Was ist ein DDoS-Booter/IP-Stresser? | DDoS-Angriffstools

DDoS-Angriffe, gebündelt als SaaS-Services, sind gegen eine geringe Gebühr erhältlich.

Share facebook icon linkedin icon twitter icon email icon

DDoS-Booter

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren Sie mehr über Booter und IP-Stresser
  • Erfahren Sie mehr über DDoS-Angriffstools
  • Erfahren Sie mehr über Kriminalität als Geschäftsmodell

Was ist ein IP-Stresser?

Ein IP-Stresser ist ein Werkzeug, das entwickelt wurde, um ein Netzwerk oder einen Server auf Robustheit zu testen. Der Administrator kann einen Stresstest durchführen, um festzustellen, ob die vorhandenen Ressourcen (Bandbreite, CPU, etc.) ausreichend sind, um zusätzliche Belastungen zu bewältigen.

Das Testen des eigenen Netzwerks oder Servers ist eine legitime Nutzung eines Stressers. Es gegen das Netzwerk oder den Server einer anderen Person zu verwenden, was zu einem Denial-of-Service für ihre legitimen Benutzer führt, ist in den meisten Ländern illegal.

Was sind Booter-Dienste?

Booter, auch als Booter-Dienste bekannt, sind On-Demand DDoS-(Distributed-Denial-of-Service)-Angriffsdienste, die von kühnen Kriminellen angeboten werden, um Websites und Netzwerke lahmzulegen. Mit anderen Worten sind Booter der unrechtmäßige Gebrauch von IP-Stressern.

Illegale IP-Stresser verdecken oft die Identität des angreifenden Servers durch den Einsatz von Proxy-Servern. Der Proxy leitet die Verbindung des Angreifers um, während er die IP-Adresse des Angreifers maskiert.

Booter werden routiniert als SaaS (Software-as-a-Service)verpackt, oft mit E-Mail-Support und YouTube-Tutorials. Pakete können einen einmaligen Dienst, mehrere Angriffe innerhalb eines bestimmten Zeitraums oder sogar einen „lebenslangen“ Zugriff anbieten. Ein einfaches, einmonatiges Paket ist schon für 19,99 $ erhältlich. Die Zahlungsoptionen können Kreditkarten, Skrill, PayPal oder Bitcoin sein (PayPal wird jedoch Konten kündigen, wenn böswillige Absicht nachgewiesen werden kann).

Inwiefern unterscheiden sich IP-Booter von Botnetzen?

Ein Botnetz ist ein Netzwerk von Computern, deren Besitzer nicht wissen, dass ihre Computer mit Malware infiziert sind und bei Internetangriffen verwendet werden. Booter sind DDoS-for-hire-Dienste.

Booter starten Angriffe traditionell mit Botnetzen. Werden sie jedoch anspruchsvoller, rühmen sie sich mit leistungsfähigeren Servern, um, wie einige Booter-Dienste es formulieren, „Ihnen zu helfen, Ihren Angriff zu starten“.

Was sind die Motive für Denial-of-Service-Angriffe?

Die Motive für Denial-of-Service-Angriffe sind vielfältig: Skiddies*, die ihre Hacking-Fähigkeiten verfeinern, Geschäftsrivalitäten, ideologische Konflikte, staatlich gesponserter Terrorismus oder Erpressung. PayPal und Kreditkarten sind die bevorzugten Zahlungsmittel bei Erpressungsangriffen. Bitcoin wird auch verwendet, weil es die Fähigkeit bietet, die Identität zu verbergen. Ein Nachteil von Bitcoin aus Sicht der Angreifer ist, dass im Vergleich zu anderen Zahlungsformen weniger Menschen Bitcoins verwenden.

*Script kiddie, oder Skiddie, ist ein abwertender Begriff für relativ gering qualifizierte Internet-Vandalen, die Skripte oder Programme verwenden, die von anderen geschrieben wurden, um Angriffe auf Netzwerke oder Websites zu starten. Sie greifen auf relativ bekannte und leicht zu manipulierende Sicherheitsschwachstellen zurück, oft ohne Rücksicht auf die Folgen.

Was sind Reflexions- und Verstärkungsangriffe?

Reflexions- und Verstärkungsangriffe nutzen den legitimen Datenverkehr, um das Netzwerk oder den Server zu überfordern, das bzw. der Ziel des Angriffs ist.

