DDoS-Angriffe, gebündelt als SaaS-Services, sind dank IP-Stressern gegen eine geringe Gebühr erhältlich.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist ein Denial-of-Service-Angriff?
So funktioniert DDoS | DoS und DDoS-Angriffstools
Botnetz – was ist das?
Was ist das Internet of Things (IoT)?
Was ist DDoS-Blackhole-Routing?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein IP-Stresser ist ein Werkzeug, das entwickelt wurde, um ein Netzwerk oder einen Server auf Robustheit zu testen. Der Administrator kann einen Stresstest durchführen, um festzustellen, ob die vorhandenen Ressourcen (Bandbreite, CPU, etc.) für die Bewältigung zusätzlicher Belastungen ausreichen.
Das Testen des eigenen Netzwerks oder Servers ist eine legitime Nutzung eines Stressers. Es gegen das Netzwerk oder den Server einer anderen Person zu verwenden, was zu einem Denial-of-Service für die legitimen Benutzer führt, ist in den meisten Ländern illegal.
Booter, auch als Booter-Dienste bekannt, sind On-Demand-DDoS-(Distributed-Denial-of-Service)-Angriffsdienste, die von kühnen Kriminellen angeboten werden, um Websites und Netzwerke lahmzulegen. Mit anderen Worten sind Booter der unrechtmäßige Gebrauch von IP-Stressern.
Illegale IP-Stresser verdecken oft die Identität des angreifenden Servers durch den Einsatz von Proxy-Servern. Der Proxy leitet die Verbindung des Angreifers um, während er die IP-Adresse des Angreifers maskiert.
Booter werden routiniert als SaaS (Software-as-a-Service) verpackt, oft mit E-Mail-Support und YouTube-Tutorials. Pakete können einen einmaligen Dienst, mehrere Angriffe innerhalb eines bestimmten Zeitraums oder sogar einen „lebenslangen“ Zugriff anbieten. Ein einfaches, einmonatiges Paket ist schon für 19,99 $ erhältlich. Die Zahlungsoptionen können Kreditkarten, Skrill, PayPal oder Bitcoin sein (PayPal wird jedoch Konten kündigen, wenn böswillige Absicht nachgewiesen werden kann).
Ein Botnetz ist ein Netzwerk von Computern, deren Besitzer nicht wissen, dass ihre Computer mit Malware infiziert sind und bei Internetangriffen verwendet werden. Booter sind DDoS-for-hire-Dienste.
Booter starten Angriffe traditionell mit Botnetzen. Werden sie jedoch anspruchsvoller, rühmen sie sich mit leistungsfähigeren Servern, um, wie einige Booter-Dienste es formulieren, „Ihnen zu helfen, Ihren Angriff zu starten“.
Die Motive für Denial-of-Service-Angriffe sind vielfältig: Skiddies*, die ihre Hacking-Fähigkeiten verfeinern, Geschäftsrivalitäten, ideologische Konflikte, staatlich gesponserter Terrorismus oder Erpressung. PayPal und Kreditkarten sind die bevorzugten Zahlungsmittel bei Erpressungsangriffen. Bitcoin wird auch verwendet, weil man damit seine Identität verbergen kann. Ein Nachteil von Bitcoin aus Sicht der Angreifer ist, dass im Vergleich zu anderen Zahlungsformen weniger Menschen Bitcoins verwenden.
*Script kiddie, oder Skiddie, ist ein abwertender Begriff für relativ gering qualifizierte Internet-Vandalen, die Skripte oder Programme verwenden, die von anderen geschrieben wurden, um Angriffe auf Netzwerke oder Websites zu starten. Sie greifen auf relativ bekannte und leicht zu manipulierende Sicherheitsschwachstellen zurück, oft ohne Rücksicht auf die Folgen.
Reflection- und Amplification-Angriffe nutzen den legitimen Datenverkehr, um das Netzwerk oder den Server zu überlasten, das bzw. der Ziel des Angriffs ist.
