Die Unterbrechung des Datenverkehrs auf einem Server kann schwerwiegende Folgen haben. Mit einem DDoS-Angriff legen Cyberkriminelle Websites lahm und machen sie unzugänglich. Indem sie den Datenverkehr künstlich aufblähen, können sie Apps blockieren und sogar große Nachrichtenseiten lahmlegen. Wie funktioniert also ein DDoS-Angriff und kann er verhindert werden?
Bei einem DDoS-Angriff (Distributed Denial of Service) versucht der Täter, eine Website oder eine App so stark zu stören, dass die eigentlichen Nutzer nicht mehr darauf zugreifen können. Dies kann geschehen, indem Schwachstellen im System ausgenutzt werden und Server mit massiven Datenmengen überlastet werden.
Bei den meisten DDoS-Angriffen geht es darum, eine Art unüberwindbaren Online-Verkehrsstau zu verursachen. Das überlastet die Kapazität der Website, neue und legitime Anfragen zu bearbeiten.
Von Cyberkriminellen, die es auf Unternehmen abgesehen haben, bis hin zu Regierungen, die die Messaging-Apps von Demonstranten sabotieren, gibt es viele Möglichkeiten, diese Art von Angriffen zu starten. Sie können zum Beispiel Programmierfehler ausnutzen oder den Datenverkehr über ein Botnetz leiten. Das Ziel ist jedoch immer, die Leistung eines Servers zu stören und zu beschädigen.
Was ist ein Botnet?
Eine der am einfachsten zu verstehenden DDoS-Strategien ist ein volumetrischer Angriff – eine Methode, die sich auf ein Botnetz stützt. Dabei handelt es sich um Netzwerke von Geräten, die dazu verwendet werden können, zehn- oder sogar hunderttausende von Anfragen an einen Server zu senden.
Um ein Botnetz aufzubauen, zwingt der Täter Malware auf mehrere Geräte. In den meisten Fällen merken die Nutzer nicht einmal, dass ihre Handys und Laptops infiziert sind. Dies kann durch Malvertising, Phishing-Mails und andere illegale Methoden geschehen.
Sobald jemand die Schadsoftware des Angreifers heruntergeladen hat, ist sein Gerät bereit, Teil eines Botnets zu werden. Der Hacker kann diese Schadsoftware bis zum DDoS-Angriff unbemerkt auf dem Gerät lassen.
Wenn die Zeit reif ist und genügend Geräte die Malware tragen, kann der Angreifer seinen Angriff auf einen Server starten.
Um zu verhindern, dass dein Handy oder Laptop Teil eines Botnetzes wird, solltest du einige Grundregeln beachten:
Sei wachsam bei verdächtigen E-Mails, die Links enthalten.
Vermeide es, auf Internetwerbung zu klicken, auch wenn sie auf seriösen Webseiten gezeigt wird.
Nutze einen Dienst wie CyberSec, um nach risikoreichen Inhalten zu suchen.
Aktualisiere deine Software, wann immer du kannst.
Verschiedene Arten von DDoS-Angriffen
Obwohl das Endergebnis in der Regel dasselbe ist, gibt es viele verschiedene Möglichkeiten, einen DDoS-Angriff durchzuführen.
SYN-Flood oder TCP-Verbindungsangriff
Diese Form des Angriffs nutzt die TCP-Handshake-Verbindung aus. Bei einem normalen „Handshake“ sendet das Gerät des Nutzers eine Anfrage an den Server, woraufhin dieser mit der Bereitstellung der angeforderten Seitenelemente antwortet. Daraufhin sendet der Server eine Nachricht an das Gerät des Nutzers, in der er bestätigt, dass er bereit ist. Anschließend muss eine dritte Nachricht an den Server gesendet werden, um den Vorgang abzuschließen und die Seite zu laden.
Bei einem DDoS-Angriff wird dieser dritte Schritt jedoch ausgelassen. Der Server nutzt seine Ressourcen, um die Seitenelemente vorzubereiten, doch die wichtige letzte Nachricht kommt nie an, um den Prozess abzuschließen. Stattdessen wird ein weiterer TCP-Handshake initiiert, und dann noch einer und noch einer. Schließlich verbraucht der Server all seine Ressourcen für die Vorbereitung von Seitenelementen, die dem Nutzer nie präsentiert werden. Danach kommt er zum Stillstand.
