Ein vollständiger Leitfaden zu DDoS-Angriffen: Was sie sind und wie man sich schützt

Shanika W.

By Shanika W. . 2 April 2023

Cybersecurity Analyst

Miklos Zoltan

Fact-Checked this

In diesem Leitfaden werden wir eine Vielzahl von Themen im Zusammenhang mit DDoS-Angriffen besprechen, darunter, was ein DDoS-Angriff ist, wie sie funktionieren, die Arten von DDoS-Angriffen, die Auswirkungen von DDoS-Angriffen und wie man sich gegen DDoS-Angriffe verteidigt.

Dieser Artikel beantwortet die folgenden Fragen:

  • Was ist ein DDoS-Angriff?
  • Wie funktioniert ein DDoS-Angriff?
  • Auswirkungen von DDoS-Angriffen
  • Grundlegende Arten von DDoS-Angriffen
  • DDoS-Angriffsstile
  • Wie man einen DDoS-Angriff erkennt
  • Wie man sich vor DDoS-Angriffen schützt

Kurze Zusammenfassung

Distributed Denial of Service (DDoS)-Angriffe sind seit zwanzig Jahren eine mächtige Waffe im Internet. Sie haben sich im Laufe der Zeit zu einer immer häufigeren und stärkeren Bedrohung entwickelt und sind heute eine der größten Bedrohungen für jedes Unternehmen, das Online-Geschäfte betreibt.

DDoS-Angriffe funktionieren im Allgemeinen, indem sie eine Website oder einen Online-Dienst mit mehr Datenverkehr überlasten, als dessen Server oder Netzwerk verkraften kann. Ein DDoS-Angriff zielt darauf ab, diese Website oder den Online-Dienst für Benutzer unzugänglich zu machen. Die Angreifer sind dabei in der Regel auf Botnetze angewiesen, Netzwerke aus mit Malware infizierten Computern, die zentral gesteuert werden.

Was ist ein DDoS-Angriff?

Ein Distributed Denial of Service (DDoS)-Angriff ist der Versuch eines Angreifers, die Bereitstellung eines Online-Dienstes für Benutzer zu unterbrechen. Dies kann geschehen, indem der Zugang zu praktisch allem blockiert wird, wie Servern, Netzwerken, Geräten, Diensten, Anwendungen und sogar bestimmten Transaktionen innerhalb von Anwendungen.

DDoS-Angriffe können als Variante von Denial-of-Service-Angriffen (DoS-Angriffe) bezeichnet werden, bei denen ein Angreifer oder eine Gruppe von Angreifern mehrere Geräte gleichzeitig für einen DoS-Angriff einsetzen.

Der Hauptunterschied zwischen DoS-Angriffen und DDoS-Angriffen besteht darin, dass während bei erstgenannten ein System verwendet wird, um bösartige Daten oder Anfragen zu senden, ein DDoS-Angriff von mehreren Systemen aus gesendet wird, wodurch seine Stärke und Wirksamkeit erhöht wird.

DDoS-Angriffe zielen auf Opfer aller Ebenen ab, indem sie den Zugang zu Systemen vollständig blockieren und sogar auf Erpressung zurückgreifen, um den Angriff zu beenden.

Banken, Websites, Online-Händler und Nachrichtenkanäle gehören zu den Hauptzielen von Angreifern, was es zu einer echten Herausforderung macht, sicherzustellen, dass sensible Informationen sicher abgerufen und veröffentlicht werden können.

Es ist schwierig, diese DDoS-Angriffe zu erkennen und zu blockieren, da der von ihnen erzeugte Datenverkehr schwer nachzuverfolgen ist und leicht mit legitimem Datenverkehr verwechselt werden kann.

Wie funktioniert ein DDoS-Angriff?

Die meisten DDoS-Angriffe werden über Botnetze ausgeführt, die große Netzwerke aus intelligenten IoT-Geräten, mit Malware infizierten Computern und anderen internetfähigen Geräten unter der Kontrolle von Hackern sind.

Der Angreifer weist die Maschinen im Botnetz an, riesige Mengen von Verbindungsanfragen an eine bestimmte Website oder die IP-Adresse eines Servers zu senden.