Wenn ein Angreifer die IP-Adresse des Opfers fälscht und eine Nachricht an einen Dritten sendet, während er vorgibt, das Opfer zu sein, wird dies als IP-Spoofing bezeichnet. Der Dritte hat keine Möglichkeit, die IP-Adresse des Opfers von der des Angreifers zu unterscheiden. Er antwortet direkt dem Opfer. Die IP-Adresse des Angreifers bleibt sowohl für das Opfer als auch für den Server eines Drittanbieters verborgen. Dieser Prozess wird als Reflexion bezeichnet.

Dies ist vergleichbar mit einem Angreifer, der eine Pizza an die Adresse des Opfers bestellt. Jetzt schuldet das Opfer dem Pizza-Laden Geld für eine Pizza, die es gar nicht bestellt hat.

Traffic Amplification tritt auf, wenn der Angreifer den Server eines Drittanbieters zwingt, Antworten mit so vielen Daten wie möglich an das Opfer zurückzusenden. Das Verhältnis zwischen den Größen von Antwort und Anfrage wird als Amplifications-Faktor bezeichnet. Je größer diese Amplification, desto größer die potenzielle Störung für das Opfer. Der Drittanbieter-Server wird auch aufgrund des Volumens der gefälschten Anfragen, die er verarbeiten muss, gestört. NTP-Amplification ist ein Beispiel für einen solchen Angriff.

Die effektivsten Arten von Booter-Angriffen nutzen sowohl Amplification als auch Reflexion. Zuerst fälscht der Angreifer die Adresse des Ziels und sendet eine Nachricht an einen Dritten. Wenn der Dritte antwortet, geht die Nachricht an die gefälschte Adresse des Ziels. Die Antwort ist viel größer als die ursprüngliche Nachricht, wodurch die Größe des Angriffs verstärkt wird.

Die Rolle eines einzelnen Bots bei einem solchen Angriff ähnelt der eines böswilligen Teenagers, der ein Restaurant anruft und das gesamte Menü bestellt und dann einen Rückruf anfordert, der jede Position auf dem Menü bestätigt. Außer, dass die Rückrufnummer die des Opfers ist. Dies führt dazu, dass das betroffene Opfer einen Anruf vom Restaurant mit einer Flut von Informationen erhält, die es nicht angefordert hat.

Welche Kategorien von Denial-of-Service-Angriffen gibt es?

Angriffe auf das Application Layer folgen Webanwendungen und verwenden oft die anspruchsvollste Technologie. Diese Angriffe nutzen eine Schwachstelle im Layer 7 des Protokollstapels aus, indem sie zunächst eine Verbindung mit dem Ziel herstellen und dann Serverressourcen durch Monopolisierung von Prozessen und Transaktionen ausschöpfen. Diese sind schwer zu identifizieren und abzuwehren. Ein gängiges Beispiel ist ein HTTP-Flood-Angriff.

Protokollbasierte Angriffe konzentrieren sich auf die Ausnutzung einer Schwäche in den Layern 3 oder 4 des Protokollstapels. Solche Angriffe verbrauchen die gesamte Verarbeitungskapazität des Opfers oder andere kritische Ressourcen (z. B. eine Firewall), was zu Betriebsstörungen führt. Syn Flood und Ping of Death sind einige Beispiele.

Volumetrische Angriffe senden hohe Datenmengen, um die Bandbreite eines Opfers zu sättigen. Volumetrische Angriffe lassen sich durch den Einsatz einfacher Verstärkungstechniken leicht erzeugen, so dass dies die häufigsten Angriffsformen sind. UDP-Flood, TCP-Flood, NTP-Amplification sowie DNS-Amplification sind einige Beispiele.

Was sind häufige Denial-of-Service-Angriffe?

Das Ziel von DoS- oder DDoS-Angriffen ist es, genügend Server- oder Netzwerkressourcen zu verbrauchen, so dass das System nicht mehr auf legitime Anfragen reagieren kann:

