Was ist ein DDOS-Angriff?

DDOS steht für Distributed Denial-Of-Service. Es ist eine Art von Cyberkriminalität, bei der eine oder mehrere Parteien versuchen, den Datenverkehr eines Servers oder einer Website zu unterbrechen. Um effektiv zu sein, verwenden sie nicht nur einen Computer zum Angriff, sondern oft ein ganzes Netzwerk davon.

Dies sind jedoch nicht nur die Computer des Angreifers – es gibt Arten von Malware und Viren, die den Computer eines normalen Benutzers befallen und ihn zu einem Teil des Angriffs machen können. Auch IoT-Geräte sind nicht sicher – wenn Sie ein Smart Device zu Hause haben, könnte es theoretisch für einen solchen Angriff genutzt werden.

Wie funktioniert es?

Am einfachsten lassen sich DDOS-Angriffe erklären, indem man sie mit Staus vergleicht. Der normale Verkehrsfluss wird unterbrochen, weil Dutzende (oder Hunderte, Tausende usw.) unerwarteter Autos in die Hauptstraße einfahren, ohne andere Autos loszulassen.

Der entstehende Stau verhindert, dass normale Fahrer ihr Ziel erreichen – im DDOS-Ereignis wäre das der gesuchte Server oder die gesuchte Website.

Es gibt verschiedene Arten von Angriffen, die auf verschiedene Elemente der normalen Client-Server-Kommunikation abzielen.

Application Layer Attacks versuchen, die Ressourcen des Ziels zu erschöpfen, indem sie es zwingen, wiederholt Dateien oder Datenbankabfragen zu laden – dies verlangsamt die Site und kann im Extremfall zu Problemen mit dem Server durch Überhitzung oder erhöhten Stromverbrauch führen. Diese Angriffe sind schwer abzuwehren, da sie schwer zu erkennen sind – es ist nicht leicht zu sagen, ob ein Anstieg der Nutzung auf einen Anstieg des echten Datenverkehrs oder einen böswilligen Angriff zurückzuführen ist.

HTTP-Flood-Angriffe werden durchgeführt, indem eine Browserseite im Wesentlichen immer wieder aktualisiert wird – außer millionenfach. Diese Flut von Anfragen an einen Server führt oft dazu, dass dieser überfordert ist und nicht mehr auf (echte) Anfragen reagiert. Zu den Abwehrmaßnahmen gehören Backup-Server und genügend Kapazität, um Anforderungsüberläufe zu verarbeiten. Zum Beispiel würde ein solcher Angriff gegen Facebook mit ziemlicher Sicherheit nicht funktionieren, da deren Infrastruktur so stark ist, dass sie Angriffe wie diese bewältigen kann.

Protokollangriffe versuchen, einen Server zu erschöpfen, indem sie die gesamte Kapazität von Dingen wie Webanwendungen verbrauchen – also durch wiederholte Anfragen an ein Element einer Site oder eines Dienstes. Andernfalls reagiert die Webanwendung nicht mehr. Oft werden Filter verwendet, die wiederholte Anfragen von denselben IP-Adressen blockieren, um Angriffe abzuwehren und den Dienst für normale Benutzer am Laufen zu halten.

SYN-Flood-Angriffe werden im Wesentlichen durchgeführt, indem der Server wiederholt aufgefordert wird, ein Element abzurufen, und dann den Empfang nicht bestätigt. Das bedeutet, der Server hält sich an den Elementen fest und wartet auf die Quittung, die nie kommt – bis er irgendwann nicht mehr hält und sie fallen lässt, um mehr aufzunehmen.

Volumetrische Angriffe versuchen, künstlich eine Überlastung zu erzeugen, indem sie gezielt die gesamte Bandbreite eines Servers belegen. Dies ähnelt HTTP-Flood-Angriffen, mit der Ausnahme, dass anstelle von wiederholten Anfragen Daten an den Server gesendet werden, wodurch dieser zu beschäftigt ist, um auf normalen Datenverkehr zu reagieren. Für diese Angriffe werden in der Regel Botnets eingesetzt – häufig nutzen sie auch DNS-Amplification.

Tipp: Die DNS-Verstärkung funktioniert wie ein Megaphon – eine kleinere Anfrage oder ein Datenpaket wird viel größer dargestellt als es ist. Es könnte sein, dass der Angreifer alles anfordert, was ein Server zu bieten hat, und ihn dann auffordert, alles zu wiederholen, wonach der Angreifer gefragt hat – eine relativ kleine und einfache Anfrage nimmt am Ende viele Ressourcen in Anspruch.

Wie kann man sich gegen DDOS-Angriffe verteidigen?

Der erste Schritt, um mit diesen Angriffen umzugehen, besteht darin, sicherzustellen, dass sie wirklich stattfinden. Sie zu erkennen ist nicht immer einfach, da Verkehrsspitzen aufgrund von Zeitzonen, Pressemitteilungen und mehr ein normales Verhalten sein können. Um ihre Angriffe zum Laufen zu bringen, versuchen DDOS-Angreifer, ihr Verhalten im normalen Verkehr so ​​gut wie möglich zu verbergen.

Andere Routinen zur Abwehr von DDOS-Angriffen sind schwarze Löcher, Geschwindigkeitsbegrenzungen und Firewalls. Schwarze Löcher sind eine ziemlich extreme Maßnahme – sie versuchen nicht, echten Datenverkehr von einem Angriff zu trennen, sondern leiten jede Anfrage vom Server weg und lassen sie dann fallen. Dies kann beispielsweise in Vorbereitung eines erwarteten Angriffs erfolgen.

Die Ratenbegrenzung ist für die Benutzer etwas weniger grob – sie setzt eine künstliche Grenze für die Anzahl der Anfragen, die ein Server akzeptiert. Dieses Limit reicht aus, um den normalen Datenverkehr passieren zu lassen, aber zu viele Anfragen werden automatisch umgeleitet und verworfen – so kann der Server nicht überfordert werden. Es ist auch ein effektiver Weg, um Brute-Force-Kennwortknackversuche zu stoppen – nach beispielsweise fünf Versuchen wird der Versuch der IP-Adresse einfach gesperrt.

Firewalls sind nicht nur zum Schutz des eigenen Computers nützlich, sondern auch serverseitig vor dem Webverkehr. Insbesondere Web Application Firewalls werden zwischen dem Internet und einem Server eingerichtet – sie schützen vor verschiedenen Angriffsarten. Gute Firewalls sind auch in der Lage, schnell benutzerdefinierte Reaktionen auf Angriffe einzurichten, sobald diese auftreten.

Tipp: Wenn Sie Ihre Site oder Ihren Server vor DDOS-Angriffen schützen möchten, benötigen Sie verschiedene Lösungen (höchstwahrscheinlich einschließlich einer Firewall). Der beste Weg, dies zu tun, besteht darin, einen Cybersicherheitsberater zu konsultieren und einen maßgeschneiderten Plan für Ihre Bedürfnisse erstellen zu lassen. Es gibt keine One-Size-Fits-All-Lösung!