Die Unterbrechung des Datenverkehrs auf einem Server kann schwerwiegende Folgen haben. Mit einem DDoS-Angriff legen Cyberkriminelle Websites lahm und machen sie unzugänglich. Indem sie den Datenverkehr künstlich aufblähen, können sie Apps blockieren und sogar große Nachrichtenseiten lahmlegen. Wie funktioniert also ein DDoS-Angriff und kann er verhindert werden?
Bei einem DDoS-Angriff (Distributed Denial of Service) versucht der Täter, eine Website oder eine App so stark zu stören, dass die eigentlichen Nutzer nicht mehr darauf zugreifen können. Dies kann geschehen, indem Schwachstellen im System ausgenutzt und Server mit massiven Datenmengen überlastet werden.
Bei den meisten DDoS-Angriffen geht es darum, eine Art unüberwindbaren Online-Verkehrsstau zu verursachen. Das überlastet die Kapazität der Website, neue und legitime Anfragen zu bearbeiten.
Von Cyberkriminellen, die es auf Unternehmen abgesehen haben, bis hin zu Regierungen, die die Messaging-Apps von Demonstranten sabotieren, gibt es viele Möglichkeiten, diese Art von Angriffen zu starten. Sie können zum Beispiel Programmierfehler ausnutzen oder den Datenverkehr über ein Botnet leiten. Das Ziel ist jedoch immer, die Leistung eines Servers zu stören und zu beschädigen.
Was ist ein Botnet?
Eine der am einfachsten zu verstehenden DDoS-Strategien ist ein volumetrischer Angriff – eine Methode, die sich auf ein Botnet (oder Botnetz) stützt. Dabei handelt es sich um Netzwerke von Geräten, die dazu verwendet werden können, zehn- oder sogar hunderttausende von Anfragen an einen Server zu senden.
Um ein Botnet aufzubauen, zwingt der Täter Malware auf mehrere Geräte. In den meisten Fällen merken die Nutzer nicht einmal, dass ihre Handys und Laptops infiziert sind. Dies kann durch Malvertising, Phishing-Mails und andere illegale Methoden geschehen.
Sobald jemand die Malware des Angreifers heruntergeladen hat, ist sein Gerät bereit, Teil eines Botnets zu werden. Der Hacker kann diese Malware bis zum DDoS-Angriff unbemerkt auf dem Gerät lassen.
Wenn die Zeit reif ist und genügend Geräte die Malware tragen, kann der Angreifer seinen Angriff auf einen Server starten.
Um zu verhindern, dass Ihr Smartphone oder Laptop Teil eines Botnets wird, sollten Sie einige Grundregeln beachten:
Seien Sie wachsam bei verdächtigen E-Mails, die Links enthalten.
Vermeiden Sie es, auf Internetwerbung zu klicken, auch wenn sie auf seriösen Websites gezeigt wird.
Nutzen Sie einen Dienst wie CyberSec, um nach risikoreichen Inhalten zu suchen.
Aktualisieren Sie Ihre Software, wann immer Sie können.
Verschiedene Arten von DDoS-Angriffen
Obwohl das Endergebnis in der Regel dasselbe ist, gibt es viele verschiedene Möglichkeiten, einen DDoS-Angriff durchzuführen.
SYN-Flood oder TCP-Verbindungsangriff
Diese Form des Angriffs nutzt die TCP-Handshake-Verbindung aus. Bei einem normalen „Handshake“ sendet das Gerät des Nutzers eine Anfrage an den Server, woraufhin dieser mit der Bereitstellung der angeforderten Seitenelemente antwortet. Daraufhin sendet der Server eine Nachricht an das Gerät des Nutzers, in der er bestätigt, dass er bereit ist. Anschließend muss eine dritte Nachricht an den Server gesendet werden, um den Vorgang abzuschließen und die Seite zu laden.
Bei einem DDoS-Angriff wird dieser dritte Schritt jedoch ausgelassen. Der Server nutzt seine Ressourcen, um die Seitenelemente vorzubereiten, doch die wichtige letzte Nachricht kommt nie an, um den Prozess abzuschließen. Stattdessen wird ein weiterer TCP-Handshake initiiert, und dann noch einer und noch einer. Schließlich verbraucht der Server all seine Ressourcen für die Vorbereitung von Seitenelementen, die dem Nutzer nie präsentiert werden. Danach kommt er zum Stillstand.
