DDoS-Attacke: Was ist das, wie kann man sie erkennen und abwehren?

Martin Maciej
1

Immer wieder liest man im Zusammenhang mit „Hacker-Angriffen“ im Internet auch von einer DDoS-Attacke. Doch was ist ein „DDoS“-Angriff, wie kann man solch eine Attacke erkennen und können Privatanwender eigene DDoS-Angriffe starten?

DDoS-Attacke: Was ist das, wie kann man sie erkennen und abwehren?

Unter „DDoS“ versteht man „Distributed Denial of Service“. Hierdurch wird ein Rechnersystem gezielt von einer Vielzahl anderer Computersysteme angegriffen, um dessen Verfügbarkeit einzuschränken oder vollends außer Kraft zu setzen.

Die besten Hacker-Filme: Von Crackern, Hackern und Cyber-Spezialisten

DDoS-Attacke: Was ist das, wie kann man sie erkennen und abwehren?

Bei dem Rechnersystem kann es sich um einen freiwilligen Zusammenschluss von Störenfrieden handeln, die ihre Ressourcen zur Verfügung stellen. Häufig kapern jedoch Hacker verschiedene Computer, z. B. über Trojaner, um diese dann innerhalb eines Bot-Netzes für den DDoS-Angriff einzusetzen.

DDoS-Attacken werden von verschiedenen Rechnern gleichzeitig und verteilt durchgeführt.

  • Liest man in der Tageszeitung, dass eine Webseite „gehackt“ wurde, handelt es sich häufig nicht um einen klassischen Hack, sondern um einen DDoS-Angriff.
  • Versierte technische und Programmierkenntnisse sind für diese Angriffe auf Rechnersystem nicht notwendig.
  • Bei solch einem Angriff wird ein Server gezielt von vielen Rechnern mit ständigen Zugriffsversuchen bombardiert, bis das System unter der Last von Anfragen zusammenbricht.
  • Über DDoS-Attacken wurden unter anderem schon die Server von Webgrößen wie Amazon, Yahoo und eBay in die Knie gezwungen. In der Zeit der Massenanfragen können „normale“ Nutzer diese Webseiten nicht besuchen und erhalten eine Fehlermeldung im Browser.
  • Auch GIGA war vor einigen Jahren gezieltes Opfer von Flooding-Attacken.

shutterstock_261995000

DDoS-Attacken starten: Das sind die Methoden

Bei DDoS-Angriffe werden häufig Schwachstellen in Anwendungen, Betriebssystemen oder Webprotokollen ausgenutzt. Die Attacken können in verschiedenen Varianten durchgeführt werden:

  1. Mailbombe: Ähnlich wie bei einer SMS-Bombe in den neunziger Jahren wird eine große Nachricht per E-Mail tausendfach an eine Zieladresse geschickt. Der Mail-Account wird verstopft, der Mail-Server arg verlangsamt oder gar vollkommen zerfetzt. Mailbomben können häufig schon mit einfachen Mitteln und Tools eingesetzt werden.
  2. Ping Flooding: Beim Ping Flooding werden massenhaft Ping-Anfragen an einen Rechner geschickt. Dieser muss die Anfragen bearbeiten („Pong“). Je mehr Pings den Zielrechner erreichen, umso größer wird dessen Rechenlast. Besonders bei älteren System kann dies schnell zu einem Absturz führen, zumindest ist aber mit einer Verlangsamung des Systems zu rechnen.
  3. Syn Flooding: Wird eine Verbindung in einem TCP/IP-Netz hergestellt, wird ein sog. Handhake eingesetzt. Bei diesem Handhake werden SYN- und ACK-Datenpakete ausgetauscht. Im Falle eines Syn Flooding-Angriff werden von den Angreifern SYN-Pakete losgeschickt. Diese besitzen als Absender eine gefälschte IP-Adresse. Das Zielsystem versucht nun, auf diese Pakete mit einem eigenen SYN-ACK-Paket zu antworten, natürlich an die Fake-IP-Adresse. Das angegriffene System gibt den Verbindungsversuch erst nach einigen Anläufen auf, dabei wird Rechenleistung in Anspruch genommen. Je höher nun die Anzahl an empfangenen Paketen, umso mehr erfolglose Antwortanfragen werden losgeschickt. Dabei wird die eigene Verbindungskapazität irgendwann ausgeschöpft, so dass das System zusammenbricht und als Folge nicht mehr erreichbar ist.
    Um das Zielsystem in die Knie zu bringen, muss die Bandbreitenkapazität des Angreifers wesentlich höher sein, als die Zielbandbreite.

shutterstock_180524933

DDoS-Angriffe: Wie kann man sie erkennen und abwehren?

DDoS-Attacken gehören für Webseiten zu den größten Gefahren überhaupt, immerhin sind diese Angriffe vergleichsweise einfach durchgeführt. Häufig erfolgen die Angriffe aus erpresserischen Beweggründen. So werden die DDoS-Angriffe etwa erst eingestellt, nachdem ein bestimmter, geforderter Geldbetrag an die Angreifer übergeben wurde. Auch politische und ideologische Beweggründe können hinter DDoS-Angriffen stecken.

Ein Schutz vor einer DDoS-Attacke ist in der Regel nur schwer möglich. Der Webserver muss zunächst die Vielzahl an Attacken als künstlichen, gezielten Angriff identifizieren und von normalen Anfragen trennen. Zudem arbeiten die Tools für die Angriffe häufig getarnt. Die Angreifer selbst arbeiten mit gefälschten IP-Adressen und lassen sich ebenfalls nur schwer identifizieren.

Stellt man auf der eigenen Webseite Verhaltensweisen fest, die auf einen DDoS-Angriff schließen lassen könnten, kann man folgendes tun:

  1. Bei verdächtigen Auffälligkeiten sollte der Webhoster kontaktiert werden. Dieser kann den Angriff häufig identifizieren und helfende Maßnahmen, z. B. in Form einer Firewall einleiten.
  2. Ein gefordertes Lösegeld sollte man zum Auflösen der DDoS-Attacke nicht zahlen, immerhin öffnet man so den Weg für weitere Attacken.
  3. Da hinter diesen Angriffen in der Regel kriminelle Planungen und Organisationen stecken, insbesondere in Zusammenhang mit einer Erpressung, sollte die Attacke auch bei der Polizei gemeldet werden.
  4. Zusätzlich gibt es online Sicherheitsunternehmen, die sich auf das Verteidigen von DDoS-Attacken spezialisiert haben.

Bildquellen: Duc Dao, Ventura, gualtiero boffi

 

Umfrage wird geladen
Umfrage: Seid ihr mit eurer verfügbaren Bandbreite zufrieden?
Welche Bandbreite steht dir zur Verfügung?

Damit man vernünftig arbeiten kann, müssen es schon mindestens 2 Mbit/s sein. Wer 16 Mbit/s hat, der ist schon recht flott unterwegs. Alles darüber ist in der Bundesrepublik Deutschland schon Luxus.

Damit man vernünftig arbeiten kann, müssen es schon mindestens 2 Mbit/s sein. Wer 16 Mbit/s hat, der ist schon recht flott unterwegs. Alles darüber ist in der Bundesrepublik Deutschland schon Luxus.

Weitere Themen: Netzkultur, Hacker

Neue Artikel von GIGA SOFTWARE