Distributed Denial of Service, kurz DDoS, bezeichnet einen Netzwerkangriff bei welchem mit einer grossen Anzahl Computer versucht wird einen Server zu überlasten oder vom Netzwerk zu trennen. In vielen Fällen wird der Server komplett lahmgelegt und ist in der Folge für mehrere Stunden, manchmal sogar Wochen, nicht mehr erreichbar. Die Angreifer verfolgen dabei unterschiedliche Ziele. Meistens geht es einfach darum, einen Konkurrenten oder einen vermeintlichen Widersacher ausser Gefecht zu setzen. Die Fälle in denen DDoS zur Erpressung von Geldleistungen eingesetzt wird, nehmen in der letzten Zeit aber stark zu.
Weitere Informationen zum Thema DDoS Erpressung finden Sie bei der Melde- und Analysestelle Informationssicherung MELANI.
Es gibt zwei grundlegende Arten, wie ein DDoS Angriff ausgeführt wird: Botnetze und Amplification Attacks.
Bei den meisten kleineren DDoS Attacken wird ein sogenanntes Botnet verwendet. Unter Botnet versteht man eine grosse Anzahl Computer, die von jemandem über das Internet ferngesteuert werden können. Bei diesen Bots handelt es sich in der Regel um einfache Computer, die mit einem Trojaner oder Virus infiziert sind. Die Besitzer wissen meistens nicht, dass ihre Systeme mit Malware infiziert sind und für Angriffe verwendet werden. Es gibt aber auch Server Botnetze, die nur zu diesem Zweck betrieben werden.
Erschreckend ist die Tatsache, dass Botnetze heutzutage ganz einfach und ohne grosse Fachkenntnis für Angriffe gemietet werden können. Die Preise beginnen etwa bei $2 Dollar pro Angriffsstunde für einen kleinen Angriff mit wenigen Computern.
Bei einer Amplification Attack, zu Deutsch Verstärkungsangriff, nutzt der Angreifer eine Schwachstelle in einem Netzwerkprotokoll aus. Eine solche Schwachstelle hat die Eigenschaft, dass sie den eingehenden Netzwerkverkehr vergrössert und an das Zielsystem weiterleitet. Bei dieser Angriffsart wird zudem die ursprüngliche IP Adresse verschleiert, so dass es schwieriger ist, den Urheber zu lokalisieren.
Wird eine mögliche Amplification Attack bekannt, versuchen die Entwickler des Protokolls oder der anfälligen Betriebssysteme normalerweise umgehend diese Angriffsart zu verunmöglichen. In der Vergangenheit konnten die folgenden Protokolle zwecks Amplification Attack eingesetzt werden.
Ehemals verwundbare Netzwerk Protokolle
Gemäss Arbor Networks fand der grösste bekannte DDoS Angriff im April 2015 statt und richtete sich gegen einen asiatischen Netzwerk Provider. Der Angriff erreichte eine Netzwerkbandbreite von 334Gbps (Gigabit pro Sekunde). Zum Vergleich, ein normaler Computer wird heute mit 1Gbps an ein lokales Netzwerk angeschlossen.
Arbor Networks Detects Largest Ever DDoS Attack in Q1 2015 DDoS Report
Ja nach Art des DDoS Angriffs, wird entweder der Zielserver überlastet oder die Bandbreite seines Netzanschlusses komplett aufgebraucht. Die Ziele der Abwehrmassnahmen sind:
Serverüberlastung verhindern
- Memory Caching
- Syn Cookies
Netzwerkbandbreite vergrössern
- Content Distribution Network
Es gibt keinen 100% Schutz vor DDoS Angriffen. Übersteigt die Bandbreite des Angriffs die Bandbreite des Ziels oder dessen Verteidigungssystems, ist der Service nicht mehr erreichbar. Trotzdem ist es möglich, kleinere und mittlere DDoS Attacken erfolgreich abzuwehren und ohne Downtime zu überstehen.
Im zweiten Teil dieses Blogposts geht es darum, wie man eine DDoS Attacke auf einem Webserver abwehren kann.