Wenn ein Angreifer die IP-Adresse des Opfers fälscht und eine Nachricht an einen Dritten sendet, während er vorgibt, das Opfer zu sein, wird dies als IP-Adressen-Spoofing bezeichnet. Der Dritte hat keine Möglichkeit, die IP-Adresse des Opfers von der des Angreifers zu unterscheiden. Er antwortet direkt dem Opfer. Die IP-Adresse des Angreifers bleibt sowohl für das Opfer als auch für den Server eines Drittanbieters verborgen. Dieser Prozess wird als Reflexion bezeichnet.
Dies ist vergleichbar mit einem Angreifer, der eine Pizza an die Adresse des Opfers bestellt. Jetzt schuldet das Opfer dem Pizzadienst Geld für eine Pizza, die es gar nicht bestellt hat.
Traffic-Amplification tritt auf, wenn der Angreifer den Server eines Drittanbieters zwingt, Antworten mit so vielen Daten wie möglich an das Opfer zurückzusenden. Das Verhältnis zwischen den Größen von Antwort und Anfrage wird als Verstärkungsfaktor bezeichnet. Je größer diese Verstärkung, desto größer die potenzielle Störung für das Opfer. Der Drittanbieter-Server wird auch aufgrund des Volumens der gefälschten Anfragen, die er verarbeiten muss, gestört. NTP-Amplification ist ein Beispiel für einen solchen Angriff.
Die effektivsten Arten von Booter-Angriffen nutzen sowohl Amplification als auch Reflexion. Zuerst fälscht der Angreifer die Adresse des Ziels und sendet eine Nachricht an einen Dritten. Wenn der Dritte antwortet, geht die Nachricht an die gefälschte Adresse des Ziels. Die Antwort ist viel größer als die ursprüngliche Nachricht, wodurch die Größe des Angriffs verstärkt wird.
Die Rolle eines einzelnen Bots bei einem solchen Angriff ähnelt der eines böswilligen Teenagers, der ein Restaurant anruft und das gesamte Menü bestellt und dann einen Rückruf anfordert, der jede Position auf dem Menü bestätigt. Außer, dass die Rückrufnummer die des Opfers ist. Dies führt dazu, dass das betroffene Opfer einen Anruf vom Restaurant mit einer Flut von Informationen erhält, die es nicht angefordert hat.
Application-Layer-Angriffe zielen auf Webanwendungen ab und verwenden oft die anspruchsvollste Technologie. Diese Angriffe nutzen eine Schwachstelle im Layer 7 des Protokollstapels aus, indem sie zunächst eine Verbindung mit dem Ziel herstellen und dann Serverressourcen durch Monopolisierung von Prozessen und Transaktionen ausschöpfen. Diese sind schwer zu identifizieren und abzuwehren. Ein gängiges Beispiel ist ein HTTP-Flood-Angriff.
Protokollbasierte Angriffe konzentrieren sich auf die Ausnutzung einer Schwäche in den Layern 3 und 4 des Protokollstapels. Solche Angriffe verbrauchen die gesamte Verarbeitungskapazität des Opfers oder andere kritische Ressourcen (z. B. eine Firewall), was zu Betriebsstörungen führt. Syn Flood und Ping of Death sind einige Beispiele.
Volumetrische Angriffe senden hohe Datenmengen, um die Bandbreite eines Opfers zu sättigen. Volumetrische Angriffe lassen sich durch den Einsatz einfacher Verstärkungstechniken leicht erzeugen, so dass dies die häufigsten Angriffsformen sind. UDP-Flood, TCP-Flood, NTP-Amplification sowie DNS-Amplification sind einige Beispiele.
Das Ziel von DoS- oder DDoS-Angriffen ist es, so viele Server- oder Netzwerkressourcen zu verbrauchen, dass das System nicht mehr auf legitime Anfragen reagieren kann:
Die Person, die diese kriminellen Dienstleistungen kauft, nutzt eine Frontend-Website zur Bezahlung und Beauftragung des Angriffs. Sehr oft gibt es keine erkennbare Verbindung zu dem Backend, der den eigentlichen Angriff auslöst. Daher ist es schwierig, kriminelle Absichten nachzuweisen. Die Verfolgung des Zahlungspfades ist eine Möglichkeit, Kriminelle aufzuspüren.