DDOS steht für Distributed Denial-Of-Service. Es ist eine Art von Cyberkriminalität, bei der eine oder mehrere Parteien versuchen, den Datenverkehr eines Servers oder einer Website zu unterbrechen. Um effektiv zu sein, verwenden sie nicht nur einen Computer zum Angriff, sondern oft ein ganzes Netzwerk davon.
Dies sind jedoch nicht nur die Computer des Angreifers – es gibt Arten von Malware und Viren, die den Computer eines normalen Benutzers befallen und ihn zu einem Teil des Angriffs machen können. Auch IoT-Geräte sind nicht sicher – wenn Sie ein Smart Device zu Hause haben, könnte es theoretisch für einen solchen Angriff genutzt werden.
Wie funktioniert es?
Am einfachsten lassen sich DDOS-Angriffe erklären, indem man sie mit Staus vergleicht. Der normale Verkehrsfluss wird unterbrochen, weil Dutzende (oder Hunderte, Tausende usw.) unerwarteter Autos in die Hauptstraße einfahren, ohne andere Autos loszulassen.
Der entstehende Stau verhindert, dass normale Fahrer ihr Ziel erreichen – im DDOS-Ereignis wäre das der gesuchte Server oder die gesuchte Website.
Es gibt verschiedene Arten von Angriffen, die auf verschiedene Elemente der normalen Client-Server-Kommunikation abzielen.
Angriffe auf Anwendungsebene Versuchen Sie, die Ressourcen des Ziels zu erschöpfen, indem Sie es zwingen, wiederholt Dateien oder Datenbankabfragen zu laden – dies verlangsamt die Site und kann im Extremfall zu Problemen mit dem Server führen, indem er überhitzt oder die Leistung hochgefahren wird verwenden. Diese Angriffe sind schwer abzuwehren, da sie schwer zu erkennen sind – es ist nicht leicht zu sagen, ob ein Anstieg der Nutzung auf einen Anstieg des echten Datenverkehrs oder einen böswilligen Angriff zurückzuführen ist.
HTTP-Flood-Angriffe werden durchgeführt, indem eine Browserseite im Wesentlichen immer wieder aktualisiert wird – außer millionenfach. Diese Flut von Anfragen an einen Server führt oft dazu, dass dieser überfordert ist und nicht mehr auf (echte) Anfragen reagiert. Zu den Abwehrmaßnahmen gehören Backup-Server und genügend Kapazität, um Anforderungsüberläufe zu verarbeiten. Zum Beispiel würde ein solcher Angriff gegen Facebook mit ziemlicher Sicherheit nicht funktionieren, da deren Infrastruktur so stark ist, dass sie Angriffe wie diese bewältigen kann.
Protokollangriffe Versuchen Sie, einen Server zu erschöpfen, indem Sie die gesamte Kapazität von Dingen wie Webanwendungen verbrauchen – indem Sie also Anfragen an ein Element einer Site oder eines Dienstes wiederholen. Andernfalls reagiert die Webanwendung nicht mehr. Oft werden Filter verwendet, die wiederholte Anfragen von denselben IP-Adressen blockieren, um Angriffe abzuwehren und den Dienst für normale Benutzer am Laufen zu halten.
SYN-Flutangriffe werden im Wesentlichen dadurch durchgeführt, dass der Server wiederholt aufgefordert wird, ein Element abzurufen, und dann den Empfang nicht bestätigt. Das bedeutet, der Server hält sich an den Elementen fest und wartet auf die Quittung, die nie kommt – bis er irgendwann nicht mehr halten kann und sie fallen lässt, um mehr aufzunehmen.
Volumetrische Angriffe Versuchen Sie, künstlich eine Überlastung zu erzeugen, indem Sie gezielt die gesamte Bandbreite eines Servers belegen. Dies ähnelt HTTP-Flood-Angriffen, außer dass anstelle von wiederholten Anfragen Daten gesendet werden zu den Server, wodurch er zu beschäftigt ist, um auf normalen Datenverkehr zu reagieren. Für diese Angriffe werden in der Regel Botnets eingesetzt – häufig nutzen sie auch DNS-Amplification.
Tipp: Die DNS-Verstärkung funktioniert wie ein Megaphon – eine kleinere Anfrage oder ein Datenpaket wird viel größer dargestellt als es ist. Es könnte der Angreifer sein, der alles anfordert, was ein Server zu bieten hat, und ihn dann zur Wiederholung auffordert alles, wonach der Angreifer gefragt hat – eine relativ kleine und einfache Anfrage nimmt am Ende viel in Anspruch Ressourcen.
Wie kann man sich gegen DDOS-Angriffe verteidigen?
Der erste Schritt, um mit diesen Angriffen umzugehen, besteht darin, sicherzustellen, dass sie wirklich stattfinden. Sie zu erkennen ist nicht immer einfach, da Verkehrsspitzen aufgrund von Zeitzonen, Pressemitteilungen und mehr ein normales Verhalten sein können. Um ihre Angriffe zum Laufen zu bringen, versuchen DDOS-Angreifer, ihr Verhalten im normalen Verkehr so gut wie möglich zu verbergen.
Andere Routinen zur Abwehr von DDOS-Angriffen sind schwarze Löcher, Geschwindigkeitsbegrenzungen und Firewalls. Schwarze Löcher sind eine ziemlich extreme Maßnahme – sie versuchen nicht, echten Datenverkehr von einem Angriff zu trennen, sondern leiten jede Anfrage vom Server weg und lassen sie dann fallen. Dies kann beispielsweise zur Vorbereitung eines erwarteten Angriffs erfolgen.
Die Ratenbegrenzung ist für die Benutzer etwas weniger hart – sie setzt eine künstliche Grenze für die Anzahl der Anfragen, die ein Server akzeptiert. Dieses Limit reicht aus, um den normalen Datenverkehr passieren zu lassen, aber zu viele Anfragen werden automatisch umgeleitet und verworfen – so kann der Server nicht überfordert werden. Es ist auch ein effektiver Weg, um Brute-Force-Passwort-Cracking-Versuche zu stoppen – nach beispielsweise fünf Versuchen wird der Versuch der IP-Adresse einfach gesperrt.
Firewalls sind nicht nur zum Schutz des eigenen Computers nützlich, sondern auch serverseitig vor dem Webverkehr. Insbesondere Web Application Firewalls werden zwischen dem Internet und einem Server eingerichtet – sie schützen vor verschiedenen Angriffsarten. Gute Firewalls sind auch in der Lage, schnell benutzerdefinierte Reaktionen auf Angriffe einzurichten, sobald diese auftreten.
Tipp: Wenn Sie Ihre Site oder Ihren Server vor DDOS-Angriffen schützen möchten, benötigen Sie verschiedene Lösungen (höchstwahrscheinlich einschließlich einer Firewall). Der beste Weg, dies zu tun, besteht darin, einen Cybersicherheitsberater zu konsultieren und diesen einen maßgeschneiderten Plan erstellen zu lassen, der auf Ihre Bedürfnisse zugeschnitten ist. Es gibt keine One-Size-Fits-All-Lösung!