DDoS-Angriff
Der schlimmste Albtraum einer Organisation

DoS und DDoS sind Angriffsarten, Server unerreichbar zu machen.  Beiden Angriffsszenarien liegt das Hauptprinzip zugrunde, dass die Cyber-Kriminelle legitime Benutzer ihres benötigten Dienstes „berauben“, indem sie ein System reaktionsunfähig machen. In den folgenden Abschnitten werden wir die Hauptunterschiede, die Auswirkungen, die Gründe für DDoS-Angriffe und die Angriffsarten erläutern. 

 

Denial-of-Service-Angriff (DoS)

Bei diesem Angriff stellt der Angreifer eine massive Anzahl von Dienstanforderungen (TCP- oder UDP-Protokollpakete), um den Server des Opfers mit gefälschten IP-Adressen anzugreifen.  Nach und nach werden die Ressourcen des angegriffenen Servers (CPU, Speicher usw.) aufgebraucht. Dies ist eine gängige Art von Denial-of-Service-Angriff (DoS), genannt Flooding. Es gibt auch andere Formen, wie z. B. applikatives DoS, bei dem Cyberkriminelle einen Serverfehler in einem speziell gestalteten Paket aussenden, um das spezifische Ziel nicht verfügbar zu machen. Das Prinzip des Denial-of-Service-Angriffs (DoS) besteht darin, den normalen Benutzerzugriff auf den Host-Server zu verweigern und die übliche Funktionsweise des Systems zu stören. Wenn legitime Benutzer nicht mehr auf die Website zugreifen können, führt dies zum Ausfall des Servers.

 

Verteilte Denial-of-Service-Angriffe (DDoS)

Die Zahl der Distributed-Denial-of-Service (DDoS)-Angriffe steigt jedes Jahr weiter an. Während DoS ein Angriff zwischen zwei einzelnen Rechnern ist, verwendet DDoS einen Cluster von koordinierten Rechnern an verschiedenen Orten (Botnet), um den Host anzugreifen. Daher auch der Name „verteilt“. Daher ist es schwieriger, solche Angriffe zu erkennen und zu blockieren, da die Angriffe aus mehreren Quellen innerhalb eines so kurzen Zeitraums erfolgen. 

Für Cyberkriminelle ist es günstiger und einfacher, einen Denial-of-Service-Angriff (DoS) durchzuführen.

DoS and DDoS attacks
DoS-Angriff vs. DDoS-Angriff

Was sind die Folgen eines DDoS-Angriffs? Was sind konkreten Ziele?

DDoS-Angriffe sind schneller und ihre Intensität auf dem Host-Server ist viel kritischer und verheerender. Wenn Ihre Website zu lange nicht mehr erreichbar ist, könnten Sie wertvolle Kunden an die Konkurrenz verlieren. Sie verlieren Ihr SEO-Ranking und interne Links. Ganz zu schweigen von der Zeit, die Sie für die Überarbeitung Ihrer Website aufwenden müssen, und den finanziellen Auswirkungen auf Ihre Einnahmen. Das schädigt Ihrer Reputation möglicherweise dramatisch.

Botnet-as-a-Service zielt in der Regel auf relativ große Websites und Websites von Behörden ab.  Der Einzelhandel ist ein Hauptziel für solche DDoS-Angriffe. Wenn Sie eine florierende Website haben, dann werden Sie wahrscheinlich irgendwann Ziel einer DDoS-Attacke sein.

 

Wer führt DDoS-Angriffe durch und warum?

Viele Hacktivisten bilden möglicherweise aktive Gruppen, um DDoS-Angriffe durchzuführen, um ihre Meinung zu einem bestimmten Thema (politisch, ethisch) zu äußern oder eine Organisation zu rächen. Manchmal tun dies auch Personen, die Teil organisierter krimineller Gruppen sind, um ein hohes Lösegeld zu erhalten.

DDoS-Angreifer können im Dark Web bereits zu niedrigen Preisen gemietet werden. Manchmal heuern Unternehmen diese an und lassen Angriffe durchführen, um die Services von Konkurrenten zu stören und den Traffic auf ihre eigene Website umzuleiten.

In anderen Fällen werden solche Angriffe durchgeführt, um Fähigkeiten zu demonstrieren.

 

Arten von DoS und DDoS 

Es kann zwei Arten von Angriffen geben.

