Was sind DDoS-Angriffe (Distributed Denial-of-Service)?

DDoS ist die Abkürzung für „Distributed-Denial-of-Service“ (verteilte Dienstverweigerung). Bei einem DDoS-Angriff wird versucht, einen Online-Dienst durch eine Flut von falschem Datenverkehr außer Betrieb zu setzen.

Eine solche Attacke soll ein Unternehmen für seine Nutzer unerreichbar machen. Böswillige Akteure nutzen DDoS-Angriffe für folgende Zwecke:

  • Sabotage von Konkurrenten
  • Racheaktionen von Insidern
  • Staatliche gestützte Aktivitäten
  • Chaos stiften

Wie funktioniert ein DDoS-Angriff?

Wenn wir DDoS-Angriffe erläutern wollen, müssen wir zunächst Botnets erklären. Ein Botnet ist ein Netzwerk von Rechnern, die mit Malware infiziert sind. Die Malware ermöglicht den böswilligen Akteuren, diese Rechner per Fernzugriff zu steuern. Diese Botnets sind „verteilt“, da sie einen beliebigen Standort und beliebige Besitzer haben können. Unschuldige Besitzer eines infizierten Rechners wissen oft nicht einmal, dass ihr System Teil eines Botnets ist.

Nachdem ein DDoS-Angreifer ein umfangreiches Botnet mit Millionen kompromittierten Geräten aufgebaut hat, weist er jede Bot per Fernzugriff an, Anfragen an die IP-Adresse des Opfers zu schicken. Das Ziel ist dabei, die Webressourcen des Opfer mit einer überwältigenden Zahl von Verbindungs- oder Datenanfragen zu überlasten und letztlich den Dienst außer Betrieb zu setzen.

Arten von DDoS-Angriffen

DDoS-Angriffe lassen sich auf verschiedene Weise klassifizieren. Allgemein werden sie jedoch in drei Arten unterteilt:

1. Volumetrische Angriffe

Botnets schicken Unmengen an falschem Datenverkehr an eine Ressource. Bei dieser Angriffsart werden beispielsweise Ping-Floods, Spoofed-Packet-Floods oder UDP-Floods verwendet. Volumenbasierte Angriffe werden in Bits pro Sekunde (BPS) gemessen.

2. Angriffe auf die Netzwerkschicht

Bei Netzwerkschicht-Angriffen wird eine große Zahl an Paketen an ein Ziel gesendet. Ein solcher Angriff erfordert keine offene TCP-Verbindung und zielt nicht auf einen bestimmten Port ab. Netzwerkschicht-Angriffe werden in Paketen pro Sekunde (PPS) gemessen.

Beispiele für Netzwerkschicht-Angriffe:

  • Smurf-Angriff
  • SYN-Flood

3. Angriffe auf die Anwendungsschicht

Anwendungsschicht-Angriffe nutzen häufige Anfragen wie HTTP GET und HTTP POST. Diese Angriffe wirken sich gleichermaßen auf Server- und Netzwerkressourcen aus – der gleiche Störeffekt anderer Arten von DDoS-Angriffen kann hier also mit weniger Bandbreite erzielt werden. In dieser Schicht ist die Unterscheidung zwischen legitimem und schädlichem Datenverkehr schwierig, da der Datenverkehr nicht gefälscht ist und somit nicht auffällt. Anwendungsschicht-Angriffe werden in Anfragen pro Sekunde (engl. „requests per second“, RPS) gemessen.

Zwar werden Dienste meist mit großen Mengen von Datenverkehr überflutet, doch es gibt auch langwierige unauffällige Angriffe, die der Erkennung entgehen. Dabei wird kontinuierlich eine kleine Menge an Anfragen gesendet, die zu Leistungseinbußen führen und für längere Zeit unbemerkt bleiben können. Diese Art von Angriffen nimmt Thread-basierte Webserver ins Visier und sorgt dafür, dass Daten an legitime Benutzer nur sehr langsam übertragen werden, ohne dabei jedoch einen Timeout-Fehler auszulösen. Für langwierige unauffällige Angriffe werden beispielsweise Tools wie Slowloris, R.U.D.Y. und Sockstress verwendet.

Was ist der Unterschied zwischen einem DoS- und einem DDoS-Angriff?

