Was bedeutet DDoS

DDoS

Was bedeutet DDoS?

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) ist ein „verteilter“ Denial-of-Service (DoS), der wiederum eine Dienstblockade darstellt. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine Überlastung der IT-Infrastruktur. Angreifer nutzen diese Art der Cyber-Kriminalität, um von ungeschützten Unternehmen Lösegelder zu erpressen.

Wie sieht ein DDoS Angriff aus?

Bei einem DDoS-Angriff führen Angreifer die Nichtverfügbarkeit eines Dienstes oder Servers gezielt herbei. Dafür infizieren sie einen oder mehrere Rechner mit Schadsoftware. Die Angreifer missbrauchen dieses infizierte Rechner-Netz, auch Botnetz genannt, ferngesteuert für ihre DDoS-Attacken. Mit dem Botnetz greifen sie parallel ihr Ziel an und beschießen dabei dessen Infrastruktur mit zahllosen Anfragen.

Je mehr Rechner zusammengeschaltet werden, desto schlagkräftiger ist die Attacke. Angegriffene Server ohne DDoS-Schutz sind mit den unzähligen Anfragen überfordert, ihre Internetleitung ist überlastet. Websites bauen sich nur noch stark verlangsamt auf oder sind überhaupt nicht mehr verfügbar.

Welche Arten von DDoS Angriffen gibt es?

Im Unterschied zuAnders als anderen Übergriffen durch Cyberkriminelle zielen DoS- und DDoS-Attacken nicht darauf ab, ein System zu infiltrieren. Diese Sie können jedoch Bestandteil eines solches Hacking-Angriffs sein. Zum Beispiel, wenn ein System lahmgelegt wird, um von einem Angriff auf ein anderes System abzulenken. Wird die Reaktionsfähigkeit eines Servers durch DDoS- oder und DDoS-Attacken verzögert, haben Hacker zudem die Möglichkeit, Anfragen an das überlastete System durch gefälschte Antworten zu manipulieren. Die Strategien, die solchen Angriffen zugrunde liegen, lassen sich in drei Kategorien einteilen:

die Überlastung der Bandbreite,
die Überlastung der Systemressourcen und
die Ausnutzung von Softwarefehlern und Sicherheitslücken

Überlastung der Bandbreite Eine Überlastung der Bandbreite hat die Nichterreichbarkeit eines Rechners zum Ziel. DoS- und DDoS-Angriffen richten sich in diesem Fall direkt an das Netzwerk und die jeweiligen Verbindungsgeräte. So kann ein Router beispielsweise nur eine bestimmte Datenmenge gleichzeitig bearbeiten. Wird diese Kapazität durch einen Angriff komplett in Anspruch genommen, stehen die entsprechenden Dienste für andere Nutzer nicht mehr zur Verfügung. Eine klassische DDoS-Attacke mit dem Ziel der Breitbandüberlastung ist der Smurf-Angriff.

Smurf-Angriff: Diese DDoS-Attacke macht sich das Internet Control Message Protocol (ICMP) zunutze, das dem Austausch von Informations- und Fehlermeldungen in Rechnernetzen dient. Dabei sendet ein Angreifer gefälschte ICMP-Pakete des Typs „Echo Request“ (Ping) an die Broadcast-Adresse eines Computernetzwerks und verwendet dabei die IP des Angriffsziels als Absenderadresse. Vom Router des Netzwerks wird die Broadcast-Anfrage an alle angeschlossenen Geräte weitergeleitet, wodurch jedes dazu veranlasst wird, eine Antwort an die Absenderadresse (Pong) zu senden. Ein großes Netzwerk mit vielen angeschlossenen Geräten kann die Bandbreite des Angriffsziels massiv beeinträchtigen. Überlastung der Systemressourcen Zielt eine DoS- oder DDoS-AttackeDDoS-Angriff auf die Ressourcen eines Systems ab, nutzen Angreifer den Umstand aus, dass Webserver nur eine begrenzte Anzahl an Verbindungen herstellen können. Werden diese mit sinnlosen oder ungültigen Anfragen belegt, lassen sich Serverdienste für reguläre Benutzer effektiv blockieren. Man spricht in diesem Fall von Flooding (Überflutung). Klassische DDoS-Angriffsmuster auf die Systemressourcen sind HTTP-Flood, Ping-Flood, SYN-Flood und UDP-Flood.

