computerwoche.de

Security

Denial of Service

So funktionieren DDoS-Angriffe

29.04.2018
Von Alfredo Vistola
Denial-of-Service-Attacken sind ein gängiges Mittel von Hackern um Webseiten und Server anzugreifen und außer Funktion zu setzen. Wir erklären, wie DDoS-Angriffe funktionieren und wie man sich schützt.

Eine stete Verfügbarkeit der Server und Dienste ist das höchste Gut für Unternehmen, deren Geschäftsmodelle und -prozesse ganz oder teilweise auf dem Internet beruhen. Sie ist durch DoS/DDoS-Angriffe (Denial-of-Service/Distributed-Denial-of-Service) bedroht. Botnetze (eine Gruppe von vernetzten Rechnern, die infiziert wurden) verfügen über eine immense Kapazität und können von jedem Interessenten einfach und günstig gemietet werden, um Konkurrenten oder auch politischen Zielen zu schaden:

DDoS - was ist das?

Als "Denial of Service (DoS)" -Angriff wird die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Angreifer erreichen diese Überlastung meist durch eine mutwillige Attacke auf einen Host (Server), einen Rechner oder eine sonstige Komponenten in einem Datennetz, um einen oder mehrere bereitgestellte Dienste arbeitsunfähig zu machen.

Im Gegensatz zu einem einfachen "Denial of Service"-Angriff werden "Distributed Denial of Service (DDoS)"-Angriffe nicht nur über einen Angriffsrechner gefahren, sondern gleichzeitig im Verbund mit mehreren Rechnern. Das hat zur Folge, dass mehr Datenverkehr erzeugt werden kann und es für die Betroffenen sehr aufwendig ist, festzustellen, woher die Angriffe kommen.

Wie gehen DDoS-Angriffe vonstatten?

Der Angreifer platziert dazu - ohne Kenntnis des Anwenders - einen Software-Agenten auf verschiedenen Rechnern im Internet - häufig bereits Monate vor dem eigentlichen Angriff. Das so entstehende Botnetz lässt sich nun zumeist von einem Operator (auch Bot-Master oder Bot-Herder genannt) überwachen und steuern. Wird ein DDoS-Angriff auf ein bestimmtes Ziel gestartet, erfolgt er über die infizierten Rechner, auf denen die Agenten installiert sind. Im Verbund erzeugen diese ein enormes Angriffsvolumen. Ziel ist es, Firewalls, Web Services und Anwendungen für alle anderen Anwender unerreichbar zu machen.

Im Allgemeinen unterscheidet man zwischen Angriffen, die auf die Auslastung der Netzwerk-Bandbreite zum einen und auf die Auslastung der Systemressourcen (Arbeitsspeicher, CPU,...) zum anderen abzielen.