DDoS-Angriffe werden von mehreren Systemen aus gestartet, während DoS-Angriffe (Denial-of-Service) nur von einem System stammen. DDoS-Angriffe erfolgen schneller und sind schwieriger zu blockieren als DoS-Angriffe. DoS-Angriffe lassen sich leichter blockieren, da nur ein einziger angreifender Rechner identifiziert werden muss.

Warum sind DDoS-Angriffe eine wachsende Bedrohung?

Die Zahl der DDoS-Angriffe steigt stark an. Trotz eines Rückgangs im Jahr 2018, als das FBI die größten DDoS-Dienstleister im Dark Web abschaltete, nahmen DDoS-Angriffe in der ersten Jahreshälfte 2020 um 151 % zu. In einigen Ländern machen laufende DDoS-Angriffe bis zu 25 % des gesamten Internet-Datenverkehrs aus.

Diese Entwicklung wird vor allem durch die Einführung des Internets der Dinge (IoT) vorangetrieben. Die meisten IoT-Geräte haben keine integrierte Firmware oder Sicherheitskontrollen. Da es eine große Zahl von IoT-Geräten gibt, die ohne Sicherheitstests und -kontrollen bereitgestellt werden, können diese leicht für IoT-Botnets gekapert werden.

Ebenso stellen APIs (Application Programming Interfaces) zunehmend eine weitere Schwachstelle dar. Mit diesen kleinen Programmkomponenten können verschiedene Systeme Daten untereinander austauschen. So kann beispielsweise ein Reiseportal, das Flugpläne der Fluggesellschaften veröffentlicht, mithilfe von APIs die Daten von den Webseiten der Fluggesellschaften auf die Seiten des Reiseportals übertragen. Zudem sind öffentlich verfügbare APIs teilweise unzureichend geschützt. Häufig haben sie Schwachstellen wie schwache Authentifizierungen, mangelhaften Endgeräteschutz, keine robuste Verschlüsselung sowie fehlerhafte Geschäftslogik.

Was sind die Anzeichen eines DDoS-Angriffs?

Die Opfer eines DDoS-Angriffs bemerken in der Regel, dass ihr Netzwerk, ihre Webseite oder ihr Gerät nur langsam läuft oder nicht erreichbar ist. Diese Anzeichen treten jedoch nicht nur bei DDoS-Angriffen auf, sondern können verschiedene Ursachen wie einen defekten Server, einen Anstieg von legitimem Datenverkehr oder einfach nur ein defektes Kabel haben. Sie sollten sich daher nicht allein auf die menschliche Wahrnehmung verlassen, sondern stattdessen ein Tool zur Netzverkehrsanalyse verwenden, um DDoS-Angriffe zu erkennen.

DDoS-Schutz

DDoS-Angriffe müssen von mehreren Seiten bewältigt und abgewehrt werden – es gibt kein universelles Tool, das vollständigen Schutz vor allen Arten von DDoS-Angriffen bietet. Nachfolgend finden Sie einige grundlegende Tools für Ihr Arsenal:

Web-Anwendungsfirewall (WAF): Eine WAF funktioniert wie ein Kontrollpunkt für Web-Applikationen, da sie eingehende HTTP-Anfragen überwacht und schädlichen Datenverkehr herausfiltert. Wenn ein Anwendungsschicht-Angriff erkannt wird, können die WAF-Richtlinien schnell angepasst werden, um die Anfragefrequenz zu begrenzen und schädlichen Datenverkehr über eine aktualisierte Zugriffskontrollliste (ACL) zu blockieren.

Sicherheitsinformations- und Ereignismanagement (SIEM): Ein SIEM-System ist ein Tool, das Daten aus allen Teilen einer Umgebung heranzieht und in einer zentralen Benutzeroberfläche bündelt. Zudem bietet es Einblicke in schädliche Aktivitäten, die zur Qualifizierung von Warnungen genutzt werden können, erstellt Berichte und unterstützt die Zwischenfallreaktion.

CDN/Load Balancer: Content Delivery Networks (CDN) und Load Balancer können das Risiko einer Überlastung eines Servers und die damit verbundenen Leistungs- bzw. Verfügbarkeitsprobleme reduzieren, da sie den eingehenden Datenverkehr automatisch auf mehrere Server verteilen.