So funktioniert DDoS | DoS und DDoS-Angriffstools

Wie können Angreifer einen Webserver überlasten und den Zugriff auf eine Website unterbrechen?

Share facebook icon linkedin icon twitter icon email icon

So funktioniert DDoS

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DoS- und DDoS-Angriffe definieren
  • Verstehen, wie ein Denial-of-Service-Angriff durchgeführt wird
  • Die Kategorien der DoS- und DDoS-Angriffstools kennen
  • Häufig verwendete DoS DDoS-Tools hervorheben
  • Die rechtlichen Risiken bei der Durchführung von DDoS-Angriffen erkunden

DoS gegenüber DDoS

Denial-of-Service-(DoS)-Angriffe sind ein Vorläufer von DDoS-Angriffen. Historisch waren DoS-Angriffe eine hauptsächliche Methode zur Störung von Computersystemen in einem Netzwerk. DoS-Angriffe haben ihren Ursprung in einem einzigen Computer und können sehr einfach sein. Ein elementarer Ping-Flood-Angriff lässt sich ausführen, indem mehr ICMP-(Ping)-Anfragen an einen angegriffenen Server gesendet werden, als er verarbeiten und auf die er effizient antworten kann. Praktisch jeder, der einen mit einem Netzwerk verbundenen Computer hat, kann diesen Angriffstyp mit integrierten Terminal-Befehlen starten. Bei komplexeren DoS-Angriffen wie bei dem jetzt weitgehend verschwundenen Ping-of-Death-Angriff wird eventuell Paketfragmentierung eingesetzt.

#

Denial-of-Service-(DoS)-Angriffe sind der Vorläufer von DDoS-Angriffen. Historisch waren DoS-Angriffe eine hauptsächliche Methode zur Störung von Computersystemen in einem Netzwerk. DoS-Angriffe haben ihren Ursprung in einem einzigen Computer und können sehr einfach sein. Ein elementarer Ping-Flood-Angriff kann ausgeführt werden, indem mehr ICMP-(Ping)-Anfragen an einen angegriffenen Server gesendet werden, als er verarbeiten und auf die er effizient antworten kann.


Praktisch jeder, der einen mit einem Netzwerk verbundenen Computer hat, kann diesen Angriffstyp mithilfe integrierter Terminalbefehle starten. Bei komplexeren DoS-Angriffen wie bei dem jetzt weitgehend verschwundenen Ping-of-Death-Angriff wird eventuell Paketfragmentierung eingesetzt.


Angriffe, die mehrere Computer oder andere Geräte beinhalten, die alle auf dasselbe Opfer abzielen, werden aufgrund ihrer verteilten Konzeption als DDoS-Angriffe betrachtet. Unter diesen beiden Angriffstypen sind DDoS-Angriffe im modernen Internet weiter verbreitet und richten mehr Schaden an. Weil es relativ einfach ist, eine Gruppe von Computern zu kaufen oder zu bauen, die große Mengen an Internet-Traffic zu einem Ziel senden können, sind böswillige Akteure in der Lage, Geräte-Netzwerke wie Botnetze einzusetzen, um ein Ziel mit Anfragen zu überfluten. Durch Ausnutzung eines großen Netzwerks von Computern, die mit Malware infiziert sind, kann ein böswilliger Akteur den Angriffs-Traffic einer großen Anzahl von Computersystemen wirkungsvoll einsetzen. Mit der Verbreitung von schlecht geschützten Geräten des Internet of Things (IoT) kann mehr elektronische Hardware für schädliche Zwecke in Beschlag genommen werden.

Angriffe, die mehrere Computer oder andere Geräte beinhalten, die alle auf dasselbe Opfer abzielen, werden aufgrund ihrer verteilten Konzeption als DDoS-Angriffe betrachtet. Unter den beiden Angriffstypen sind DDoS-Angriffe im modernen Internet weiter verbreitet und richten mehr Schaden an.


Weil es relativ einfach ist, eine Gruppe von Computern zu kaufen oder zu bauen, die große Mengen an Internet-Traffic zu einem Ziel senden können, sind böswillige Akteure in der Lage, Geräte-Netzwerke wie Botnetze einzusetzen, um ein Ziel mit Anfragen zu überfluten.


Durch Ausnutzung eines großen Netzwerks von Computern, die mit Malware infiziert sind, kann ein böswilliger Akteur den Angriffs-Traffic einer großen Anzahl von Computersystemen wirkungsvoll einsetzen. Mit der Verbreitung von schlecht geschützten Geräten des Internet of Things (IoT) kann mehr elektronische Hardware für schädliche Zwecke in Beschlag genommen werden.


Nicht alle verteilten Angriffe umfassen Botnetze. Manche Angriffstools setzen Freiwillige ein, die zusammenarbeiten und ihre verfügbaren Computerressourcen für ein gemeinsames Ziel zusammenlegen. Die Hackergruppe Anonymous verwendet DoS- und DDoS-Tools zusammen mit willigen Parteien für genau diesen Zweck.