Volumetrische Angriffe

Angreifer verbrauchen die gesamte Bandbreite, um eine Netzwerküberlastung mit massiven Datenmengen zu erzeugen, sodass legitime Clients nicht auf das spezifische Zielnetzwerk zugreifen können. Die meisten DDoS-Angriffe sind volumetrisch. Sie können ein Volumen von 20 Gigabyte pro Sekunde bis 2 Terabyte pro Sekunde erreichen.

Angriffe auf der Anwendungsebene

Angreifer nutzen Programmierfehler in der Anwendung aus und greifen die Anwendungsschicht (Layer 7 des OSI-Modells) an.

Angreifer neigen dazu, diese Angriffsarten zu kombinieren, um ihre Wirkung auf das jeweilige Ziel zu maximieren.

 

Beispiele für spezifische Angriffe

SYN-Überschwemmung

Bei diesem volumetrischen Angriffsszenario (Abbildung 2) versuchen die Täter nicht, eine Sicherheitslücke auf Ihrer Website auszunutzen, sondern bringen sie mit einem hohen Volumen an Anfragen zum Zusammenbruch. Sie überfluten das spezifische Ziel mit mehreren Synchronisierungspaketen (SYN) gleichzeitig von verschiedenen Rechnern. Das Opfer sendet Bestätigungspakete (SYN-ACK) zurück. Der Angreifer sendet jedoch kein ACK-Paket als Antwort, um den Drei-Wege-Handshake abzuschließen, und lässt das Opfer warten, bis der Server des Opfers seine Ressourcen erschöpft hat. Dies führt dazu, dass die Leistung des Webservers des Opfers erheblich sinkt.

SYN flood attacks
Abbildung 2: SYN-Flood-Angriff

Angriffe mit Verstärkung

Das Ziel eines Amplifikationsangriffs ist es, einen Verstärkungsfaktor zu verwenden, der die möglichen Auswirkungen vergrößert. Die Angreifer verwenden eine etwas andere Technik (Abbildung 3), um die Netzwerkbandbreite des Opfers durch die Erweiterung des ausgehenden Datenverkehrsflusses lahmzulegen. Sie manipulieren offene Domain Name Systems (DNS)-Server, indem sie kleine gefälschte Anfragen (mit IP-Adresse des spezifischen Ziels) senden. Der Server hält den Zielrechner fälschlicherweise für die Quelle der Anfragen und sendet eine verstärkte Antwortnachricht an ihn. Die DNS-Amplifikation ist ein bekanntes Beispiel für einen Amplifikationsangriff. Allerdings nutzen nicht alle Amplifikationsangriffe das DNS aus. Der Smurf-Angriff ist zum Beispiel eine andere Art von Amplifikationsangriff, der sich auf den Router stützt, der ein Broadcast-Netzwerk bedient.

Attaque par amplification
Abbildung 3: Amplifikationsangriff

Slowloris

Slowloris ist ein Angriff auf der Anwendungsebene, bei dem der Angreifer in regelmäßigen Abständen unvollständige, aber legitime HTTP-GET-Anfragen an den anvisierten Webserver sendet. Auf diese Weise hält er die Verbindungen offen und verschlingt langsam und akribisch die Verbindungs-Sockets des Webservers, wodurch alle anderen legitimen Anfragen blockiert werden. 

Slowloris attack
Abbildung 4: Slowloris-Angriff

Wie können Sie wissen, ob Ihre Website geDDoSsed wird?

Abgesehen von Nötigungen durch Hacktivisten kann es verschiedene andere Anzeichen dafür geben, dass Sie unter einem DDoS-Angriff stehen. Zum Beispiel, wenn sich Kunden darüber beschweren, dass Ihre Website über einen längeren Zeitraum nicht erreichbar war, oder wenn Sie in Ihren Protokollen einen unregelmäßigen Anstieg des Website-Traffics beobachten; das kann aber auch auf legitimen Traffic zurückzuführen sein.

Wappnen Sie sich gegen DDoS

Der letzte bemerkenswerte DDoS-Angriff im Jahr 2020 von AWS dauerte fast 3 Tage und erreichte eine Spitzenleistung von 2,3 Terabyte pro Sekunde. DDoS-Angriffe sind zweifelsohne ein kritisches Sicherheitsproblem für Unternehmen. Daher müssen Sie Ihr System gründlich überwachen, gute Praktiken anwenden, sich mit einer leistungsstarken Web Application Firewall vorbereiten und insgesamt ein besseres Verteidigungssystem entwickeln, um einen DDoS-Angriff zu entschärfen.