Dies überlastet die betreffende Website oder den Online-Dienst mit mehr Datenverkehr, als dessen Server oder Netzwerk verkraften kann. Das Endergebnis wird sein, dass diese Websites oder Online-Dienste für Benutzer aufgrund von überlasteter Internetbandbreite, RAM-Kapazität und CPU nicht verfügbar sind.

Die Auswirkungen dieser DDoS-Angriffe können von geringfügigen Unannehmlichkeiten und unterbrochenen Diensten bis hin zu kompletten Ausfällen von Websites, Anwendungen oder sogar ganzen Unternehmen reichen.

Auswirkungen von DDoS-Angriffen

DDoS-Angriffe können Opfer in mehrfacher Hinsicht beeinträchtigen.

  • Finanzieller Verlust
  • Schaden am Ruf
  • Datenverlust
  • Beeinträchtigung des Kundenvertrauens
  • Auswirkungen auf wichtige Dienstleistungen
  • Direkte und indirekte Kosten, die bei der Wiederherstellung von Systemen anfallen
  • Auswirkungen auf Dritte

Grundlegende Arten von DDoS-Angriffen

DDoS-Angriffe fallen im Allgemeinen in eine oder mehrere Kategorien, wobei einige fortgeschrittene Angriffe Angriffe auf verschiedene Vektoren kombinieren. Im Folgenden sind die drei Hauptkategorien von DDoS-Angriffen aufgeführt.

1. Volumenbasierte Angriffe

Dies ist die klassische Art von DDoS-Angriffen, bei denen Methoden verwendet werden, um große Mengen an gefälschtem Datenverkehr zu erzeugen und die Bandbreite einer Website oder eines Servers vollständig zu überlasten. Dieser gefälschte Datenverkehr macht es unmöglich, dass echter Datenverkehr in die oder aus der angegriffenen Seite fließen kann. Zu diesen Angriffen gehören UDP-, ICMP- und gefälschte Paketflutangriffe. Die Größe von volumenbasierten Angriffen wird in Bits pro Sekunde (BPS) gemessen.

2. Protokollangriffe

Diese Angriffe sind fokussierter und nutzen die Schwachstellen von Ressourcen auf einem Server aus. Sie verbrauchen vorhandene Serverressourcen oder zwischengeschaltete Kommunikationsgeräte wie Firewalls und Load Balancer und senden große Pakete an sie. Zu diesen Angriffen gehören normalerweise SYN-Fluten, Ping of Death, fragmentierte Paketangriffe, Smurf-DDoS usw., und ihre Größe wird in Paketen pro Sekunde (PPS) gemessen.

3. Angriffe auf Anwendungsebene

Dies ist die ausgeklügeltste Art von DDoS-Angriffen, die sich gegen spezifische Webanwendungen richten. Sie werden durch Überlastung der Anwendungen mit bösartigen Anfragen durchgeführt. Die Größe dieser Angriffe wird in Anfragen pro Sekunde (RRS) gemessen.

Arten von DDoS-Angriffen

1. UDP- und ICMP-Fluten

Dies sind die häufigsten Angriffsstile, die unter volumenbasierten Angriffen fallen. UDP-Fluten ertränken Host-Ressourcen mit User Datagram Protocol (UDP)-Paketen. Im Gegensatz dazu tun ICMP-Fluten dasselbe mit Internet Control Message Protocol (ICMP) Echo Request (Ping)-Paketen, bis der Dienst überlastet ist.

Außerdem neigen Angreifer dazu, Reflexionsangriffe zu verwenden, um den vernichtenden Datenfluss dieser Fluten zu erhöhen, indem sie die IP-Adresse des Opfers fälschen, um die UDP- oder ICMP-Anfrage zu stellen. Die Antwort wird an den Server selbst zurückgesendet, da das bösartige Paket anscheinend vom Opfer kommt. Auf diese Weise verbrauchen diese Angriffe sowohl die eingehende als auch die ausgehende Bandbreite.