  • SYN-Flood: Eine Folge von SYN-Anfragen wird an das System des Zielsystems gerichtet, um es zu überfordern. Dieser Angriff nutzt Schwächen in der TCP-Verbindungssequenz aus, die als Drei-Wege-Handshake bezeichnet wird.
  • HTTP-Flood: Eine Art von Angriff, bei dem HTTP-GET- oder POST-Anfragen zum Angriff auf den Webserver verwendet werden.
  • UDP-Flood: Eine Art von Angriff, bei dem zufällige Ports auf dem Ziel durch IP-Pakete mit UDP-Datenpaketen überfordert werden.
  • Ping of Death:Angriffe beinhalten das absichtliche Versenden von IP-Paketen, die größer sind als durch das IP-Protokoll erlaubt. TCP/IP-Fragmentierung arbeitet mit großen Paketen, indem sie sie in kleinere IP-Pakete zerlegt. Wenn die Pakete zusammengenommen größer als die zulässigen 65.536 Byte sind, stürzen alte Server oft ab. Dies ist bei neueren Systemen weitgehend behoben. Ping-Flood ist die heutige Verkörperung dieses Angriffs.
  • ICMP-Protokollangriffe: Angriffe auf das ICMP-Protokoll nutzen den Vorteil, dass jede Anforderung vom Server verarbeitet werden muss, bevor eine Antwort zurückgeschickt wird. Smurf-Angriff, ICMP-Flood und Ping-Flood nutzen dies aus, indem sie den Server mit ICMP-Anfragen überschwemmen, ohne auf die Antwort zu warten.
  • Slowloris: Dieser Angriff wurde von Robert 'RSnake' Hansen erfunden und versucht, mehrere Verbindungen zum Ziel-Webserver so lange wie möglich offen zu halten. Eventuell werden zusätzliche Verbindungsversuche von Clients abgelehnt.
  • DNS-Flood: Der Angreifer überschwemmt die DNS-Server einer bestimmten Domain, um die DNS-Auflösung für diese Domain zu unterbrechen.
  • Teardrop-Angriff: Der Angriff, bei dem fragmentierte Pakete an das Zielgerät gesendet werden. Ein Fehler im TCP/IP-Protokoll verhindert, dass der Server solche Pakete wieder zusammensetzt, so dass sich die Pakete überlappen. Das Zielgerät stürzt ab.
  • DNS-Amplification: Dieser reflexionsbasierte Angriff verwandelt legitime Anfragen an DNS-Server (Domain Name System) in viel größere Anfragen, die dabei Serverressourcen verbrauchen.
  • NTP-Amplification: Ein reflexionsbasierter volumetrischer DDoS-Angriff, bei dem ein Angreifer eine Network Time Protocol (NTP)-Serverfunktionalität ausnutzt, um ein gezieltes Netzwerk oder einen Server mit einer erhöhten Menge an UDP-Traffic zu überfordern.
  • SNMP-Reflexion: Der Angreifer fälscht die IP-Adresse des Opfers und sendet mehrere SNMP-Anfragen (Simple Network Management Protocol) an Geräte. Das Volumen der Antworten kann das Opfer überfordern.
  • SSDP:Ein SSDP-Angriff (Simple Service Discovery Protocol) ist ein reflexionsbasierter DDoS-Angriff, der Universal Plug-and-Play-(UPnP)-Netzwerkprotokolle ausnutzt, um eine größere Menge an Traffic an ein gezieltes Opfer zu senden.
  • Smurf-Angriff: Dieser Angriff verwendet ein Malware-Programm namens smurf. Eine große Anzahl von ICMP-Paketen (Internet Control Message Protocol) mit der gefälschten IP-Adresse des Opfers wird über eine IP-Broadcast-Adresse an ein Computernetzwerk übertragen.
  • Fraggle-Angriff: Ein Angriff ähnlich wie bei Smurf, nur dass er UDP und nicht ICMP verwendet.

Was ist im Falle eines DDoS-Erpressungsangriffs zu tun?

  • Das Rechenzentrum und der ISP sollten unverzüglich informiert werden
  • Lösegeldzahlungen sollten niemals eine Option sein - eine Zahlung führt oft zu eskalierenden Lösegeldforderungen
  • Die Strafverfolgungsbehörden sollten benachrichtigt werden
  • Der Netzwerk-Traffic sollte überwacht werden
  • Es sollten DDoS-Schutzpläne wie z. B. der kostenlose Plan von Cloudflare berücksichtigt werden

Wie können Botnetz-Angriffe abgewehrt werden?

  • Firewalls sollten auf dem Server installiert werden
  • Sicherheitspatches müssen auf dem neuesten Stand sein
  • Antivirensoftware muss termingerecht ausgeführt werden
  • Systemprotokolle sollten regelmäßig überwacht werden
  • Unbekannte E-Mail-Server sollten nicht berechtigt sein, den SMTP-Traffic zu verteilen

Warum sind Booter-Dienste schwer zu verfolgen?

Die Person, die diese kriminellen Dienstleistungen kauft, nutzt eine Frontend-Website zur Bezahlung und Beauftragung des Angriffs. Sehr oft gibt es keine erkennbare Verbindung zum Backend, die den eigentlichen Angriff auslöst. Daher ist es schwierig, kriminelle Absichten nachzuweisen. Die Verfolgung des Zahlungspfades ist eine Möglichkeit, kriminelle Einheiten aufzuspüren.