Was ist ein DDoS-Angriff?

Die Definition und 5 Hauptarten

DDoS Angriff

Stellen Sie sich vor, Sie sind ein Cafébesitzer. Eines Tages öffnen Sie den Laden und ein Strom von Menschen rennt durch Ihre Tür. Voller Tag, denken Sie vermutlich. Gut für das Geschäft! Nun, es wird in der Tat ein sehr voller Tag sein, aber es wird kein gutes Geschäft sein. Die Leute nehmen Plätze ein, aber machen keinerlei Bestellungen. Es kommen immer mehr Leute, nehmen Plätze ein und machen es Ihren eigentlichen Kunden schwer, etwas zu kaufen. Schließlich blockiert der Menschenstrom die Tür Ihres Ladens und verweigert Ihren berechtigten Kunden den Service.

Das wäre ein DDOS-Angriff, wenn er im wirklichen Leben stattfinden würde.

Zusammenfassung: Ein DDoS-Angriff wurde entwickelt, um Websites und Netzwerke zu überlasten. Er ist eine Form von Cyberkriminalität, die einen kontinuierlichen Strom von gefälschten Verkehr an Online-Dienste wie Websites sendet, bis sie einfrieren oder kaputt gehen. Er ist schwer zu stoppen und sogar die größten Websites sind ihnen in der Vergangenheit zum Opfer gefallen. Lesen Sie weiter, um mehr über die häufigsten DDoS-Angriffe zu erfahren.

DDos Attack

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff ist ein Akronym für „Distributed Denial of Service Attack“. Er macht einen Onlinedienst nicht verfügbar, indem er diesen mit Datenverkehr aus mehreren Quellen bombardiert.

Dies ist eine Art von DoS-Angriff (Denial of Service), bei der es sich um einen Angriff handelt, der aus einer einzigen Quelle stammt: aus nur einer Netzwerkverbindung oder einem kompromittierten(manipulierten) Gerät. DDoS-Angriffe sind dagegen Angriffe, die aus mehreren Quellen stammen.

Im Wesentlichen ist ein „Denial-of-Service-Angriff“ eine Methode, um zu verhindern, dass tatsächliche Benutzer auf eine Netzwerkressource zugreifen. Dieses Café-Beispiel in der früheren Analogie kann jede Art von Online-Ressource sein: ein Spielserver oder eine Website zum Beispiel.

Wenn der Server oder die Webseite durch DDoS-Angriffe ausgesetzt ist, kann er seinen eigentlichen Zweck nicht erfüllen. Da der Angriff die Webseite oder den Gameserver mit gefälschtem Datenverkehr überhäuft, wird der tatsächliche Traffic – die Leute, die dem Gameserver beitreten oder die Website besuchen wollen – nicht möglich sein.

Die meisten DDoS-Angriffe werden über “Botnets”(Gruppe automatisierter Schadprogramme) oder ein mit dem Internet verbundene kompromittierte Geräte, die von einem Hacker kontrolliert werden, bereitgestellt. Botnetze können von einer Handvoll zu buchstäblich Millionen von Geräten reichen. Schlimmer noch: Da die meisten Botnets kompromittierte Ressourcen verwenden, wissen die tatsächlichen Besitzer der Geräte nicht einmal, dass sie für DDoS-Angriffe verwendet werden.

Die Multiplikation der Angriffsquellen verstärkt die Wirksamkeit des Angriffs und trägt gleichzeitig dazu bei, die Identität des Täters zu verbergen.

Arten von DDoS-Angriffen

Um besser zu verstehen, wie Sie einen DDoS-Angriff stoppen können, müssen Sie zuerst Ihre verschiedenen Typen kennen. DDoS-Angriffe fallen in drei große Kategorien, die davon abhängen, wo der Angriff ansetzt:

1. Volumenbasierte Angriffe – Wie der Name schon sagt, nutzt diese Art von DDoS-Angriff Volumen. Volumenbasierte DDoS-Angriffe werden auch treffend als “Floods” ( Überflutung) bezeichnet. Dies ist der grundlegendste Typ und ist die Definition eines DDoS-Angriffs.

2. Protokollangriffe – Diese Art von DDoS-Angriff konzentriert sich auf das Senden von Wellen von Bots an bestimmte Protokolle: z.B. die Webverteiler, die Firewalls oder die tatsächlichen Webserver, aus denen die Netzwerkressource besteht, die es abzustürzen versucht.

