So funktioniert DDoS | DoS und DDoS-Angriffstools

Wie können Angreifer einen Webserver überlasten und den Zugriff auf eine Website unterbrechen?

Share facebook icon linkedin icon twitter icon email icon

So funktioniert DDoS

Lernziele

Nach der Lektüre dieses Artikels können Sie Folgendes:

  • DoS- und DDoS-Angriffe definieren
  • Verstehen, wie ein Denial-of-Service-Angriff durchgeführt wird
  • Die Kategorien der DoS- und DDoS-Angriffstools kennen
  • Häufig verwendete DoS DDoS-Tools hervorheben
  • Die rechtlichen Risiken bei der Durchführung von DDoS-Angriffen erkunden

DoS vs. DDoS

Denial-of-Service-(DoS)-Angriffe sind der Vorläufer von DDoS-Angriffen. In der Vergangenheit wurden DoS-Angriffe primär verwendet, um Computersysteme in einem Netzwerk zu unterbrechen. DoS-Angriffe stammen von einem einzelnen Computer und können sehr einfach sein. Bei einem grundlegenden Ping-Flood-Angriff werden mehr ICMP-(Ping)-Anfragen an einen Zielserver gesendet als dieser in der Lage ist, effizient zu bearbeiten und darauf zu reagieren. Eigentlich ist jeder mit einem vernetzten Computer in der Lage, diese Art von Angriff mit Hilfe von integrierten Terminal-Befehlen zu starten. Komplexere DoS-Angriffe verwenden ggfs. Paketfragmentierung wie beispielsweise den inzwischen weitgehend nicht mehr verwendeten Ping-of-Death-Angriff.

Denial-of-Service-(DoS)-Angriffe sind der Vorläufer von DDoS-Angriffen. In der Vergangenheit wurden DoS-Angriffe primär verwendet, um Computersysteme in einem Netzwerk zu unterbrechen. DoS-Angriffe stammen von einem einzelnen Computer und können sehr einfach sein. Bei einem grundlegenden Ping-Flood-Angriff werden mehr ICMP-(Ping)-Anfragen an einen Zielserver gesendet als dieser in der Lage ist, effizient zu bearbeiten und darauf zu reagieren.


Eigentlich ist jeder mit einem vernetzten Computer in der Lage, diese Art von Angriff mit Hilfe von integrierten Terminal-Befehlen zu starten. Komplexere DoS-Angriffe verwenden ggfs. Paketfragmentierung wie beispielsweise den inzwischen weitgehend nicht mehr verwendeten Ping-of-Death-Angriff.


Angriffe, an denen mehrere Computer oder andere Geräte beteiligt sind, die alle auf dasselbe Opfer abzielen, gelten aufgrund ihres verteilten Designs als DDoS-Angriffe. Von diesen beiden sind DDoS-Angriffe im modernen Internet häufiger und schädlicher. Da es relativ einfach ist, Computer zu kaufen oder eine Gruppe von böswilligen Computern aufzusetzen, die in der Lage sind, eine massive Menge an Internet-Traffic an eine Zieladresse zu senden, können böswillige Akteure mithilfe von Geräte-Netzwerken wie Botnets eine Zieladresse mit Anfragen überfluten. Durch die Verwendung eines großen Netzwerks von Computern, die mit Malware infiziert sind, kann ein böswilliger Akteur den Angriffs-Traffic einer großen Anzahl von Computersystemen nutzen. Mit dem Aufkommen schlecht gesicherter Internet der Dinge (IoT)-Geräte kann mehr elektronische Hardware für schändliche Zwecke beschlagnahmt werden.

Angriffe, an denen mehrere Computer oder andere Geräte beteiligt sind, die alle auf dasselbe Opfer abzielen, gelten aufgrund ihres verteilten Designs als DDoS-Angriffe. Von diesen beiden sind DDoS-Angriffe im modernen Internet häufiger und schädlicher.


Da es relativ einfach ist, Computer zu kaufen oder eine Gruppe von böswilligen Computern aufzusetzen, die in der Lage sind, eine massive Menge an Internet-Traffic an eine Zieladresse zu senden, können böswillige Akteure mithilfe von Geräte-Netzwerken wie Botnets eine Zieladresse mit Anfragen überfluten.


Durch die Verwendung eines großen Netzwerks von Computern, die mit Malware infiziert sind, kann ein böswilliger Akteur den Angriffs-Traffic einer großen Anzahl von Computersystemen nutzen. Mit dem Aufkommen schlecht gesicherter Internet der Dinge (IoT)-Geräte kann mehr elektronische Hardware für schändliche Zwecke beschlagnahmt werden.


Nicht alle verteilten Angriffe betreffen Botnetze. Einige Angriffstools nutzen Freiwillige, die zusammenarbeiten, indem sie ihre verfügbaren Computerressourcen gemeinsam nutzen, um an einem gemeinsamen Ziel teilzunehmen. Die Hackergruppe Anonymous hat zu diesem Zweck DoS- und DDoS-Tools in Verbindung mit willigen Parteien eingesetzt.

