Ein verteilter Denial-of-Service-Angriff (DDoS) ist ein böswilliger Versuch, den normalen Datenverkehr eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel oder seine umgebende Infrastruktur mit einer Flut von Internetdatenverkehr überlastet wird. DDoS-Angriffe erzielen Effektivität, indem mehrere kompromittierte Computersysteme als Quellen für den Angriffsverkehr verwendet werden. Die betroffenen Systeme können Computer und andere Netzwerkressourcen wie IoT-Geräte umfassen. Ein DDoS-Angriff kann mit einem Verkehrsstau verglichen werden, der die Autobahn verstopft und verhindert, dass der reguläre Verkehr zum erliegen kommt.
Wie funktioniert ein DDoS-Angriff?
Bei einem DDoS-Angriff versucht der „Angreifer“ zuerst die Kontrolle über ein Netzwerk von Computern zu erlangen, um diese für den Angriff gezielt einzusetzen. Dieses Netzwerk, bestehend aus IoT-Geräten beispielsweise, wird mit einer Malware infiziert, was sie in „Zombie“ Bot´s transformiert. Der Angreifer hat dann die Kontrolle via Fernsteuerung über diese Gruppe von Bots, die auch als Botnet bezeichnet wird und kann diese für den Zweck eines Angriffs einsetzen.
Sobald ein Botnetzwerk eingerichtet wurde, kann der Angreifer die Maschinen anweisen, indem er über eine Fernsteuerungsmethode programmierte Anweisungen an jeden Bot sendet. Wenn die IP-Adresse eines Opfers vom Botnet als Ziel festgelegt wird, sendet jeder Bot Anforderungen an das Ziel. Dies kann dazu führen, dass der Zielserver oder das Netzwerk überlastet wird und der normale Datenverkehr den Dienst verweigert. Da jeder Bot ein legitimes Internetgerät ist, ist es in der Regel sehr schwierig den Angriffsverkehr vom normalen Interent- Verkehr zu trennen.
Da dem so ist, haben sich zahlreiche Anbieter von Server etabliert, die einen gewissen Schutz vor genau diesen beschriebenen DDoS Angriffen bieten. Vor allem Virtuelle Cloud Server mit Schutzmechanismen vor DDoS Angriffen sind eine gute Variante sich effektiv gegen solche Vorgehen zu wappnen.
Was sind die häufigsten Arten von DDoS-Angriffen?
Verschiedene DDoS-Angriffsvektoren zielen auf unterschiedliche Komponenten einer Netzwerkverbindung ab. Um zu verstehen, wie verschiedene DDoS-Angriffe funktionieren, muss man wissen, wie eine Netzwerkverbindung hergestellt wird. Eine Netzwerkverbindung im Internet besteht aus vielen verschiedenen Komponenten oder „Schichten“. So, wie auch ein Haus Schritt für Schritt von Grund auf konstruiert wird, so hat auch jedes Netzwerk seine eigene komplexe Struktur. Hier die unterschiedlichen Modellvariationen.
Das OSI-Modell
Während bei fast allen DDoS-Angriffen ein Zielgerät oder ein Netzwerk mit Datenverkehr überlastet wird, können Angriffe in drei Kategorien unterteilt werden. Ein Angreifer kann einen oder mehrere verschiedene Angriffsvektoren verwenden oder Angriffsvektoren durchlaufen, die möglicherweise auf Gegenmaßnahmen des Ziels beruhen.
Angriffe auf die Anwendungsebene
Das Ziel des Angriffs: Manchmal als Layer 7-DDoS-Angriff bezeichnet, besteht das Ziel dieser Angriffe darin, die Ressourcen des Ziels zu erschöpfen. Die Angriffe zielen auf die Ebene ab, auf der Webseiten auf dem Server generiert und als Antwort auf HTTP-Anforderungen übermittelt werden. Eine einzelne HTTP-Anforderung ist auf der Clientseite sehr effizient ausführbar, bewirkt jedoch auf dem Zielserver einen immensen Schaden, der auch monetär hoch zu beziffern ist, da der Server häufig mehrere Dateien laden und Datenbankabfragen ausführen muss, um eine Webseite zu laden. Layer 7-Angriffe sind schwierig zu verteidigen, da der Datenverkehr möglicherweise nur schwer als bösartig erkannt werden kann.
Anwendungsschicht-Angriffsbeispiel:
HTTP-Flut
Dieser Angriff kann mit einem immerwährenden Drücken von „Aktualisieren“ in einem Webbrowser verglichen werden, was eine große Anzahl von HTTP-Anforderungen führt und das Netzwerk überflutet, so dass der Server zu einem Denial-of-Service führt.
Diese Art des Angriffs reicht von einfach bis sehr komplex. Bei einfacheren Implementierungen kann auf eine URL mit demselben Bereich von angreifenden IP-Adressen zugegriffen werden. Bei komplexen Versionen wird möglicherweise eine große Anzahl an angreifenden IP-Adressen verwendet, und es werden zufällige URLs mithilfe von zufälligen Verweisen und Benutzeragenten festgelegt.
Protokollangriffe
Das Ziel des Angriffs: Protokollangriffe, die auch als Zustandsüberlastungsangriffe bezeichnet werden, verursachen eine Dienstunterbrechung, indem sie die gesamte verfügbare Kapazität der Statustabellen von Webanwendungsservern oder Zwischenressourcen wie Firewalls und Lastausgleichsmodulen in Anspruch nehmen. Protokollangriffe nutzen Schwachstellen in Schicht 3 und Schicht 4 des Protokollstapels, um das Ziel unzugänglich zu machen.
Beispiel für einen Protokollangriff: DDoS-Angriff „Syn Flood“
SYN-Flut
Eine SYN-Flut kann mit einem Angestellten verglichen werden der an einer Theke in einem Ladenlokal arbeitet. Er befindet sich gerade im Vorratsraum, während er eine Paketanfragen von der Theke erhält. Er holt das Paket ab und wartet auf eine Bestätigung, bevor er das Paket herausbringt. Er hat das Paket aber bereits in der Hand. Nun bekommt der Angestellte weitere Paketanforderungen ohne Bestätigung, bis er so viele Pakete in der Hand hält die er nicht mehr tragen kann. Er wird dazu gezwungen, keine Anforderungen mehr annehmen zu können.
Bei diesem Angriff wird der TCP-Handshake ausgenutzt, indem eine große Anzahl von TCP-SYN-Paketen (Initial Connection Request) mit gefälschten Quell-IP-Adressen an ein Ziel gesendet wird. Der Zielcomputer antwortet auf jede Verbindungsanforderung und wartet dann auf den letzten Schritt des Handshakes, der niemals stattfindet. Dadurch werden die Ressourcen des Ziels in diesem Prozess erschöpft.
Wie man erkennen kann, gibt es heutzutage viele verschiedene Möglichkeiten, einen Angriff auf einen Server zu begehen. Es gibt noch viel mehr, als die hier genannten. Es macht also unbedingt Sinn, sich unbedingt einen Server Anbieter auszusuchen, der gegen diese Angriffe gut aufgestellt ist.