Angriff auf der Anwendungsebene
Angriffe auf der Anwendungsebene, auch bekannt als Layer-7-Angriffe, betreffen nicht das gesamte Netzwerk oder den Server. Stattdessen zielen sie auf bestimmte Funktionen oder Seitenelemente auf einer Webseite ab. Durch die Überlastung bestimmter Funktionen auf einer Seite kann der Angreifer Teile einer Anwendung zum Absturz bringen oder Fehlfunktionen verursachen.
Diese Methode hat nicht nur schädliche Auswirkungen auf die Leistung einer Webseite, sondern wurde in der Vergangenheit auch als Ablenkungsmanöver eingesetzt. Sie zwingt Website-Besitzer und Techniker dazu, sich auf die angegriffene Funktion zu konzentrieren, während anderswo auf dem Server ein anderer, schwerwiegenderer Verstoß stattfindet.
Volumetrischer Angriff
An dieser Stelle kommt ein Botnetz ins Spiel. Der Angreifer löst die Malware aus, die er auf mehrere Geräte verteilt hat, um einen Datenstrom durch alle Geräte zu leiten. Dann greifen sie das Ziel mit Wellen von gleichzeitigen Anfragen an.
Wie der Name schon sagt, geht es bei diesem Angriff um die schiere Menge an künstlichen Nutzern, die versuchen, eine Webseite zu erreichen. Der Angreifer beansprucht die gesamte verfügbare Bandbreite des Servers und kann so verhindern, dass legitime Nutzer die Webseite erreichen, wodurch sie unbrauchbar wird.
Fragmentierungs- (oder Teardrop-) Angriff
Wenn Informationen zwischen Webseiten und Servern übertragen werden, werden sie in der Regel in kleinere Teile zerlegt, in „Paketen“ gesendet und dann vom Empfänger wieder zusammengesetzt. Dies kann eine Gelegenheit für einen Fragmentierungsangriff sein, auch Teardrop genannt.
Angreifer senden absichtlich überfüllte Datenpakete, die zu groß sind, um ordnungsgemäß wieder zusammengesetzt zu werden. Dies nutzt einen Fehler im IP-Reassembly-Code in bestimmten Systemen aus und kann schnell zu einem Denial-of-Service-Status führen.
Wie man DDoS-Angriffe verhindert
Wie so oft im Bereich der Cybersicherheit gibt es kein Patentrezept, um diese Angriffe zu stoppen, dennoch kannst du eine Menge tun. Mit bewährten Verfahren, sorgfältiger Vorbereitung und einer soliden Sicherheitsstrategie kannst du die Risiken senken und den Schaden begrenzen.
Überlaufkanäle erstellen
Beginne mit der Prävention. Stelle sicher, dass du alternative Server in Bereitschaft hast, um einen Überlauf zu bewältigen und so das Risiko zu verringern, dass einer der Server ausfällt. Wenn du diese zusätzlichen Kanäle einrichtest, können die Datenströme umgeleitet werden, falls die Server mit unnatürlich hohem Datenverkehr überflutet werden. Dadurch kann der Betrieb auf dem Hauptserver fortgesetzt werden, so dass echte Nutzer weiterhin auf den Dienst zugreifen können.
Bleib mit Sicherheitsupdates und Patches auf dem Laufenden
DDoS-Angriffe machen sich oft veraltete Systeme und einen Mangel an konsequenten Sicherheits-Patches zunutze. Je mehr Menschen ihre eigenen Geräte aktualisieren, desto geringer ist die Wahrscheinlichkeit, dass sie in einem Botnet eingesetzt werden. Das liegt daran, dass die Schadsoftware für diese Operationen oft auf veraltete Software als Einstiegspunkt angewiesen ist.
Begrenze die Anfragezahlen
Begrenze die Anzahl der Anfragen, die ein Server gleichzeitig annimmt. Wenn du die Anzahl der von einem Server bearbeiteten Anfragen fest begrenzst, kann er den Angriff abwehren, bevor er außer Gefecht gesetzt wird. Dies führt zwar immer noch zu einem vorübergehenden Denial-of-Service, aber es ist viel einfacher, deine Webseite oder Anwendung wieder online zu bringen.