Angriff auf der Anwendungsebene
Angriffe auf der Anwendungsebene, auch bekannt als Layer-7-Angriffe, betreffen nicht das gesamte Netzwerk oder den Server. Stattdessen zielen sie auf bestimmte Funktionen oder Seitenelemente auf einer Website ab. Durch die Überlastung bestimmter Funktionen auf einer Seite kann der Angreifer Teile einer Anwendung zum Absturz bringen oder Fehlfunktionen verursachen.
Diese Methode hat nicht nur schädliche Auswirkungen auf die Leistung einer Website, sondern wurde in der Vergangenheit auch als Ablenkungsmanöver eingesetzt. Sie zwingt Website-Besitzer und Techniker dazu, sich auf die angegriffene Funktion zu konzentrieren, während anderswo auf dem Server ein anderer, schwerwiegenderer Verstoß stattfindet.
Volumetrischer Angriff
An dieser Stelle kommt ein Botnet ins Spiel. Die Angreifer lösen die Malware aus, die sie auf mehrere Geräte verteilt haben, um einen Datenstrom durch alle Geräte zu leiten. Dann greifen sie das Ziel mit Wellen von gleichzeitigen Anfragen an.
Wie der Name schon sagt, geht es bei diesem Angriff um die schiere Menge an künstlichen Nutzern, die versuchen, eine Website zu erreichen. Der Angreifer beansprucht die gesamte verfügbare Bandbreite des Servers und kann so verhindern, dass legitime Nutzer die Website erreichen, wodurch sie unbrauchbar wird.
Fragmentierungs- (oder Teardrop-)Angriff
Wenn Informationen zwischen Websites und Servern übertragen werden, werden sie in der Regel in kleinere Teile zerlegt, in „Paketen“ gesendet und dann vom Empfänger wieder zusammengesetzt. Dies kann eine Gelegenheit für einen Fragmentierungsangriff sein, auch Teardrop genannt.
Angreifer senden absichtlich überfüllte Datenpakete, die zu groß sind, um ordnungsgemäß wieder zusammengesetzt zu werden. Dies nutzt einen Fehler im IP-Reassembly-Code in bestimmten Systemen aus und kann schnell zu einem Denial-of-Service-Status führen.
Wie man DDoS-Angriffe verhindert
Wie so oft im Bereich der Cybersicherheit gibt es kein Patentrezept, um diese Angriffe zu stoppen. Dennoch können Sie eine Menge tun. Mit bewährten Verfahren, sorgfältiger Vorbereitung und einer soliden Sicherheitsstrategie können Sie die Risiken senken und den Schaden begrenzen.
Erstellen Sie Überlaufkanäle
Beginnen Sie mit der Prävention. Stellen Sie sicher, dass Sie alternative Server in Bereitschaft haben, um einen Überlauf zu bewältigen und so das Risiko zu verringern, dass einer der Server ausfällt. Wenn Sie diese zusätzlichen Kanäle einrichten, können die Datenströme umgeleitet werden, falls die Server mit unnatürlich hohem Datenverkehr überflutet werden. Dadurch kann der Betrieb auf dem Hauptserver fortgesetzt werden, sodass echte Nutzer weiterhin auf den Dienst zugreifen können.
Bleiben Sie mit Sicherheitsupdates und Patches auf dem Laufenden
DDoS-Angriffe machen sich oft veraltete Systeme und einen Mangel an konsequenten Sicherheits-Patches zunutze. Je mehr Menschen ihre eigenen Geräte aktualisieren, desto geringer ist die Wahrscheinlichkeit, dass sie in einem Botnet eingesetzt werden. Das liegt daran, dass die Schadsoftware für diese Operationen oft auf veraltete Software als Einstiegspunkt angewiesen ist.
Begrenzen Sie die Anfragemenge
Begrenzen Sie die Anzahl der Anfragen, die ein Server gleichzeitig annimmt. Wenn Sie die Anzahl der von einem Server bearbeiteten Anfragen fest begrenzen, kann er den Angriff abwehren, bevor er außer Gefecht gesetzt wird. Dies führt zwar immer noch zu einem vorübergehenden Denial-of-Service, aber es ist viel einfacher, Ihre Website oder Anwendung wieder online zu bringen.