2022 / Offensive Services

Was DDoS-Angriffe sind, wie sie funktionieren und welchen DDoS-Schutz es derzeit gibt

Was ist ein DDoS-Angriff, wer führt ihn aus und wo genau liegt der Unterschied zwischen einer DoS und einem DDoS-Angriff? All diese Fragen und noch vielmehr werden wir Ihnen heute einmal genauer erklären und das Thema der populären DDoS-Attacken detaillierter betrachten.

Wenn Sie in Ihrem Unternehmen bislang also noch keinen Notfallplan aufgestellt haben, wie auf einen DDoS-Angriff zu reagieren ist, wird es nun Zeit sich mit dem Thema zu befassen. Hier bei uns erfahren Sie wie immer alles, was es zu wissen gilt.

Was ist ein DDoS-Angriff?

Mit der DDoS-Attacke ist einer der am häufigst stattfindenden Angriffe gemeint. Dabei geht es um einen verteilten Netzwerkangriff, sodass auf einmal unglaublich viele Anfragen gleichzeitig gestellt werden. Diese wiederum lassen nahezu jedes System zwangsläufig in sich zusammenbrechen.

Genau das ist auch Ziel der DDoS-Angriffe: Etwaige Webserver zum Absturz bringen, Dateisysteme nachhaltig schädigen oder aber einfach für möglichst lange Ausfallzeiten sorgen, was den Anbieter viel Geld kosten kann. DDoS-Angriffe gab es schon immer und es wird sie auch immer geben, da sie in der Theorie recht einfach aufgebaut und somit vergleichsweise trivial umzusetzen sind.

Für den Angriff kommen Botnetze (also Zombie-Netzwerke) zum Einsatz. Die bestehen aus infizierten Rechnern, welche dem Befehl des Angreifers folgen und auf sein Kommando hin bestimmte Ressourcen beständig abfragen. Weil das gleichzeitig und in unfassbar großer Anzahl passiert, bricht das angegriffene System daraufhin recht schnell zusammen.

Was ist der Unterschied zwischen DoS und DDoS?

Die Denial of Service Attacke hat also immer mit einer Überlastung des jeweiligen Dienstes zu tun. Das Ziel eines solches Angriffs ist also die Verletzung der Verfügbarkeit – eines der drei Schutzziele der Informationssicherheit. Nehmen wir als Beispiel einen Server, der durch zu viele Anfragen überlastet wird und deshalb zusammenbricht. Solche Angriffe sind gar nicht so selten, weshalb meist bereits entsprechende Schutzmechanismen vorhanden sind, um derartige Attacken abzuwehren.

Wer ein DoS-Angriff erkennt, kann diesen entsprechend blockieren. Das gelingt relativ einfach, da ein Angreifer schnell identifiziert und fortan gesperrt werden kann, bevor er größeren Schaden anrichtet. Bei einer Distributed Denial of Service Attacke (also einem DDoS-Angriff) hingegen, ist das nicht mehr so leicht möglich. Hier kommt nämlich ein Netzwerk aus vielen verschiedenen Angreifern zum Einsatz, weshalb es schwierig bis unmöglich wird, jeden davon gezielt zu blockieren.

Für DDoS-Attacken kommen oft große Botnetze zum Einsatz. Auf einmal greifen also viele verschiedene Rechner an, die gleichzeitig bestimmte Ressourcen aufrufen oder abrufen und so für Serverüberlastungen bei dem jeweiligen Angebot sorgen.

Welches Ziel hat ein DDoS-Angriff?

Findet ein DDoS-Angriff statt, geht es immer darum, ein Angebot möglichst in die Knie zu zwingen, bis es vollständig down ist. Soll heißen: Durch eine Überlastung der Serverstrukturen soll das Angebot ausfallen und nicht mehr erreichbar sein. Das ist für Betreiber ein großes Problem, da beispielsweise keine Verkäufe in einem Shop mehr möglich sind, wenn ein DDoS-Angriff stattfindet. Oder ganze Dienste ausfallen, weil die Infrastruktur angegriffen wurde.

Wird eine Distributed Denial of Service Attacke durchgeführt, handelt es sich daher meist um einen Erpressungsversuch. Auch dienen DDoS-Angriffe dazu, die Konkurrenz zu schädigen oder bei deren Kunden für viel Ärger und Vertrauensverluste zu sorgen. DDoS-Attacken sind in gewisser Weise eine Form von Sabotage oder reinem Vandalismus.

