PUR

DDoS-Angriff - was ist das?


Bild: <span>Photon photo/Shutterstock.com</span>

Der Abkürzung DDoS steht für "Distributed-Denial-of-Service", was so viel bedeutet wie "dezentralisierte Verweigerung des Dienstes". Bei einem DDoS-Angriff werden Schwachstellen in einer IT-Infrastruktur ausgenutzt, um das gesamte System durch Überlastung zum Zusammenbruch zu bringen. Was genau ein DDoS-Angriff ist und wie er funktioniert, erklären wir Ihnen im folgenden Beitrag.

Was ist ein DDoS-Angriff?

Wenn beispielsweise ein Server oder Webdienst mit einer Vielzahl von Anfragen so lange überflutetet wird, bis er mit der Beantwortung der Anfragen nicht mehr hinterherkommt und dadurch überlastet ist, spricht man von einer DDoS-Attacke. Um DDoS-Attacken auszuführen, bauen sich Hacker zuvor ein Botnetz im Internet auf. Dieses sendet dann für sie Anfragen an ein Zielsystem. Somit zielt ein DDoS-Angriff auf den Ausfall eines IT-Systems ab. Nach einer DDoS-Attacke ist ein Server für andere Nutzer nicht mehr erreichbar, weswegen für den Betreiber durch den Systemausfall ein erheblicher Schaden entsteht. Die Hacker, die hinter einem solchen Angriff stecken, fordern vom betroffenen Unternehmen meistens Lösegeld. Erst nach Zahlung des geforderten Geldes wird der Server oder der Webdienst von der Überlastung befreit und für die Kunden des Unternehmens wieder erreichbar.

Wie funktioniert ein DDoS-Angriff?

Im Allgemeinen gibt es drei Hauptarten von DDoS-Attacken. Daneben werden heutzutage auf immer öfter IoT-Geräte gehackt, um mit einer DDoS-Attacke ein IT-System anzugreifen.

  • Netzwerkzentrierte bzw. volumetrische Angriffe: Mit einem volumetrischen Angriff werden die Leitungen eines Servers oder Dienstes durch eine extrem große Traffic-Menge überlastet. Damit wird die Bandbreite des IT-Systems extrem eingeschränkt und die Nutzer können diesen nicht mehr erreichen. Ein volumetrischer Angriff erzeugt demnach die Überlastung eines Zielsystems durch Anfragen, deren Beantwortung eine unmöglich zu bewältigende Datenverkehrsmenge erfordert.
  • Protokollangriffe: Protokollangriffe agieren auf der Netzwerkebene eines Systems, das sie angreifen. Durch diesen Angriff werden die Tablespaces der zentralen Netzwerkdienste, der Firewall oder des Load-Balancers dahingehend überlastet, dass Anfragen nicht weitergeleitet werden können. Netzwerkdienste arbeiten meistens mit Warteschlangen nach dem First-in-first-out-Prinzip. Das heißt, dass der Rechner die Anfragen chronologisch nach Eingang abarbeitet. Dabei gibt es nur eine begrenzte Anzahl für Anfragen in der Warteschlange. Bei einem Protokollangriff wird die Warteschlange so überfüllt, dass der Rechner nicht genug Kapazität hat, um die erste Anfrage bearbeiten zu können.
  • Angriffe auf Anwendungsebene: DDoS-Attacken auf der Anwendungsebene überlasten die Ressourcen des Zielsystems, um den Zugriff auf die betroffene Webseite oder des betroffenen Dienstes zu stören. Dabei werden komplizierte Anfragen an ein IT-System gestellt, das bei dem Versuch der Beantwortung stark belastet wird. Erhält das Zielsystem mehrere Millionen Anfragen dieser Art in kürzester Zeit, tritt schnell eine Überlastung ein und reagiert nur noch extrem langsam oder hängt sich auf.
  • DDoS-Angriffe und IoT-Geräte: Vernetzte Geräte wie Drucker oder intelligente Lautsprecher werden immer häufiger gehackt, um DDoS-Attacken durchzuführen. Computer verfügen in den meisten Fällen über Firewalls und entsprechende Schutzsoftware, die vor einem fremden Zugriff schützen. Geräte des Internet of Things (IoT) verfügen über weitaus weniger Sicherheit und lassen sich viel leichter hacken und werden immer häufiger dafür zweckentfremden, schädliche Anfragen an Server zu stellen, also einen DDoS-Angriff durchzuführen. So infiltrieren Cyberkriminelle Drucker, Router oder Smartwatches, um sich die Rechenleitungen für einen Angriff auf ausgewählte Server oder Webdienste zunutze zu machen.

Welchen Schutz gibt es vor DDoS-Angriffen?

Es gibt verschiedene Arten und Möglichkeiten, um sich vor einem DDoS-Angriff zu schützen. Meistens werden Server-Systeme zum Ziel von DDoS-Attacken. Auf diesen Servern laufen beispielsweise Webseiten oder Streaming-Dienste. Eine DDoS-Abwehr erkennt, filtert und blockiert den Traffic der Angreifer. Dabei werden lediglich die Datenanfragen der wirklichen Nutzer weitergeleitet. Ganz allgemein gibt es dafür zwei Lösungsansätze:

  • On-Premise: Direkt im Unternehmen wird eine Vorrichtung im Internetzugang angeschlossen, die unerwünschten Daten-Traffic herausfiltert. Dabei sind keine Veränderungen am Netzwerk nötig, jedoch eignet sich diese Methode nicht gegen volumetrische Angriffe.
  • In the Cloud: Während einer DDoS-Attacke werden die entsprechenden Daten an einen Cloud-basierten Server zur Überprüfung und Filterung geschickt. Dabei gibt es einmal die Möglichkeit, einen einzelnen Server zu schützen, indem der DNS-Eintrag des Unternehmens in der Abteilung für Datenbereinigung des Providers in eine virtuelle IP-Adresse konvertiert wird. Der Daten-Traffic wird dann dort geprüft und nur überprüfter Traffic weitergeleitet. Außerdem besteht die Möglichkeit, das Netzwerk insgesamt durch die Übertragung von Daten-Traffic an die Abteilung für Datenbereinigung des Providers über ein sogenanntes BGP-Protokoll (Border Gateway Protocol) vor DDoS-Bedrohungen zu schützen. Der überprüfte Traffic wird danach über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen zurückgegeben. Diese Methoden eignet sich auch als DDoS-Schutz vor großen volumetrischen Angriffen. Allerdings müssen dafür manuelle Eingriffe in die Netzwerk-Konfiguration vorgenommen werden.

Mehr zum Thema: