Was ist ein QUIC-Flood-DDoS-Angriff?

Eine QUIC-Flood ist ein DDoS-Angriff (Distributed Denial of Service), der einen Zielserver mit Daten überlastet. Gesendet werden diese über das QUIC-Protokoll. Da Ressourcen verwendet werden, die große Mengen an QUIC-Daten verarbeiten, wird die Performance des Zielservers verlangsamt. Letztendlich kann er so zum Absturz gebracht werden. QUIC-Flood-Angriffe lassen sich nur schwer abwehren, da sie auf UDP-Pakete zurückgreifen. Diese enthalten nur sehr wenige Details, die der Zielserver nutzen kann, um den Angriff zu blockieren. QUIC-Floods verschlüsseln auch Paketdaten. Dadurch wird es schwierig zu ermitteln, ob ein Paket legitim ist oder nicht.

Bei einem DDoS-Angriff versucht ein Angreifer, einen Server, eine Website oder ein Netzwerk zu stören oder zum Absturz zu bringen, indem er das Ziel mit enormen Mengen von unerwünschtem oder unrechtmäßigem Traffic überlastet. Dazu verwendet der Angreifer ein Botnet – eine Sammlung von Tausenden oder Millionen von Geräten, die mit Malware infiziert wurden, wodurch der Angreifer diese kontrollieren kann. Wenn Angreifer diese kompromittierten Maschinen anweisen, riesige Trafficmengen an ein Zielgerät zu senden, verbraucht das Gerät schließlich seine Ressourcen oder nutzt alle Verbindungen, um schädlichen Traffic zu verarbeiten oder darauf zu reagieren. Dies kann zu einem Absturz des Geräts oder zu einer langsameren Performance führen, sodass es nicht mehr auf legitimen Traffic und legitime Nutzer reagieren kann.

QUIC ist ein neues verschlüsseltes, verbindungsorientiertes Transportprotokoll. Es wurde von Google entwickelt, um schnellere und sicherere Internetverbindungen zu ermöglichen. Potenziell soll es das TCP-Transportprotokoll und die TLS-Verschlüsselungsprotokolle ersetzen. QUIC basiert auf dem User Datagram Protocol (UDP) und ist als Transportprotokoll mit geringer Latenz für Anwendungen und Services konzipiert, die auf schnelle Onlineverbindungen angewiesen sind. Um schnellere Onlineverbindungen zu ermöglichen, ersetzt QUIC den zeitaufwändigen dreiseitigen TLS-Handshake (der zum Aufbau einer TLS-Verbindung verwendet wird) durch einen einzigen Handshake. QUIC greift auf Multiplexing zurück, um mehrere Datenströme gleichzeitig zu senden. Auf diese Weise wird die Latenz durch potenziellen Datenverlust und herkömmliche HTTP-Anfrage-/Antwortlogik reduziert. QUIC verschlüsselt automatisch alle Daten, indem TLS-Verschlüsselung in den Standardkommunikationsprozess integriert wird.

Das QUIC-Protokoll ist besonders anfällig für DDoS-Reflection-Angriffe. Bei dieser Technik wird die IP-Adresse des Zielservers vorgetäuscht, wenn Informationen von mehreren Servern abgefragt werden. Sobald die Server reagieren, werden alle Daten an das Zielsystem und nicht an die Geräte der Angreifer übertragen. Bei einem QUIC-Reflection-Angriff verwenden Angreifer die „hello“-Nachricht, die eine QUIC-Verbindung initiiert. Da das QUIC-Protokoll das UDP-Transportprotokoll mit TLS-Verschlüsselung kombiniert, muss der Zielserver sein TLS-Zertifikat in seiner Antwort enthalten. Dies führt dann zu einer ersten Antwort, die viel größer ist als die erste Nachricht des Angreifers. Wenn dies mit einer Vielzahl von Antworten multipliziert wird, kann der Zielserver durch große Mengen unerwünschter Daten überlastet werden.

QUIC-Flood-Angriffe können den Geschäftsbetrieb erheblich beeinträchtigen, insbesondere solche, die stark auf Onlineservices und -anwendungen angewiesen sind. Wenn ein Server durch eine Flut von QUIC-Daten überfordert wird, kann dies zu einer langsameren Performance oder sogar zu Abstürzen führen. Dadurch kann es zu Ausfallzeiten für Websites, Anwendungen und Onlineservices kommen, was sich sowohl auf die Produktivität als auch auf das Kundenerlebnis auswirkt.

So können beispielsweise Transaktionsprozesse auf E-Commerce-Plattformen unterbrochen werden. Dies führt dann zu Umsatzverlusten und unzufriedenen Kunden. In ähnlicher Weise können Onlineserviceanbieter, wie Streamingplattformen oder cloudbasierte Softwareservices, mit Unterbrechungen konfrontiert sein, die ihre Nutzer und ihren Ruf beeinträchtigen.

Branchen, in denen Betriebsabläufe in hohem Maße vom Internet abhängen, sind am stärksten von QUIC-Flood-Angriffen bedroht. Dazu gehören der E-Commerce-, Finanz- und Technologiesektor. E-Commerce-Unternehmen sind besonders anfällig, da sie ausschließlich online tätig sind. Ein erfolgreicher QUIC-Flood-Angriff könnte aufgrund von unterbrochenen Transaktionen und Umsatzverlusten zu erheblichen finanziellen Verlusten führen.

Auch der Finanzsektor, einschließlich Onlinebanking und FinTech-Unternehmen, ist gefährdet. Diese Unternehmen verarbeiten vertrauliche Kundendaten und verlassen sich darauf, dass ihre Services rund um die Uhr verfügbar sind. Jede Unterbrechung könnte nicht nur zu finanziellen Verlusten führen, sondern auch das Vertrauen der Kunden schädigen.