2. DNS-Amplifikation

Wie der Name schon sagt, handelt es sich bei diesen Angriffen um Kriminelle, die zahlreiche DNS-Suchanfragen senden, um ein Netzwerk funktionsunfähig zu machen. Die Verstärkung erschöpft die Bandbreite des Servers, indem sie den ausgehenden Datenverkehr erhöht.

Dies geschieht, indem Informationsanfragen an den Server gesendet werden, die bei der Antwort große Datenmengen ausgeben und diese Daten dann durch Fälschen der Antwortadresse direkt an den Server zurückleiten.

Der Angreifer sendet also zahlreiche relativ kleine Pakete an einen öffentlich zugänglichen DNS-Server über viele verschiedene Quellen eines Botnetzes. Sie sind alle Anfragen für eine ausführliche Antwort, wie zum Beispiel DNS-Namensabfrageanfragen. Dann antwortet der DNS-Server auf jede dieser verteilten Anfragen mit Antwortpaketen, die viele Größenordnungen mehr große Daten als das ursprüngliche Anfragepaket enthalten, wobei all diese Daten direkt an den DNS-Server des Opfers zurückgesendet werden.

3. Ping of Death

Dies ist ein weiterer Protokollangriff, bei dem der Angreifer mehrere bösartige oder fehlerhafte Pings an einen Computer sendet. Während die maximale Länge eines IP-Pakets 65.535 Byte beträgt, begrenzt die Datenschicht die maximal zulässige Frame-Größe über ein Ethernet-Netzwerk.

Daher wird ein großes IP-Paket in mehrere Pakete (sogenannte Fragmente) aufgeteilt, und der empfangende Host setzt diese Fragmente wieder zu einem vollständigen Paket zusammen. Im Falle von Ping of Death endet der Host mit einem IP-Paket, das größer als 65.535 Byte ist, wenn er versucht, die Fragmente der bösartigen Pings zusammenzusetzen. Dies führt zu einem Überlauf der für das Paket zugewiesenen Speicher-Puffer, was in einer Dienstverweigerung selbst für legitime Datenpakete resultiert.

4. SYN Flood

SYN Flood ist einer der häufigsten Protokollangriffe, die den Drei-Wege-Handshake-Prozess umgehen, der erforderlich ist, um TCP-Verbindungen zwischen Clients und Servern herzustellen.

Diese Verbindungen werden normalerweise hergestellt, indem der Client eine initiale Synchronisationsanfrage (SYN) an den Server sendet, der Server mit einer bestätigenden (SYN-ACK) Antwort antwortet und der Client den Handshake mit einer abschließenden Bestätigung (ACK) abschließt.

SYN-Fluten funktionieren, indem sie eine schnelle Abfolge dieser initialen Synchronisationsanfragen durchführen und den Server hängen lassen, indem sie niemals mit einer abschließenden Bestätigung antworten. Letztendlich wird der Server aufgefordert, eine Reihe von halboffenen Verbindungen offen zu halten, die schließlich die Ressourcen überlasten, bis der Server abstürzt.

5. HTTP Flood

Dies ist eine der häufigsten Arten von Angriffen auf Anwendungsebene (DDoS). Hier führt der Kriminelle Interaktionen durch, die mit einem Webserver oder einer Anwendung normal erscheinen.

Obwohl all diese Interaktionen von Webbrowsern stammen, um wie normale Benutzeraktivitäten auszusehen, sind sie so angeordnet, dass sie so viele Ressourcen vom Server wie möglich verbrauchen.

Die Anfrage des Angreifers kann alles beinhalten, von dem Aufruf von URLs für Dokumente oder Bilder mit GET-Anfragen bis hin zum Veranlassen des Servers, Datenbankanrufe mit POST-Anfragen zu verarbeiten.

DDoS-Angriffsdienste werden oft im Darknet verkauft.

Wie erkennt man einen DDoS-Angriff?

DDoS-Angriffe können oft wie nicht bösartige Dinge klingen, die Verfügbarkeitsprobleme verursachen können. Zum Beispiel können sie wie ein ausgefallener Server oder ein System, zu viele Anfragen von tatsächlichen Benutzern oder manchmal ein durchtrenntes Kabel erscheinen. Daher müssen Sie immer den Datenverkehr analysieren, um herauszufinden, was passiert.