Wie werden DoS/DDoS-Angriffstools kategorisiert?

Eine Reihe unterschiedlicher Angriffstools oder „Stressoren“ sind kostenlos im Internet erhältlich. In ihrem Kern haben manche dieser Tools legitime Zwecke, weil Sicherheitsforscher und Netzwerktechniker manchmal Belastungstests an ihren eigenen Netzwerken ausführen. Manche Angriffstools sind spezialisiert und konzentrieren sich nur auf einen speziellen Bereich des Protokollstapels, während andere dafür ausgelegt werden, vielfache Angriffsvektoren zu ermöglichen.


Angriffstools lassen sich grob in mehrere Gruppen einteilen:

Low-and-Slow-Angriffstools

Wie der Name besagt, werden bei diesen Typen von Angriffstools sowohl ein niedriges Datenvolumen als auch eine sehr langsame Geschwindigkeit eingesetzt. Sie sind dafür ausgelegt, kleine Datenmengen über vielfache Verbindungen zu senden, um die Ports an einem angegriffenen Server so lange wie möglich offen zu halten, und verbrauchen solange Serverressourcen, bis ein angegriffener Server keine weiteren Verbindungen mehr aufrechterhalten kann. Low-and-Slow-Angriffe können manchmal effektiv sein, auch wenn kein verteiltes System wie ein Botnetz eingesetzt wird, und werden gewöhnlich von einem einzigen Computer ausgeführt.

Wie der Name besagt, werden bei diesen Typen von Angriffstools sowohl ein niedriges Datenvolumen als auch eine sehr langsame Geschwindigkeit eingesetzt. Sie sind dafür ausgelegt, kleine Datenmengen über vielfache Verbindungen zu senden, um die Ports an einem angegriffenen Server so lange wie möglich offen zu halten, und verbrauchen solange Serverressourcen, bis ein angegriffener Server keine weiteren Verbindungen mehr aufrechterhalten kann.


Low-and-Slow-Angriffe können manchmal effektiv sein, auch wenn kein verteiltes System wie ein Botnetz eingesetzt wird, und werden gewöhnlich von einem einzigen Computer ausgeführt.

Application-Layer-(L7)-Angriffstools

Diese Tools zielen auf Layer 7 des OSI-Modells ab, wo Internet-basierte Anfragen wie HTTP-Anfragen erfolgen. Mit einem HTTP-Flood-Angriffstyp zur Überflutung einer Zieladresse mit HTTP-GET- und POST-Anfragen kann ein böswilliger Akteur Angriffs-Traffic starten, der sich schwer von normalen Anfragen von tatsächlichen Besuchern unterscheiden lässt.

Protokoll- und Transport-Layer-(L3/L4)-Angriffstools

Weiter unten im Protokollstapel setzen diese Tools Protokolle wie UDP ein, um große Datenverkehrsvolumen an einen angegriffenen Server zu senden, z. B. während einer UDP-Flood. Während diese Angriffe für sich oft nicht effektiv sind, treten sie gewöhnlich in Form von DDoS-Angriffen auf, wo der Vorteil zusätzlicher Angriffscomputer die Wirkung erhöht.

Welche DoS/DDoS-Angriffstools werden häufig verwendet?

Häufig verwendete Tools sind u. a.:

Low Orbit Ion Cannon (LOIC)

Die LOIC ist eine Open-Source-Belastungstestanwendung. Sie ermöglicht die Ausführung von TCP- und UDP-Protokoll-Layer-Angriffen mit einem benutzerfreundlichen WYSIWYG-Interface. Aufgrund der Popularität des ursprünglichen Tools wurden verbesserte Modelle entwickelt, mit denen Angriffe mit einem Webbrowser gestartet werden können.

High Orbit Ion Cannon (HOIC)

Dieses Angriffstool wurde entwickelt, um die LOIC zu ersetzen, indem ihre Möglichkeiten erweitert und Anpassungen hinzugefügt wurden. Durch Verwendung des HTTP-Protokolls kann die HOIC gezielte Angriffe ausführen, die schwer zu bekämpfen sind. Die Software ist so konzipiert, dass mindestens 50 Personen bei einem koordinierten Angriff zusammenarbeiten müssen.

Slowloris

Abgesehen davon, dass Slowloris ein sich langsam bewegender Primat ist, handelt es sich dabei um eine Anwendung, die dafür konzipiert wurde, einen Low-and-Slow-Angriff auf einen Zielserver zu initiieren. Die Eleganz von Slowloris liegt in der begrenzten Menge von Ressourcen, die es verbrauchen muss, um eine schädliche Wirkung zu erzeugen.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. ist ein weiteres Low-and-Slow-Angriffstool, das so konzipiert ist, dass der Benutzer Angriffe leicht mit einem einfachen Point-and-Click-Interface starten kann. Beim Angriff werden vielfache HTTP-POST-Anfragen geöffnet, woraufhin diese Verbindungen so lange wie möglich offen gehalten werden, um den Zielserver langsam zu überfluten.