Distributed Denial of Service

Was ist ein DDoS-Angriff?

30.05.2023 von Josh Fruhlinger und Florian Maier

Distributed-Denial-of-Service-Angriffe sind ein alter Hut – gehören aber nicht zum alten Eisen. Die DDoS-Gefahr ist größer denn je.

Distributed-Denial-of-Service-Angriffe gehören seit Jahrzehnten zum Angriffsarsenal krimineller Hacker. Das dürfte sich auch in Zukunft nicht ändern - im Gegenteil.
Foto: Profit Image - shutterstock.com

DDoS-Angriffe gehören seit mehr als zwanzig Jahren zum Handwerkszeug von Cyberkriminellen. Dennoch sind sie nicht totzukriegen - im Gegenteil, DDoS-Attacken häufen sich und werden zunehmend gefährlicher.

DDoS-Angriffe - Definition

Mit einem DDoS-Angriff versuchen Angreifer, die Bereitstellung eines Dienstes unmöglich zu machen. Das erreichen sie, indem der Zugriff auf praktisch alles vereitelt wird: Server, Geräte, Dienste, Netzwerke, Anwendungen (und sogar bestimmte Transaktionen innerhalb der Applikationen). Bei einem DoS-Angriff sendet ein System bösartige Daten oder Anfragen, ein DDoS-Angriff geht von mehreren Systemen aus.

Im Allgemeinen funktionieren diese Angriffe, indem sie ein System mit Datenanfragen überfluten. Das kann einen Webserver treffen, der unter der Anfragelast zusammenbricht oder eine Datenbank, die mit einer hohen Zahl von Requests konfrontiert wird. Das Ergebnis: Internet-Bandbreite, CPU- und RAM-Kapazität werden überlastet. Die Auswirkungen eines DDoS-Angriffs können von einer minimalen Serviceunterbrechung bis hin zum Ausfall von Websites, Applikationen oder ganzen Unternehmen reichen.

DDoS-Attacken - Funktionsweise & Techniken

Den Ausgangspunkt einer DDoS-Attacke bildet ein Botnet. Es besteht aus Hunderten oder Tausenden von Rechnern, die unter der Kontrolle von kriminellen Hackern stehen. Diese Rechner wurden über Phishing, Malvertising und andere Techniken mit Schadcode infiziert und in "Zombie"-Rechnern beziehungsweise Bots umfunktioniert. Dabei kann es sich um gewöhnliche Privatrechner und Büro-PCs handeln, aber auch um IoT-Geräte. Das berüchtigte Mirai-Botnet etwa bestand in Teilen aus einer ganzen Armee gehackter CCTV-Kameras.

Die Besitzer der Geräte wissen normalerweise nicht, dass sie kompromittiert wurden - ihre Rechner und Devices funktionieren in den meisten Fällen ganz normal weiter. Tatsächlich stehen die Geräte aber unter fremder Kontrolle und warten auf einen Remote-Befehl von einem Command-and-Control-Server, der als Kommandozentrale für den Angriff dient und oft selbst ein gehacktes Fremdsystem ist. Sobald der Distributed-Denial-of-Service-Angriff gestartet wurde, greifen die Bots zeitgleich auf ein bestimmtes Angriffsziel zu.

Einzeln wären die Anfragen und der Netzwerkverkehr, die jeder einzelne Bot an das Ziel sendet, harmlos. In Kombination überfordert die Anfragelast oft die Kapazität des Zielsystems. Da es sich bei den Bots in der Regel um gewöhnliche Computer handelt, die weit über das Internet verteilt sind, ist es schwierig bis unmöglich, ihren Datenverkehr zu blockieren - ohne damit gleichzeitig legitime Benutzer zu treffen.

Es gibt drei Hauptklassen von DDoS-Angriffen, die sich hauptsächlich durch die Art des Datenverkehrs unterscheiden, mit dem sie die Zielsysteme angreifen:

Volumenbasierte Angriffe verwenden große Mengen an Fake-Traffic, um Webseiten oder Server zu überlasten. In diese Kategorie fallen ICMP-, UDP- und Spoofed-Packet-Flood-Angriffe. Die Größe eines volumenbasierten Angriffs wird in Bits pro Sekunde (bps) gemessen.
DDoS-Angriffe auf Protokoll- oder Netzwerkebene senden eine große Zahl von Paketen an Netzwerkinfrastrukturen und Infrastruktur-Verwaltungstools. Zu diesen Protokollangriffen gehören unter anderem sogenannte SYN-Floods- und Smurf-DDoS-Angriffe. Ihr Umfang wird in Paketen pro Sekunde (PPS) gemessen.
Angriffe auf Anwendungsebene werden mit Hilfe von böswilligen Requests erzeugt. Das Volumen dieser Angriffe wird in Requests pro Sekunde (RPS) gemessen.