HTTP-Flood: Bei dieser einfachsten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmt der Angreifer den Webserver des Ziels mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss er lediglich beliebige Seiten des Zielprojekts aufrufen, bis der Server unter der Last an Anfragen zusammenbricht. Ping-Flood: Auch bei diesem Angriffsmuster bedienen nutzensich Cyberkriminelle ICMP-Pakete des Typs „Echo Request“. Diese werden in der Regel durch Bot-Netze massenhaft an Angriffsziele versendet. Da jede dieser Anfragen (Ping) vom Zielsystem mit einem Datenpaket beantwortet werden muss (Pong), lassen sich langsame Systeme durch Ping-Flood massiv ausbremsen.

SYN-Flood: Dieses Angriffsmuster stellt einen Missbrauch des TCP-Threeway-Handshakes dar. TCP („Transmission Control Protocol“) ist ein Netzwerkprotokoll, das zusammen mit IP einen verlustfreien Datenverkehr über das Internet sicherstellt. Der Aufbau einer TCP-Verbindung erfolgt dabei stets in einer drei Schritte umfassenden Authentifizierung. Dazu sendet ein Client einem Server ein Synchronisationspaket (SYN). Dieses wird vom Server in Empfang genommen und ebenfalls mit einem Synchronisationspaket (SYN) sowie einer Bestätigung (ACK) beantwortet. Abgeschlossen wird der Verbindungsaufbau durch eine clientseitige Bestätigung (ACK). Bleibt diese aus, lassen sich Systeme effizient lahmlegen, da der Server nicht abschließend bestätigte Verbindungen im Arbeitsspeicher vorrätig hält. Kommt eine große Anzahl dieser sogenannten halboffenen Verbindungen durch SYN-Flooding zusammen, lassen sich die verfügbaren Serverressourcen unter Umständen komplett belegen.

UDP-Flood: Bei dieser Attacke setzen Cyberkriminelle auf das verbindungslose User Datagram Protocol (UDP). Anders als bei einer Übertragung via TCP können Daten per UDP auch ohne Verbindungsaufbau übermittelt werden. Im Rahmen von DoS- und DDoS-Angriffen werden UDP-Pakete daher in großer Anzahl an zufällig ausgewählte Ports des Zielsystems gesendet. Dieses versucht erfolglos zu ermitteln, welche Anwendung auf die übermittelten Daten wartet und sendet daraufhin ein ICMP-Paket mit der Nachricht „Zieladresse nicht erreichbar“ an den Absender zurück. Wird ein System mit zahlreichen Anfragen dieser Art belastet, kann die Ressourcenauslastung dazu führen, dass die Verfügbarkeit für reguläre Benutzer stark eingeschränkt wird. Ausnutzung von Softwarefehlern und Sicherheitslücken Sind einem Angreifer bestimmte Sicherheitslücken eines Betriebssystems oder Programms bekannt, lassen sich DoS- und DDoS-Attacken so gestalten, dass Anfragen Softwarefehler bis hin zu Systemabstürzen auslösen. Beispiele für Angriffsmuster dieser Art sind der Ping of Death und Land-Attacken.

Ping of Death: Dieses Angriffsmuster hat das Ziel, das betroffene System zum Absturz zu bringen. Angreifer machen sich dazu Implementierungsfehler des Internet Protocols (IP) zunutze. IP-Pakete werden in der Regel als Fragmente versendet. Werden dabei fehlerhafte Informationen für das Zusammensetzen der Pakete mitgeschickt, lassen sich manche Betriebssysteme so austricksen, dass sie IP-Pakete erzeugen, die größer sind als die maximal zulässigen 64 KB. Dies kann zu einem „Buffer Overflow“ (Pufferüberlauf) führen, bei dem zu große Datenmengen dafür sorgen, dass im Ziel-Speicherbereich angrenzende Speicherstellen überschrieben werden.

Land-Attacke: Bei einer Land-Attacke sendet ein Angreifer im Rahmen des TCP-Threeway-Handshakes (siehe oben) ein SYN-Paket, dessen Ziel- und Absenderadresse dem Server entsprechen, der angegriffen werden soll. Dies hat die Folge, dass der Server die Antwort auf die Anfrage in Form eines SYN/ACK-Pakets an sich selbst sendet. Das kann als neue Verbindungsanfrage interpretiert werden, die wiederum mit einem SYN/ACK-Paket beantwortet werden muss. So entsteht eine Situation, in der das System kontinuierlich eigene Anfragen beantwortet, was zu einer massiven Auslastung bis hin zum Absturz führen kann.

34

Glückliche Kunden

14

Websites bei uns

460

Domainendungen

99.87

% Erreichbarkeit

Wir verwenden 100% Ökostrom

Zum Schutz der Umwelt verwenden wir ausschließlich erneuerbare Energien.

Verstanden
Wir nutzen Cookies und Matomo Analytics um dir ein bestmögliches Weberlebnis bieten zu können. Mehr zum Datenschutz