In diesem Blogpost geht es um DDos-Angriffe. Was sind DDos-Angriffe? Wieso existieren sind? Wer führt diese aus und wer sind die Opfer? Ich habe mir selbst diese Fragen gestellt, um eine Idee zu haben, was ich darüber in diesem Blogpost erzählen kann. Ich bin auf die DDos als Blogpost Idee ziemlich zufällig gekommen, aber bin auch selbst neugierig.
Was ist DDos?
DDos-Angriffe gehören mit zu den schwerwiegendsten Bedrohungen im IT-Bereich. Sie sind besonders gefährlich, wenn man auf seine Online-Präsenz oder Webservices angewiesen ist. Das Akronym DDos steht für “distributed denial of service attack”. Ziel eines DDos-Angriffs ist einzig und allein, die Online Präsenz oder die Webservices durch Überladen nicht weiter verfügbar zu machen.
Wieso gibt es DDos-Angriffe?
DDos Angriffe werden wegen unterschiedlichen Gründen durchgeführt. Ein sehr berühmter Grund für eine DDos-Angriff auf ein Unternehmen ist Lösegeld. Die Angreifer fordern eine Summe an Geld und falls die nicht gelöst wird, werden die Webservices für eine gute Weile nicht mehr verfügbar sein. Es gibt noch weitere Gründe, wie z.B. aus dem simplen Grund das Netzwerk zu schaden oder auch „politische“ Gründe.
Wie wird ein DDos-Angriff durchgeführt?
Ein DDos-Angriff kann in mehrere Phasen durchgeführt werden.
Phase 1 (optional): Auskundschaften
Ders Angreifer sammelt so viele Informationen wie möglich. Er versucht herauszufinden, wie der Setup des Opfers aussieht und wie er es am besten angreifen kann. Diese Phase bleibt unbemerkt, da nur Informationen gesammelt werden.
Phase 2 (optional): Test-Angriff
In dieser Phase wird ein Test-Angriff durchgeführt. Dieser Angriff dauert meistens für eine kurze Zeit (ca. 1 Minute). Von diesem Test-Angriff gibt es zwei Arten: Ein demonstrativer Angriff und ein Test-Angriff. Der demonstrative Angriff dient nur als Warnung, um zu zeigen, dass man für ein Angriff in der Lage ist. Nach einem demonstrativen Angriff folgt auch üblicherweise die Anforderung nach Lösegeld. Die zweite Art ist eine normale Test-Angriff. Es wird nur getestet, ob ein DDos Angriff erfolgreich ist.
Phase 3: DDos-Angriff
Der Server des Opfers wird hier angegriffen. Er wird von Datenverkehr aus der ganzen Welt, meistens von *Botnets oder über die Datenverarbeitungsressourcen verschiedener Cloud-Anbieter überflutet. Man kann es sich so vorstellen, dass zig-tausende kleine Computer alle gleichzeitig so viel und so schnell Verkehr wie sie können an ein System/ Unternehmen senden.
Arten von Angriffen
Es gibt verschiedene Strategien, die sich in drei Kategorien einteilen:
- die Überlastung der Bandbreite
- die Überlastung der Systemressourcen und
- die Ausnutzung von Softwarefehlern und Sicherheitslücken
Überlastung der Bandbreite
Eine Überlastung der Bandbreite hat zum Ziel, dass der Rechner nicht mehr erreichbar ist.
DDos-Angriffe richten sich in diesem Fall direkt an das Netzwerk und die jeweiligen Verbindungsgeräte. Ein Router kann dadurch nur eine bestimmte Datenmenge gleichzeitig bearbeiten. Durch ein erfolgreichen Angriff wird die Kapazität komplett in Anspruch genommen, was dazu führt, dass die Benutzer entsprechende Dienste nicht mehr zur Verfügung gestellt bekommen.
Beispiel:
- Smurf-Angriff
Überlastung der Systemressourcen
Bei einem Angriff auf die Ressourcen eines Systems nutzen die Angreifer den Umstand aus, dass Webserver nur eine begrenzte Anzahl an Verbindungen herstellen können. Werden diese mit sinnlosen Anfragen überflutet, blockieren sich Serverdienste für die Benutzer. Es geht hierbei um Flooding (Überflutung).
Beispiel:
- HTTP-Flood
- Ping-Flood
- SYN-Flood
- UDP-Flood
Ausnutzung von Softwarefehlern und Sicherheitslücken
Wenn solche Fehler oder Lücken bekannt eines Programms sind, können weitere DDos Anfragen Softwarefehler und sogar Systemabstürze auslösen.
Beispiel:
- Ping of Death
- Land-Attacke
Wie schützt man sich vor DDos-Angriffe?
Gegen DDos-Angriffe wurden verschiedene Sicherheitsmaßnahmen entwickelt.
- IP-Sperrlisten:
Durch Sperrlisten können kritische IP-Adressen identifiziert werden und Datenpakete verworfen werden. Man kann sie Manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.
- Filterung:
Durch Filterung ist es möglich, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren.
- Load-Balancing:
Load-Balancing ermöglicht eine Lastenverteilung auf verschiedene Systeme, was effektiv gegen Überlastung schützt. Es wird die Hardware-Auslastung bereitgestellter Dienste auf mehrere physische Maschinen verteilt.
Falls man doch noch Opfer einer DDos Attacke ist, sollte man auf keinen Fall Lösegeld zahlen. Dabei wird man nur zu ein noch attraktiveren Ziel und ermutigt die Angreifer dazu, weiterzumachen und noch andere anzugreifen.
*Botnets: Eine Gruppe automatisierter Schadprogramme, auch genannt Bots.
Suhejlsblog 