Wichtige Techniken, die bei jeder Art von DDoS-Angriff eingesetzt werden, sind:

Spoofing: Ein Angreifer verändert oder manipuliert die Header-Informationen eines IP-Pakets. Da die tatsächliche Quelle des Pakets nicht mehr erkennbar ist, können auch Angriffe, die von ihr ausgehen, nicht abgewehrt werden.
Reflection: Angreifer fälschen eine IP-Adresse so, dass sie vermeintlich vom Opfer stammt. Dieses Paket wird dann an ein drittes System gesendet, das dem Opfer "antwortet". Dadurch wird die Angriffsquelle zusätzlich verschleiert.
Amplification: Bestimmte Online-Services lassen sich dazu "verleiten", auf Pakete mit sehr großen oder mehreren Paketen zu antworten.

Alle drei Techniken können zu einem sogenannten Reflection/Amplification-DDoS-Angriff kombiniert werden, der immer häufiger vorkommt.

Crimeware-as-a-service: Darknet-Hits

Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.

Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.

Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.

Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.

DDoS-Angriffe erkennen - 4 Anzeichen

DDoS-Angriffe können schwer zu diagnostizieren sein. Schließlich ähneln die Attacken - oberflächlich betrachtet - einer Flut von legitimen Nutzeranfragen. Es gibt jedoch Möglichkeiten, den künstlich erzeugten Traffic eines Distributed-Denial-of-Service-Angriffs von organischem Datenverkehr zu unterscheiden. Auf diese vier häufigen Anzeichen sollten Sie dabei achten:

Trotz Spoofing- und Distribution-Techniken gehen viele DDoS-Angriffe von einer begrenzten IP-Range, einem einzelnen Land oder einer Region aus - vielleicht von einer, die normalerweise nicht viel Traffic erzeugt.
Ein weiteres, auffälliges Anzeichen für eine DDoS-Attacke ist es, wenn der gesamte Datenverkehr von derselben Art von Client kommt, mit demselben Betriebssystem und Webbrowser. Organischer Traffic würde sich in diesem Punkt durch eine "natürliche Vielfalt" auszeichnen.
Datenverkehr der auf einen einzigen Server, Netzwerkanschluss oder eine Webseite einstürzt, statt sich gleichmäßig über Ihre Website zu verteilen, ist ein weiterer Anhaltspunkt für einen DDoS-Angriff.
Datenverkehr der in regelmäßigen, wiederkehrenden Wellen oder Mustern auftritt kann ebenfalls auf eine Distributed-Denial-of-Service-Attacke hindeuten.

DDoS-Attacken verhindern - Abwehrmaßnahmen

DDoS-Attacken einzudämmen ist schwierig, da sich legitimer Traffic, wie erwähnt, nicht so einfach von Fake-Traffic unterscheiden lässt. Natürlich ließe sich ein Distributed-Denial-of-Service-Angriff einfach stoppen, indem alle http-Anfragen blockiert werden (das kann in der Tat auch nötig sein, wenn es darum geht, Ihre Server vor dem Absturz zu bewahren). Allerdings werden dadurch auch alle User blockiert - womit die Angreifer ihr Ziel erreicht haben.

Wenn Sie jedoch den DDoS-Traffic, wie im vorigen Abschnitt beschrieben, identifizieren können, kann das dazu beitragen, den Angriff abzuschwächen und Ihre Dienste zumindest teilweise online zu halten. Wenn Sie beispielsweise wissen, dass der Angriffs-Traffic aus Osteuropa stammt, können Sie die entsprechenden IP-Adressen aus dieser Region blockieren. Eine gute Technik zur DDoS-Vorbeugung besteht darin, alle öffentlich zugänglichen Services, die nicht gebraucht werden, abzuschalten. Dienste, die für Angriffe auf der Anwendungsebene anfällig sein könnten, können abgeschaltet werden, ohne die Bereitstellung von Webseiten zu beeinträchtigen.

Im Allgemeinen besteht die beste Schutzmaßnahme gegen DDoS-Attacken darin, genügend Kapazitäten vorzuhalten, um auch mal große Mengen an eingehendem Datenverkehr zu bewältigen. Je nach Situation kann das bedeuten, Ihr eigenes Netzwerk aufzurüsten oder ein Content Delivery Network (CDN) zu nutzen. Ihr Network Service Provider verfügt möglicherweise über eigene Services, die Sie zu diesen Zwecken in Anspruch nehmen können.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.