How to DDoS | DoS and DDoS attack tools

Attackers overload a web server and shut down access to a web property through DoS and DDoS attacks.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DoS- und DDoS-Angriffe definieren
  • Häufig verwendete DoS- und DDoS-Tools beschreiben
  • Wissen, wie Sie sich gegen DDoS-Angriffstools verteidigen können

Link zum Artikel kopieren

Was sind DoS- und DDoS-Angriffe?

Ein Denial-of-Service-(DoS)-Angriff und ein verteilter Denial-of-Service-(DDoS)-Angriff sind böswillige Versuche, den normalen Betrieb eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel mit einer Flut von Internet-Traffic überlastet wird.

DoS-Angriffe senden dafür böswilligen Traffic von einem einzigen Gerät aus – normalerweise von einem Computer. Ein solcher Angriff kann sehr einfach aussehen. Ein elementarer Ping-Flood-Angriff lässt sich ausführen, indem mehr ICMP-(Ping)-Anfragen an einen angegriffenen Server gesendet werden, als er verarbeiten und auf die er effizient antworten kann.

DDoS-Angriffe hingegen nutzen mehr als nur ein Gerät, um böswilligen Traffic an ihr Ziel zu senden. Diese Geräte gehören oft zu einem ganzen Botnetz – einer Sammlung von Computern oder anderen Geräten, die mit Malware infiziert wurden und somit von einem einzelnen Angreifer ferngesteuert werden können. In anderen Fällen starten mehrere einzelne Angreifer gemeinsam DDoS-Angriffe, um Traffic von ihren einzelnen Computern aus zu senden.

DDoS-Angriffe treten im modernen Internet häufiger auf und richten mehr Schaden an. Das hat zwei Gründe: Erstens wurden moderne Sicherheitstools entwickelt, um einige gewöhnliche DoS-Angriffe zu stoppen. Zweitens sind DDoS-Angriffstools relativ billig und einfach zu bedienen.

Wie werden DoS/DDoS-Angriffstools kategorisiert?

Es gibt eine Reihe von Tools, die zur Durchführung von DoS/DDoS-Angriffen angepasst werden können oder auch explizit für diesen Zweck entwickelt wurden. Bei der ersten Kategorie handelt es sich häufig um„Stressoren“. Stressoren sind Tools, die Sicherheitsforschern und Netzwerkentwicklern bei der Durchführung von Stresstests gegen ihre eigenen Netzwerke helfen sollen – die aber auch zur Durchführung echter Angriffe verwendet werden können.

Some are specialized and only focus on a particular layer of the OSI model, while others are designed to allow for multiple attack vectors. Categories of attack tools include:

Low-and-Slow-Angriffstools

Wie der Name besagt, werden bei diesen Typen von Angriffstools sowohl ein niedriges Datenvolumen als auch eine sehr langsame Geschwindigkeit eingesetzt. Diese Tools wurden entwickelt, um kleine Datenmengen über mehrere Verbindungen zu senden, damit die Ports auf einem Zielserver so lange wie möglich geöffnet bleiben, und nutzen weiterhin Serverressourcen, bis ein Zielserver nicht mehr in der Lage ist, zusätzliche Verbindungen aufrechtzuerhalten. Low-and-Slow-Angriffe können manchmal effektiv sein, auch wenn kein verteiltes System wie ein Botnetz eingesetzt wird, und werden gewöhnlich von einem einzigen Computer ausgeführt.

Application-Layer-(L7)-Angriffstools

Diese Tools zielen auf Layer 7 des OSI-Modells ab, wo internetbasierte Anfragen wie HTTP-Anfragen erfolgen. Mit einer Art von HTTP-Flood-Angriff, um ein Ziel mit HTTP-GET- und POST-Anfragen zu überfordern, kann ein böswilliger Akteur Angriffs-Traffic starten, der schwer von normalen Anfragen tatsächlicher Besucher zu unterscheiden ist.

Protokoll- und Transport-Layer-(L3/L4)-Angriffstools

Weiter unten im Protokollstapel setzen diese Tools Protokolle wie UDP ein, um große Datenverkehrsvolumen an einen angegriffenen Server zu senden, z. B. während einer UDP-Flood. Obwohl diese Angriffe einzeln oft ineffektiv sind, treten sie typischerweise in Form von DDoS-Angriffen auf, wo die Nutzung zusätzlicher Angriffscomputer die Wirksamkeit erhöht.

Welche DoS/DDoS-Angriffstools werden häufig verwendet?

Häufig verwendete Tools sind unter anderem:

Low Orbit Ion Cannon (LOIC)

LOIC ist eine Open-Source-Belastungstestanwendung. Sie ermöglicht über eine benutzerfreundliche WYSIWYG-Schnittstelle sowohl Angriffe auf den TCP- als auch auf den UDP-Protokoll-Layer. Aufgrund der Popularität des ursprünglichen Tools wurden verbesserte Modelle entwickelt, mit welchen die Angriffe über einen Webbrowser gestartet werden können.

High Orbit Ion Cannon (HOIC)

Dieses Angriffstool wurde entwickelt, um den LOIC mit erweiterten Fähigkeiten und zusätzlichen Anpassungsmöglichkeiten zu ersetzen. Durch die Verwendung des HTTP-Protokolls kann HOIC gezielte Angriffe starten, die schwer abzuwehren sind. Die Software ist so konzipiert, dass mindestens 50 Personen in einem koordinierten Angriff zusammenarbeiten.

Slowloris

Slowloris ist eine Anwendung, die dafür konzipiert wurde, einen Low-and-Slow-Angriff auf einen Zielserver zu initiieren. Sie braucht nur eine relativ begrenzte Menge an Ressourcen, um eine schädliche Wirkung zu erzielen.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. ist ein weiteres Low-and-Slow-Angriffstool, das so konzipiert ist, dass der Benutzer Angriffe leicht mit einem einfachen Point-and-Click-Interface starten kann. Durch das Öffnen mehrerer HTTP-POST-Anfragen und das anschließende Offenhalten dieser Verbindungen über den längstmöglichen Zeitraum zielt der Angriff darauf ab, den Zielserver langsam zu überfordern.

Wie kann ich mich gegen DoS/DDoS-Tools verteidigen?

Da DoS- und DDoS-Angriffe in verschiedenen Formen auftreten, müssen sie auch mit einer breiten Palette an Abwehrtaktiken bekämpft werden. Zu den gängigen Taktiken zur Abwehr von DDoS-Angriffen gehören:

  • Rate Limiting: Beschränkung der Anzahl von Anfragen, die ein Server über ein bestimmtes Zeitfenster annimmt
  • Web Application Firewalls: Tools, die den Traffic anhand einer Reihe von Regeln filtern
  • Anycast-Netzwerk-Diffusion: Platzierung eines großen, verteilten Cloud-Netzwerks zwischen einem Server und dem eingehenden Traffic. Dadurch werden zusätzliche Computing-Ressourcen bereitgestellt, mit denen dann auf Anfragen reagiert werden kann.

Cloudflare wendet diese und weitere Strategien an, um die größten und komplexesten DoS- und DDoS-Angriffe zu bekämpfen. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.