Wenn Sie Opfer eines DDoS-Angriffs geworden sind, werden Sie einen plötzlichen Anstieg des eingehenden Datenverkehrs bemerken, der dazu führt, dass Ihr Server unter Druck abstürzt. Wenn Sie außerdem eine Website besuchen, die von einem DDoS-Angriff betroffen ist, wird sie extrem langsam geladen oder zeigt den 503-Fehler „Dienst nicht verfügbar“ an. Wahrscheinlich können Sie auf diese Seite nicht zugreifen, bis der Angriff abgewendet ist.

Symptome von DDoS-Angriffen

Eine langsame Website oder Dienstleistung ist das offensichtlichste Symptom eines DDoS-Angriffs. Die häufigsten Symptome eines DDoS-Angriffs sind:

  • Langsamer Zugriff auf lokal oder entfernt gespeicherte Dateien
  • Unfähigkeit, eine bestimmte Website langfristig aufzurufen
  • Eine große Menge an Datenverkehr von einer bestimmten Quelle oder IP-Adresse
  • Überlauf von Datenverkehr von Benutzern, die ähnliches Verhalten, Gerätetyp, Webbrowser und Standort anzeigen
  • Plötzlicher und abnormaler Anstieg der Anfragen auf einer Seite
  • Probleme beim Zugriff auf alle Websites
  • Große Mengen an Spam-E-Mails
  • Internet-Verbindungsabbrüche

Obwohl auch ein legitimer Anstieg des Datenverkehrs Leistungsprobleme verursachen kann, ist es wichtig, weiter zu untersuchen. Insbesondere sollte eine Analyse durchgeführt werden, wenn der Datenverkehr ungewöhnlich erscheint.

Beispiel: Ein Online-Shop erlebt einen Anstieg des Datenverkehrs kurz nach dem Black Friday-Verkauf, Weihnachten usw. Neben den oben genannten Symptomen haben DDoS-Angriffe spezifische Symptome, abhängig von der Art des Angriffs.

Wenn ein Botnetz Ihren Computer für einen DDoS-Angriff verwendet, zeigt es die folgenden Warnzeichen:

  • Plötzlicher Leistungsabfall
  • Systemabstürze
  • Häufige Fehlermeldungen
  • Extrem langsame Internetgeschwindigkeit

Wie Sie sich vor DDoS-Angriffen schützen können

Sich vor einem DDoS-Angriff zu schützen, kann eine schwierige Aufgabe sein. Organisationen müssen gut planen, um solche Angriffe abzuwehren und zu verhindern.

Die Identifizierung Ihrer Schwachstellen ist der Schlüssel und der erste Schritt jeder Schutzstrategie. Zusätzlich dazu helfen die unten genannten Schritte, die Angriffsfläche einer Organisation zu verringern und den Schaden eines DDoS-Angriffs zu mildern.

  1. Handeln Sie schnell, indem Sie Ihren ISP-Anbieter informieren, Backup-ISP haben und den Datenverkehr umleiten.
  2. Konfigurieren Sie Firewalls und Router, um gefälschten Datenverkehr abzulehnen, als erste Abwehrlinie.
  3. Schützen Sie einzelne Computer, indem Sie Antivirus- oder Sicherheitssoftware mit den neuesten Sicherheitspatches installieren.
  4. Analysieren Sie die Anwendungsarchitektur und -implementierung. Die Anwendung sollte so implementiert werden, dass Benutzeraktionen keine Systemressourcen aufbrauchen oder Anwendungskomponenten übermäßig beanspruchen.
  5. Überwachen Sie den Netzwerkverkehr, um Benachrichtigungen bei unerwarteten Spitzen im Netzwerkverkehr zu erhalten. Dies hilft, netzwerkgerichtete DoS-Angriffe zu identifizieren. Durch die Analyse des Ursprungs des Datenverkehrs können Sie weitere Einblicke gewinnen.
  6. Überwachen Sie die Systemgesundheit und -reaktionsfähigkeit durch regelmäßige Gesundheitschecks, um auf systemgerichtete DoS-Angriffe zu reagieren.
  7. Bewerten Sie die Anwendungs- und Reaktionsfähigkeit durch regelmäßige Gesundheitschecks der Anwendungskomponenten. Dadurch können anwendungsgerichtete DDoS-Angriffe identifiziert werden.
  8. Erstellen Sie einen Abwehrplan. Verschiedene Arten von DDoS-Angriffen erfordern unterschiedliche Strategien zur Abwehr. Viele Anbieter bieten mittlerweile Strategien und Mechanismen zum Schutz vor DDoS-Angriffen an. Überlegen Sie daher, ob die Strategien und Mechanismen Ihres Anbieters gut zu Ihren Bedürfnissen passen.