Im Gaming oder im Bereich der Medien werden DDoS-Angriffe beispielsweise häufig als eine Form von Protest genutzt. Ähnlich wie Protestierende eine Scheibe einwerfen oder etwas auf eine Hauswand sprühen würde, führen sie im digitalen Umfeld oft Vandalismus mittels DDoS-Attacke durch. Das macht deutlich, dass Unzufriedenheit herrscht und entsprechende Angebote sind zumindest teilweise schwer bis gar nicht mehr erreichbar. Oft passiert so etwas bei Multiplayer-Spielen oder auf Websites, im Anschluss an kritische Artikel gegen bestimmte Gruppierungen.

Kann man DDoS-Angriffe kaufen?

Ja, DDoS-Angriffe können Sie auch kaufen. Das liegt daran, dass die Services von Botnetzen oft im Darknet oder innerhalb der Szene und in Hacker-Foren entsprechend angeboten werden. Wie eine Form von Dienstleistung, die Hacker in Anspruch nehmen können, falls ihnen selbst kein Botnetz zur Verfügung steht.

Da DDoS-Angriffe aber immer erkannt und nach und nach eingedämmt werden können, sind DDoS-Attacken keine Angriffe, die dauerhaft durchgeführt werden können. Vielmehr gibt es üblicherweise Angriffe, die einen Dienst für ein paar Stunden oder einige Tage lahmlegen. Mehr ist meist nicht möglich und auch nicht sinnvoll.

Bezahlt werden gekaufte DDoS-Angriffe logischerweise nicht in Euro oder Dollar, sondern mit Bitcoin oder durch weitere anonyme Zahlungsmethoden. Allerdings lässt sich dann fast schon sicher von Script-Kiddies reden, die einfach nur Hass auf etwas haben und es lahmlegen möchten. Ernsthafte DDoS-Attacken werden nicht eingekauft und zielen größtenteils auch nicht nur auf die Unerreichbarkeit ab, sondern auf Schäden an den Dateisystemen.

Welche Rolle spielen Botnetze dabei?

Die oft betitelten Zombie-Netzwerke, also Botnetze, sind nichts weiter als infizierte Rechner. Diese »Zombies« leben ihr Leben und zeigen dem Besitzer zu keiner Zeit an, dass sie bereits infiziert wurden. Erst wenn ein Botnetz wirklich groß geworden ist, ergibt es Sinn, mit ebendiesem anzugreifen.

Hacker infizieren also ein Gerät nach dem anderen, bis eine schier unendliche Anzahl von »Zombies« im Netzwerk zur Verfügung steht. Auf Abruf gehorchen diesem nun seinem Befehl und steuern bestimmte Ressourcen an. Das ist die Grundlage für einen DDoS-Angriff.

Denn nur weil vermeintlich harmlose Geräte, in gigantischer Anzahl, zur selben Zeit auf etwas zugreifen, hat der DDoS überhaupt Erfolg. Ein DoS könnte schließlich sofort mittels IP-Adresse blockiert werden. Bei einem DDoS ist das schwieriger, weil die Anzahl an Anfragen riesig ist und erst einmal ausgemacht werden muss, wer zum Angriff gehört und wer nicht.

Welchen Schutz vor DDoS-Angriffen gibt es?

In der Theorie ist bei Servern ein Ausfall durch die Cloud nur noch schwer möglich. Load Balancing würde dafür sorgen, dass überlastete Instanzen durch neue ergänzt werden, sodass sich weitere Server hinzuschalten, sollte es zu einer Überlastung kommen. Jedenfalls in einer perfekten Welt.

Denn natürlich kostet das alles viel Geld und meist steht kein unendlicher Pool an Rechenpower zur Verfügung, um einem DDoS-Angriff standzuhalten. Im Grunde ist es daher nicht möglich, dem DDoS-Angriff einfach auszuweichen und den normalen Betrieb aufrechtzuerhalten.

Der wichtigste Schutz gegen DDoS-Angriffe ist ein sehr genaues Loggen der Anfragen und eine entsprechende Überwachung aller Aktivitäten. Kommt es zu erhöhten Zugriffen, können diese schnell und teilweise auch automatisiert vom Sicherheitsexperten blockiert werden. Es gibt einige Dienstleister, wie Cloudflare, die mit ihrem DDoS-Schutz relativ große Erfolge erzielen. Auch eine Web Application Firewall ist hier logischerweise Pflicht, um bereits bekannte Angreifer vorab aussperren zu können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.