Wie werden DoS/DDoS-Angriffstools kategorisiert?

Eine Reihe von verschiedenen Angriffstools oder „Stressor“ stehen im Internet kostenlos zur Verfügung. In ihrem Kern haben einige dieser Tools legitime Zwecke, da Sicherheitsforscher und Netzwerkingenieure manchmal Belastungstests gegen ihre eigenen Netzwerke durchführen können. Einige Angriffstools sind spezialisiert und konzentrieren sich nur auf einen bestimmten Bereich des Protokollstapels, während andere so konzipiert sind, dass sie mehrere Angriffsvektoren erlauben.


Angriffstools lassen sich in mehrere Gruppen einteilen:

Low-and-Slow-Angriffstools

Wie der Name schon sagt, verwenden diese Art von Angriffstools ein geringes Datenvolumen und arbeiten sehr langsam. Diese Tools wurden entwickelt, um kleine Datenmengen über mehrere Verbindungen zu senden, um die Ports auf einem Zielserver so lange wie möglich offen zu halten, und nutzen weiterhin Serverressourcen, bis ein Zielserver nicht mehr in der Lage ist, zusätzliche Verbindungen aufrechtzuerhalten. Einzigartige Low-and-Slow-Angriffe sind manchmal effektiv, auch wenn sie nicht ein verteiltes System wie ein Botnetz verwenden, und werden häufig von einem einzelnen Computer verwendet.

Wie der Name schon sagt, verwenden diese Art von Angriffstools ein geringes Datenvolumen und arbeiten sehr langsam. Diese Tools wurden entwickelt, um kleine Datenmengen über mehrere Verbindungen zu senden, um die Ports auf einem Zielserver so lange wie möglich offen zu halten, und nutzen weiterhin Serverressourcen, bis ein Zielserver nicht mehr in der Lage ist, zusätzliche Verbindungen aufrechtzuerhalten.


Einzigartige Low-and-Slow-Angriffe sind manchmal effektiv, auch wenn sie nicht ein verteiltes System wie ein Botnetz verwenden, und werden häufig von einem einzelnen Computer verwendet.

Angriffstools auf der Anwendungsschicht (L7)

Diese Tools zielen auf die Schicht 7 des OSI-Modells ab, auf der internetbasierte Anfragen wie HTTP auftreten. Mit einer Art von HTTP-Flood-Angriff, um ein Ziel mit HTTP-GET- und POST-Anfragen zu überwältigen, kann ein bösartiger Akteur Angriffs-Traffic starten, der schwer von normalen Anfragen tatsächlicher Besucher zu unterscheiden ist.

Angriffstools auf der Protokoll- und Transportschicht (L3/L4)

Im weiteren Verlauf des Protokollstapels verwenden diese Tools Protokolle wie UDP, um große Datenmengen an einen Zielserver zu senden, beispielsweise während einer UDP-Flood. Obwohl diese Angriffe einzeln oft ineffektiv sind, treten sie typischerweise in Form von DDoS-Angriffen auf, wo die Nutzung zusätzlicher Angriffscomputer die Wirksamkeit erhöht.

Welche sind die gebräuchlichsten DoS/DDoS-Angriffstools?

Einige häufig verwendete Tools sind:

Low Orbit Ion Cannon (LOIC)

LOIC ist eine Open-Source-Stresstestanwendung. Sie ermöglicht über eine benutzerfreundliche WYSIWYG-Schnittstelle sowohl Angriffe auf die TCP- als auch auf die UDP-Protokollschicht. Aufgrund der Popularität des ursprünglichen Tools wurden verbesserte Modelle entwickelt, mit welchen die Angriffe über einen Webbrowser gestartet werden können.

High Orbit Ion Cannon (HOIC)

Dieses Angriffstool wurde entwickelt, um den LOIC durch Erweiterung seiner Fähigkeiten und Hinzufügen von Anpassungen zu ersetzen. Durch die Verwendung des HTTP-Protokolls kann HOIC gezielte Angriffe starten, die schwer abzuwehren sind. Die Software ist so konzipiert, dass mindestens 50 Personen in einem koordinierten Angriff zusammenarbeiten.

Slowloris

Slowloris ist nicht nur ein sich langsam bewegender Primat, sondern auch eine Anwendung, die entwickelt wurde, um einen Low-and-Slow-Angriff auf einen bestimmten Server zu starten. Die Eleganz von Slowloris liegt in der begrenzten Menge an Ressourcen, die notwendig ist, um eine schädliche Wirkung zu erzielen.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. ist ein weiteres Low-and-Slow-Angriffstool, womit der Benutzer Angriffe einfach über eine einfache Point-and-Click-Oberfläche starten kann. Durch das Öffnen mehrerer HTTP-POST-Anfragen und das anschließende Offenhalten dieser Verbindungen über den längstmöglichen Zeitraum zielt der Angriff darauf ab, den Zielserver langsam zu überfordern.