Was ist ein DDoS-Booter/IP-Stresser? | DDoS-Angriffstools

DDoS-Angriffe, gebündelt als SaaS-Services, sind gegen eine geringe Gebühr erhältlich.

Share facebook icon linkedin icon twitter icon email icon

DDoS-Booter

Lernziele

Nach der Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren Sie mehr über Booter und IP-Stresser
  • Erfahren Sie mehr über DDoS-Angriffstools
  • Erfahren Sie mehr über Kriminalität als Geschäftsmodell

Was ist ein IP-Stresser?

Ein IP-Stresser ist ein Werkzeug, das entwickelt wurde, um ein Netzwerk oder einen Server auf Robustheit zu testen. Der Administrator kann einen Stresstest durchführen, um festzustellen, ob die vorhandenen Ressourcen (Bandbreite, CPU, etc.) ausreichend sind, um zusätzliche Belastungen zu bewältigen.

Das Testen des eigenen Netzwerks oder Servers ist eine legitime Nutzung eines Stressers. Es gegen das Netzwerk oder den Server einer anderen Person zu verwenden, was zu einem Denial-of-service für ihre legitimen Benutzer führt, ist in den meisten Ländern illegal.

Was sind Booter-Dienste?

Booter, auch als Booter-Dienste bekannt, sind On-Demand DDoS-(Distributed-Denial-of-Service)-Angriffsdienste, die von kühnen Kriminellen angeboten werden, um Websites und Netzwerke lahmzulegen. Mit anderen Worten sind Booter der unrechtmäßige Gebrauch von IP-Stressern.

Illegale IP-Stresser verdecken oft die Identität des angreifenden Servers durch den Einsatz von Proxy-Servern. Der Proxy leitet die Verbindung des Angreifers um, während er die IP-Adresse des Angreifers maskiert.

Booter werden routiniert als SaaS (Software-as-a-Service) verpackt, oft mit E-Mail-Support und YouTube-Tutorials. Pakete können einen einmaligen Dienst, mehrere Angriffe innerhalb eines bestimmten Zeitraums oder sogar einen „lebenslangen“ Zugriff anbieten. Ein einfaches, einmonatiges Paket ist schon für 19,99 $ erhältlich. Die Zahlungsoptionen können Kreditkarten, Skrill, PayPal oder Bitcoin sein (PayPal wird jedoch Konten kündigen, wenn böswillige Absicht nachgewiesen werden kann).

Inwiefern unterscheiden sich IP-Booter von Botnetzen?

Ein Botnet ist ein Netzwerk von Computern, deren Besitzer nicht wissen, dass ihre Computer mit Malware infiziert sind und bei Internetangriffen verwendet werden. Booter sind DDoS-for-hire-Dienste.

Booter starten Angriffe traditionell mit Botnetzen. Werden sie jedoch anspruchsvoller, rühmen sie sich mit leistungsfähigeren Servern, um, wie einige Booter-Dienste es formulieren, „Ihnen zu helfen, Ihren Angriff zu starten“.

Was sind die Motive für Denial-of-Service-Angriffe?

Die Motive für Denial-of-Service-Angriffe sind vielfältig: Skiddies*, die ihre Hacking-Fähigkeiten verfeinern, Geschäftsrivalitäten, ideologische Konflikte, staatlich gesponserter Terrorismus oder Erpressung. PayPal und Kreditkarten sind die bevorzugten Zahlungsmittel bei Erpressungsangriffen. Bitcoin wird auch verwendet, weil es die Fähigkeit bietet, die Identität zu verbergen. Ein Nachteil von Bitcoin aus Sicht der Angreifer ist, dass im Vergleich zu anderen Zahlungsformen weniger Menschen Bitcoins verwenden.

*Script kiddie, oder Skiddie, ist ein abwertender Begriff für relativ gering qualifizierte Internet-Vandalen, die Skripte oder Programme verwenden, die von anderen geschrieben wurden, um Angriffe auf Netzwerke oder Websites zu starten. Sie greifen auf relativ bekannte und leicht zu manipulierende Sicherheitsschwachstellen zurück, oft ohne Rücksicht auf die Folgen.

Was sind Reflexions- und Verstärkungsangriffe?

Reflexions- und Verstärkungsangriffe nutzen den legitimen Datenverkehr, um das angestrebte Netzwerk oder den Server zu überfordern.

Wenn ein Angreifer die IP-Adresse des Opfers fälscht und eine Nachricht an einen Dritten sendet, während er vorgibt, das Opfer zu sein, wird dies als IP-Spoofing bezeichnet. Der Dritte hat keine Möglichkeit, die IP-Adresse des Opfers von der des Angreifers zu unterscheiden. Es antwortet direkt dem Opfer. Die IP-Adresse des Angreifers bleibt sowohl für das Opfer als auch für den Server eines Drittanbieters verborgen. Dieser Prozess wird als Reflexion bezeichnet.