3. Anwendungsangriffe – Diese Angriffe gelten als die schwerwiegendste und anspruchsvollste Art von DDoS-Angriffen und zielen auf Webanwendungen ab, indem ihre Schwachstellen ausgenutzt werden. Auch als “Layer 7 attacks” bezeichnet, funktionieren Anwendungsattacken immer noch auf die gleiche Weise, erfordern jedoch ein vermindertes brutales Vorgehen, da sie sich auf die Schwachstellen innerhalb der Zielserver konzentrieren. Es braucht deshalb viel weniger Bot-Verkehr, um bestimmte Prozesse und Protokolle innerhalb dieser Schwachstellen zu monopolisieren. Dadurch ist der Angriff viel schwieriger zu erkennen, da das geringe Volumen an erzeugtem Verkehr gewöhnlich erscheint.

Top 5 häufig verwendete DDoS-Angriffe

Diese am häufigsten verwendeten DDoS-Angriffe stammen aus den drei oben genannten Kategorien:

UDP Flood

Anwendungen verwenden Kommunikationsprotokolle, um sich über das Internet zu verbinden. Die am häufigsten verwendeten Protokolle sind das Transmission Control Protocol (TCP oder manchmal TCP / IP, wobei IP „Internetprotokoll“ bedeutet) und das Benutzerdatenprotokoll (UDP oder UDP / IP). Sie senden Datenpakete über das Internet, um Verbindungen herzustellen und Daten ordnungsgemäß zu senden.

Eine UDP-Flut ist genau das, was Sie erahnen können: ein DDoS-Protokoll-Angriff auf das Benutzerdatenprotokoll.

Der Täter sendet die Ziel-UDP-Pakete mit falschen Informationen, wobei die Ziel-Netzwerkressource das UDP-Paket nicht mit den richtigen zugeordneten Anwendungen abgleichen kann und gibt dadurch eine Fehlermeldung an. Wenn Sie dies oft wiederholen, kann das System überfordert werden und letztendlich nicht mehr reagieren.

DNS Flood

Domain Name Server (DNS) sind Computerserver, die Website-URLs in ihre tatsächlichen IP-Adressen übersetzen. Wenn Sie beispielsweise Facebook besuchen, um nach Freunden und Familie zu suchen, geben Sie Facebook [.] com in Ihren Browser ein. Was Sie Ihrem Computer sagen, ist zu einer der IP-Adressen von Facebook zu gehen (Facebook hat viele, wenn man bedenkt, wie viel Verkehr es braucht). Eine solche Facebook-IP-Adresse ist 66.220.144.0.

DNS-Server übersetzen den Namen der Website in Ihre tatsächliche IP-Adresse.

Was würde also passieren, wenn Sie DNS-Server mit einem DDoS-Angriff überfluten, damit sie diese ihre Funktion nicht ausführen können? Genau das ist das Ziel einer DNS-Flut.

SYN Flood

Eine SYN-Anfrage ist ein Teil einer “three-way-handshake” -Verbindungssequenz, die über TCP erfolgt. Mach dir keine Sorgen, es klingt vielleicht technisch, aber es ist ziemlich einfach:

Zuerst wird eine SYN (Synchronisation) Anfrage an einen Host gesendet. Der Host sendet dann eine SYN-ACK-Antwort (Synchronisationsbestätigung) zurück. Der Host, der den three-way-handshake angefordert hat, schließt dann das Protokoll mit einer ACK-Antwort (Bestätigung) ab. Was dieser Prozess bewirkt, ist, dass die zwei Hosts oder Computer aushandeln können, wie sie kommunizieren werden.

Eine SYN-Flut stoppt den three-way-handshake im ersten Teil. Ein Angreifer sendet mehrere SYN-Anforderungen entweder von gefälschten IP-Adressen oder antwortet einfach nicht auf die SYN-ACK-Antwort vom Ziel. Das Zielsystem wartet weiterhin auf den letzten Teil des three-way-handshake, die ACK-Antwort, für jede Anforderung.

Wenn Sie dies mit genügend Geschwindigkeit und Volumen tun, können Sie die Ressourcen des Zielsystems binden, bis keine neuen Verbindungen mehr hergestellt werden können. Das führt zu einem Denial-of-Service führt.

HTTP Flood

HTTP steht für Hypertext Transfer Protocol und ist die Grundlage der Datenübertragung für das Internet. Tatsächlich sollten Sie es in Ihrer Browser-Adressleiste sofort sehen, mit einem zusätzlichen “S”, das für sicheres HTTP steht.

Wie bei allen anderen Protokollen verwendet HTTP einige Anforderungstypen zum Senden oder Anfordern von Informationen z. B. HTTP POST und GET. Eine HTTP-Flut wird normalerweise verwendet, wenn Hacker nützliche Informationen von einer Website erhalten und ihre Spuren mit einer großen Anzahl von HTTP-POST- oder GET-Anfragen abdecken, um die Webanwendung oder den Server zu überlasten.

Diese Methode benötigt weniger Bandbreite für die Ausführung, kann jedoch Server zwingen, ihre Ressourcen zu maximieren.

