14' EU servers affected by DDoS attack | NME

⁶ Bandwidth CEO confirms outages caused by DDoS attack | ZDNet

⁷ DDoS Attack Hits VoIP and Internet Provider VoIP Unlimited Again UPDATE2 | ISPreview UK

⁸ VoIP company battles massive ransom DDoS attack | ZDNet

⁹ 30-fold increase in DDoS cyber attacks in India in festive season | Ahmedabad Mirror

¹⁰ Gaming industry in Asia Pacific - statistics & facts | Statista

¹¹ Di-Initiatives | Digital India Programme | Ministry of Electronics and Information Technology (MeitY) Government of India