20 Jahre DDoS

Eine viel verwendete Hackertechnik wurde 1999 erstmals eingesetzt – und sie ist gefährlicher denn je.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: MS. TECH; Computer: Wikimedia Commons)

Von

Der 22. Juli 1999 ist ein unheilvoller Tag in der Computergeschichte. An diesem Tag wurde ein Rechner an der University of Minnesota plötzlich von einem Netzwerk aus 114 anderen Computern angegriffen, auf denen ein bösartiges Programm namens Trin00 lief.

Der Code sorgte auf den infizierten Rechnern dafür, dass sie überflüssige Datenpakete an die Universität schickten, die die Maschine überforderten und dafür sorgten, das legitime Anfragen nicht mehr durchkamen. Das Hochschulsystem war zwei Tage lang nicht erreichbar.

Dies war die weltweit erste Live-Demonstration einer sogenannten "Distributed Denial of Service"-Attacke (DDoS). Und es dauerte nicht lange, dass sich diese Taktik im Netz verbreitete. In den folgenden Monaten wurden diverse bekannte Websites ihre Opfer, darunter Yahoo, Amazon und CNN. Jedes Mal wurden sie mit unnötigen Datenpakete beschossen, die sie für die Anfragen legitimer Nutzer unerreichbar machten. Jedes Mal kamen die Anfragen von einem Netzwerk aus infizierten Maschinen.

Seither sind DDoS-Angriffe quasi Alltag. Kriminelle betreiben sogar einen schwunghaften Handel damit, erpressen Websites und bedrohen sie mit Attacken, sollten sie nicht zahlen. Zudem kann man das Verfahren auch mieten: Eine 24 Stunden andauernde DDoS-Kampagne kostet bei manchem Anbieter nur 400 US-Dollar.

Die Kosten für das Opfer können hingegen riesig sein, sei es nun durch ausgefallene Verkäufe oder Reputationsverlust. Das wiederum sorgt für einen Markt im Bereich der Cyberverteidigung, die gegen DDoS schützen soll. 2018 kamen hier Umsätze in Höhe von zwei Milliarden Euro zusammen. Entsprechend stellt sich die Frage, was sich praktisch gegen DDoS-Angriffe tun lässt.

Vielleicht sollten wir zunächst aus der Geschichte lernen. Im 20. Jubiläumsjahr schreibt der Forscher Eric Osterweil von der George Mason University in Virginia zusammen mit seinen Kollegen in einer Studie über die Natur dieser Angriffsform, wie sie entstanden ist und ob es grundlegende Probleme in der Netzwerkarchitektur gibt, die erst gelöst werden müssen, bevor es besser wird. Seine Antwort: "Die Landschaft mit billigen und leicht verwendbaren Softwarerobotern ist für Böswillige nur noch größer geworden und für Internet-Diensteanbieter noch schädigender."

DDoS-Angriffe erfolgen in Stufen. Die erste sorgt dafür, dass ein Computer überfallen und mit einer Software ausgerüstet wird, die Angriffe über ein Netzwerk verteilt. Der erste Rechner ist der "Master" und steuert die angeschlossenen Angriffssysteme sobald diese infiziert sind. Die vielen Rechner, die die eigentliche Arbeit erledigen, nennt man "Dämonen" (daemons).

Die Opfer der ersten Stufe sind oft in Universitäten und deren Computernetzwerken zu finden, denn da gibt es viele recht ungesicherte Systeme. Eine DDoS-Attacke beginnt damit, dass der Master-Rechner ein Kommando an die Daemons schickt, die die Zieladresse enthält. Die Daemons schicken dann eine große Anzahl an unnötigen Datenpaketen ans Opfer. Ziel ist es, es zu überlasten, damit während des Angriffs niemand anderes durchkommt. Das geht mit hohem Bandbreitendruck, der manchmal im Terabit-Bereich zu messen ist.

Die Angreifer sorgen zudem meistens dafür, dass ihr eigener Ort und ihre eigene Identität geheim bleiben. Daemons nutzen Techniken wie das sogenannte IP-Spoofing, um sich zu verstecken. Master-Rechner sind schwer zu verfolgen, weil sie nur ein Kommando absetzen müssen, um einen Angriff zu starten. Und der Angreifer kann sich auch entscheiden, Daemons in Ländern laufen zu lassen, auf die Behörden keinen schnellen Zugriff haben – auch wenn die Macher ganz woanders sitzen.

Die Verteidigung gegen DDoS ist schwer, weil es eine konzertierte Aktion braucht. Erste Möglichkeit ist die Unterdrückung der Schaffung von Daemon-Netzwerken. Dazu müssen Administratoren und User ihre Systeme stets auf dem neuesten Stand halten, um ausnutzbare Sicherheitslücken zu stopfen. Weiterhin sollten auch persönliche Firewalls und Passwörter in Schuss sein.

Internet-Provider können auch Maßnahmen ergreifen. Sie leiten die schlechten Datenpakete aufgrund ihres Headers von einem Netzwerk in ein anderes, wobei egal ist, wo sie her kamen. Das könnte sich ändern: Provider könnten Pakete schon in ihren Netzen blockieren, wenn ein DDoS anzustehen scheint.

Allerdings ist das nur reine Theorie und rechnerisch sehr aufwendig. Die Provider sind zudem nur selten Angriffsziel und haben daher nur geringes Interesse an einer DDoS-Bekämpfung. Zum Schluss kann sich auch das Ziel wehren. Dazu gehört das automatische Aussortierung maliziöser Datenpakete, bevor ein Rechner sich damit beschäftigen muss. Das spart Ressourcen.

Allerdings ist es nicht gratis, eine solche Datenbank zu pflegen und agieren zu lassen. Auch das kostet viel Rechenleistung und es fehlt an Koordination. Weiterhin können Betroffene ihre Online-Technik auch an einen Cloud-Anbieter abgeben. Dort ist man auf DDoS allgemein besser eingerichtet, selbst wenn die Abwehr nicht immer klappt. "Wie können wir die Hintergründe unserer Netzwerkinfrastruktur so verbessern, dass DDoS-Probleme nicht entstehen?", fragen Osterweil und sein Team. Der 20. Geburtstag sei ein guter Termin, das Problem näher zu untersuchen. "Wir glauben, wir brauchen eine Untersuchung, welche Grundlagen DDoS-Agriffe ermöglichen und verstärken."

Mehr Infos

Eine interessante Beobachtung ist die Tatsache, dass Angriffe und Verteidigung asymmetrisch erfolgen. Typischerweise starten viele Daemons gemeinsam auf der ganzen Welt. Die Verteidigung befindet sich aber nur an einem Ort, da, wo der Rechner steht. Netzwerke sollten daher modifiziert werden, um eine verteilte Verteidigung zu ermöglichen. Filter und Forward-Stops für böse Datenpakete wären eine Möglichkeit.

Weiterhin sind auch Überprüfungen seitens der Provider möglich. Jeder Anbieter könnte rund 20.000 Datenpakete sammeln und sie dann mit anderen Providern abgleichen. So könnten Opfer und Polizei die Schuldigen besser finden – und zwar auch nach der Beendigung des Angriffs. Diese und andere Ideen würden das Internet sicherer machen. Die Zeit sei reif dafür. "Das ist ein Aufruf, um zu handeln. Die Forschergemeinschaft ist unsere größte Hoffnung und qualifiziert dafür, diese Herausforderung anzunehmen."

()