QUIC-Flood-Angriffe können als eine Form von Verstärkungsangriffen gesehen werden, wobei eine kleine Eingabe verwendet wird, um eine große, störende Ausgabe zu erzeugen. Sie instrumentalisieren die Verwendung von UDP innerhalb des QUIC-Protokolls – ähnlich wie DNS- und ICMP-Protokolle, die ebenfalls anfällig für Verstärkungsangriffe sind.

Die Authentifizierung spielt eine entscheidende Rolle bei der Abwehr solcher Angriffe. Indem Unternehmen die Quelle des Traffics überprüfen, können sie schädliche Pakete herausfiltern. Die Verschlüsselung, die bei QUIC-Flood-Angriffen zum Einsatz kommt, erschwert dies jedoch.

Alle DoS-Angriffe, und das schließt QUIC-Flood-Angriffe ein, zielen darauf ab, ein System mit Traffic zu überlasten und es dadurch unverfügbar zu machen. Firewalls können diese Angriffe abwehren, indem sie den eingehenden Traffic überwachen und verdächtige Aktivitäten blockieren. Die Effektivität herkömmlicher Firewalls ist jedoch aufgrund der Verschlüsselung des QUIC-Traffics begrenzt. Dies unterstreicht die Notwendigkeit fortschrittlicher Sicherheitsmaßnahmen, wie DDoS-Abwehrservices, die auch komplexe Angriffe wie QUIC-Floods bewältigen können.

Sicherheitsteams können QUIC-Flood-Angriffe verhindern oder abschwächen, indem sie mehrere Best Practices befolgen.

• Ratenbeschränkung. Mechanismen zur Ratenbeschränkung können die Anzahl von QUIC-Paketen einschränken, die von einer einzelnen Quell-IP-Adresse oder einem bestimmten Subnetz zulässig sind.
• Mindestgröße für anfängliche Clientnachrichten. Wenn Sie eine Mindestgröße für die anfängliche „hello“-Nachricht festlegen, müssen Angreifer beträchtlich große Bandbreiten nutzen, um gefälschte „hello“-Nachrichten zu senden. Dies lässt sie möglicherweise vor einem Angriff zurückschrecken.
• DDoS-Abwehrservices. Sicherheitsteams können einen DDoS-Abwehrservice beauftragen, der gleichzeitig verschiedene Techniken zur Erkennungsabwehr und Zugriff auf Netzwerke bietet, die groß genug sind, um die größten DDoS-Angriffe abzufangen.

Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Indem wir Entscheidungen, Anwendungen und Erlebnisse besser an die Bedürfnisse der Nutzer anzupassen – und Angriffe und Bedrohungen besser abzuwehren – machen wir die Netzwerke unserer Kunden schnell, intelligent und sicher.

Unsere End-to-End-DDoS- und DoS-Schutzlösungen bieten einen ganzheitlichen Ansatz, der als erste Verteidigungslinie dient. Mit Strategien zu dedizierter Edge, verteiltem DNS und Netzwerk-Cloud-Strategien verhindern unsere Anti-DDoS-Technologien Kollateralschäden und Single Points of Failure. So bieten wir unseren Kunden eine höhere Ausfallsicherheit, dedizierte Scrubbing-Kapazität und eine hochwertige Abwehr von Risiken.

App & API Protector bietet einen ganzheitlichen Satz leistungsstarker Schutzmaßnahmen mit kundenorientierter Automatisierung. Diese Lösung bietet einige der fortschrittlichsten Automatisierungsmethoden für die Anwendungssicherheit, die derzeit auf dem Markt erhältlich sind, ist aber dennoch einfach zu bedienen. Eine neue adaptive Sicherheits-Engine und branchenführende Kerntechnologien ermöglichen DDoS-Schutz, API-Sicherheit, Bot-Abwehr und eine Web Application Firewall in einer nutzerfreundlichen Lösung. 

Prolexic stoppt DDoS-Angriffe jeder Größe mit schneller, hocheffektiver Abwehr. Prolexic bietet ein Null-Sekunden-SLA für die DDoS-Abwehr, reduziert proaktiv Angriffsservices und passt die Risikominderungskontrollen an den Netzwerk-Traffic an, um Angriffe sofort zu blockieren. Ein vollständig verwaltetes SOCC ergänzt Ihre bestehenden Cybersicherheitsprogramme und hilft Ihnen, die Zeit bis zur Lösung durch bewährte Nutzererlebnisse zu erhöhen.

Edge DNS verhindert DNS-Ausfälle mit der größten Edge-Plattform, damit Unternehmen sich auf eine garantierte, unterbrechungsfreie DNS-Verfügbarkeit verlassen können. Edge DNS ist eine cloudbasierte Lösung, die täglich rund um die Uhr die Verfügbarkeit von DNS gewährleistet sowie gleichzeitig die Reaktionsfähigkeit verbessert und vor den größten DDoS-Angriffen schützt.

• Was ist DoS-Schutz?
• Was ist ein ICMP‑Flood‑Angriff?
• Was ist ein Memcached-DDoS-Angriff?
• Was sind SYN-Flood-DDoS-Angriffe?
• Was ist ein Slowloris-DDoS-Angriff?
• Was ist ein UDP-Flood-DDoS-Angriff?
• Was ist ein DDoS-Angriff auf Anwendungsebene?
• Was ist ein DNS-Verstärkungsangriff?
• Was ist ein SSDP-DDoS-Angriff?
• Was ist ein CLDAP-Reflection-DDoS-Angriff?