Dies ist vergleichbar mit einem Angreifer, der Pizzas ins Haus des Opfers bestellt und vorgibt, das Opfer zu sein. Jetzt schuldet das Opfer dem Pizza-Laden Geld für eine Pizza, die es nicht bestellt hat.

Eine Traffic-Verstärkung tritt auf, wenn der Angreifer den Server eines Drittanbieters zwingt, Antworten mit so vielen Daten wie möglich an das Opfer zurückzusenden. Das Verhältnis zwischen den Größen von Antwort und Anfrage wird als Verstärkungsfaktor bezeichnet. Je größer diese Verstärkung, desto größer die potenzielle Störung für das Opfer. Der Drittanbieter-Server wird auch aufgrund des Volumens der gefälschten Anfragen, die er verarbeiten muss, gestört. NTP-Amplification ist ein Beispiel für einen solchen Angriff.

Die effektivsten Arten von Booter-Angriffen nutzen sowohl Verstärkung als auch Reflexion. Zuerst fälscht der Angreifer die Adresse des Ziels und sendet eine Nachricht an einen Dritten. Wenn der Dritte antwortet, geht die Nachricht an die gefälschte Adresse des Ziels. Die Antwort ist viel größer als die ursprüngliche Nachricht, wodurch die Größe des Angriffs verstärkt wird.

Die Rolle eines einzelnen Bots bei einem solchen Angriff ähnelt der eines bösartigen Teenagers, der ein Restaurant anruft und das gesamte Menü bestellt und dann einen Rückruf anfordert, der jede Position auf dem Menü bestätigt. Außer, dass die Rückrufnummer die des Opfers ist. Dies führt dazu, dass das betroffene Opfer einen Anruf vom Restaurant mit einer Flut von Informationen erhält, die es nicht angefordert hat.

Welche Kategorien von Denial-of-Service-Angriffen gibt es?

Angriffe auf die Anwendungsschicht folgen Webanwendungen und verwenden oft die anspruchsvollste Technologie. Diese Angriffe nutzen eine Schwachstelle im Layer 7-Protokollstapel aus, indem sie zunächst eine Verbindung mit dem Ziel herstellen und dann Serverressourcen durch Monopolisierung von Prozessen und Transaktionen ausschöpfen. Diese sind schwer zu identifizieren und abzuwehren. Ein gängiges Beispiel ist ein HTTP-Flood-Angriff.

Protokollbasierte Angriffe konzentrieren sich auf die Ausnutzung einer Schwäche in den Schichten 3 oder 4 des Protokollstapels. Solche Angriffe verbrauchen die gesamte Verarbeitungskapazität des Opfers oder andere kritische Ressourcen (z. B. eine Firewall), was zu Betriebsstörungen führt. Syn Flood und Ping of Death sind einige Beispiele.

Volumetrische Angriffe senden hohe Datenmengen, um die Bandbreite eines Opfers zu sättigen. Volumetrische Angriffe lassen sich durch den Einsatz einfacher Verstärkungstechniken leicht erzeugen, so dass dies die häufigsten Angriffsformen sind. UDP-Flood, TCP-Flood, NTP-Amplification sowie DNS-Amplification sind einige Beispiele.

Was sind häufige Denial-of-Service-Angriffe?

Das Ziel von DoS- oder DDoS-Angriffen ist es, genügend Server- oder Netzwerkressourcen zu verbrauchen, so dass das System nicht mehr auf legitime Anfragen reagieren kann:

Was ist im Falle eines DDoS-Erpressungsangriffs zu tun?

Wie können Botnet-Angriffe abgewehrt werden?

  • Firewalls sollten auf dem Server installiert werden
  • Sicherheitspatches müssen auf dem neuesten Stand sein
  • Antivirensoftware muss termingerecht ausgeführt werden
  • Systemprotokolle sollten regelmäßig überwacht werden
  • Unbekannte E-Mail-Server sollten nicht berechtigt sein, den SMTP-Traffic zu verteilen

Warum sind Booter-Dienste schwer zu verfolgen?

Die Person, die diese kriminellen Dienstleistungen kauft, nutzt eine Frontend-Website zur Bezahlung und Beauftragung des Angriffs. Sehr oft gibt es keine erkennbare Verbindung zum Backend, die den eigentlichen Angriff auslöst. Daher ist es schwierig, kriminelle Absichten nachzuweisen. Die Verfolgung des Zahlungspfades ist eine Möglichkeit, kriminelle Einheiten aufzuspüren.