Darüber hinaus verhindert das Einüben von Internetsicherheitsgewohnheiten, dass Ihre Geräte in Botnets verwendet werden.

Verwenden Sie starke Passwörter

Use long, unique, and difficult-to-guess passwords for all your accounts. In addition, you can use a password manager to store and sync passwords across your devices securely.

Verwenden Sie aktuelle Software

Veraltete Software enthält Sicherheitslücken, die Hacker nutzen können, um in Ihr System zu gelangen. Aktualisieren Sie daher ständig Ihre Software und installieren Sie die von Softwareanbietern veröffentlichten Updates und Patches so schnell wie möglich. Diese Updates sind oft zur Behebung verschiedener Sicherheitslücken konzipiert.

Seien Sie vorsichtig bei verdächtigen Links und Anhängen

Cyberkriminelle versuchen, Sie dazu zu bringen, ihre Malware herunterzuladen, indem sie E-Mails mit bösartigen Links oder Anhängen senden. Klicken Sie daher nicht auf solche E-Mails, wenn Sie den Absender nicht kennen. Darüber hinaus können Sie ein E-Mail-Sicherheitstool verwenden, um E-Mail-Anhänge auf Malware zu überprüfen.

Verwenden Sie eine Firewall

Eine Firewall ist in der Lage, den Zugriff von nicht autorisierten Quellen auf Ihr System zu blockieren. Darüber hinaus kann eine intelligente Firewall verhindern, dass Hacker mit Ihren Geräten kommunizieren, wenn sie versuchen, sie mit Botnet-Malware zu infizieren.

Fazit

DDoS-Angriffe bieten Eindringlingen eine Möglichkeit, eine Website oder einen Online-Dienst für eine bestimmte Zeit oder unbegrenzt unzugänglich zu machen.

Sie variieren stark in ihrer Komplexität und können das gezielte Unternehmen oder die Organisation schwer beeinträchtigen. Daher sollten Online-Unternehmen und Organisationen alle möglichen Schritte unternehmen, um DDoS-Angriffe zu mildern und ihre Systeme zu sichern.

FAQ

Warum sollten sich Cyber-Sicherheitsfachleute um DDoS-Angriffe sorgen?

DDoS-Angriffe können die Verfügbarkeit kritischer Online-Ressourcen stark beeinträchtigen und als Täuschungsmechanismus für andere illegale Aktivitäten im Netzwerk dienen.

Warum ist es schwierig, DDoS-Angriffe mit traditionellen Formen von Cybersecurity-Filterung zu verhindern?
Da DDoS-Angriffe in einer verteilten Natur mit mehreren Systemen durchgeführt werden, ist es schwierig, den schädlichen Datenverkehr durch Schließen einer bestimmten Verbindung zu blockieren.

Was ist die Rolle eines Botnetzes bei einem DDoS-Angriff?

Botnets sind Netzwerke von kompromittierten Geräten, die von Cyberkriminellen kontrolliert werden und manchmal Bots oder Zombies genannt werden. Diese kompromittierten Geräte können Geräte wie Desktops, Laptops, Server und IoT-Geräte umfassen. Angreifer kommunizieren mit diesen Maschinen und kombinieren sie, um verteilte Quellen von schädlichem Datenverkehr zu erzeugen und die Infrastruktur eines Unternehmens zu überwältigen.

Leave a Comment