ICMP (Ping) Flood

Das Internet Control Message Protocol (ICMP) ist ein Fehlermeldeprotokoll, das unter anderem vom Ping-Diagnosedienstprogramm verwendet wird. Grundsätzlich “ping-en” Sie eine Website, um zu prüfen, ob Sie darauf zugreifen können. Die Ping-Ergebnisse können Ihnen einige Arten von Problemen mit der Verbindung mitteilen und von dort aus können Sie mit der Fehlersuche beginnen.

Ein Ping sendet ein kleines Informationspaket an die Zielnetzwerkressource (z. B. Website) und diese Ressource sendet ein ähnlich großes Informationspaket zurück.

Eine Ping-Flut ist einfach eine Flut von Ping-Anfragen, sodass die Netzwerkbandbreite des Zielsystems, bei dem Versuch jede Anfrage zu beantworten, verstopft wird

Eine weitere DDoS-Attacke, die Ping verwendet, heißt Ping of Death. Sie benutzt anstelle großer Mengen von Datenpaketen von ähnlicher Größe, überdimensionierte oder fehlerhafte Datenpakete, um die Sicherheitsmaßnahmen zu umgehen und das Zielsystem zu überlasten.

Wie man einen DDoS-Angriff stoppt

DDoS-Attacken sind schwer zu erkennen. Ein Systemadministrator, der Wartungsarbeiten oder sogar ein technisches Problem mit bestimmten Netzwerkressourcen durchführt, kann Symptome ähnlich einem DDoS-Angriff erzeugen. Dennoch ist es am besten wachsam zu bleiben und die ungewöhnlich langsame Leistung und Nichtverfügbarkeit von Diensten genauer zu untersuchen.

Der DDoS-Schutz kann durch Überwachung und Analyse des Netzwerkverkehrs über überwachte Firewalls oder Intrusion Detection-Systeme eingerichtet werden, die DDoS-Angriffe erkennen und identifizieren können. Systemadministratoren können auch Warnmeldungen für anomale Verkehrsaktivitäten, wie ungewöhnlich hohe Verkehrslasten oder Paketabfälle, die bestimmte Kriterien erfüllen, einrichten.

Die schlechte Nachricht ist, dass moderne DDoS-Attacken so groß und anspruchsvoll sein können, dass es fast unmöglich ist, eine eigene Lösung zu finden. Sie müssen Ihren ISP oder einen DDoS-Abwehrspezialisten anrufen, um die Bedrohung vollständig zu stoppen.

Wenn Sie einen Angriff erleben, gibt es ein paar Dinge, die Sie ausprobieren können, damit Sie Zeit haben, Ihren ISP oder einen Experten anzurufen:

  • Erhöhte Bandbreitenverfügbarkeit – Erhöhen Sie Ihre Bandbreitenverfügbarkeit um ein Vielfaches gegenüber dem aktuellen Limit, um sich an plötzlichen Wellen von Datenverkehr anzupassen.
  • Den Perimeternetzwerk Ihres eigenen Web-Servers schützen – Sie können die Auswirkungen eines laufenden DDoS-Angriffs mildern, indem Sie einige Perimeternetzwerk optimieren:
    • Die Geschwindigkeitsbegrenzung Ihres Routers verhindert, dass Ihr Webserver überflutet wird.
    • Das Hinzufügen von Filtern hilft Ihrem Route eindeutige Angriffsquellen zu identifizieren.
    • Erstellen Sie eine strengere Wartezeit für halboffene Verbindungen. Einige der häufigsten DDoS-Angriffe nutzen die Vorteile von halboffenen Protokollen, um Ihre Bandbreite zu blockieren. Aggressivere Wartezeiten helfen dabei, laufende DDoS-Angriffen zu schließen.
    • Löschen Sie falsch-formatierte und gefälschte Datenpakete.
    • Legen Sie niedrigere Drop-Schwellenwerte für SYN, UDP und ICMP fest – drei der häufigsten DDoS-Angriffe.

Sobald Sie diese Optimierungen vorgenommen haben, können Sie genügend Zeit für Ihren ISP gewinnen, um die DDoS-Attacke in den Griff zu bekommen oder um einen Spezialisierten fur die Risikominderung zu konsultieren.

Darüber hinaus bieten Internetsicherheitsunternehmen Produkte und Dienste an, die Angriffe verhindern und DDoS-Schutzschichten hinzufügen können. Der beste Weg, DDoS-Angriffe zu verhindern, zu erkennen und zu stoppen, ist die DDoS-Schutzsoftware.

Quellen (auf Englisch)

 

Sind Sie geschützt?

DDoS-Angriffe zielen auf Webseiten ab, nicht auf Einzelpersonen. Wenn Sie also keine Webseite besitzen, sind Sie vor dieser Bedrohung sicher. Dennoch empfehlen wir, keine Online-Risiken einzugehen.