Durch DoS- und DDoS-Angriffe überlasten Angreifer einen Webserver und legen den Zugriff auf eine Website lahm.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Denial-of-Service-(DoS)-Angriff und ein verteilter Denial-of-Service-(DDoS)-Angriff sind böswillige Versuche, den normalen Betrieb eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel mit einer Flut von Internet-Traffic überlastet wird.
DoS-Angriffe senden dafür böswilligen Traffic von einem einzigen Gerät aus – normalerweise von einem Computer. Ein solcher Angriff kann sehr einfach aussehen. Ein elementarer Ping-Flood-Angriff lässt sich ausführen, indem mehr ICMP-(Ping)-Anfragen an einen angegriffenen Server gesendet werden, als er verarbeiten und auf die er effizient antworten kann.
DDoS-Angriffe hingegen nutzen mehr als nur ein Gerät, um böswilligen Traffic an ihr Ziel zu senden. Diese Geräte gehören oft zu einem ganzen Botnetz – einer Sammlung von Computern oder anderen Geräten, die mit Malware infiziert wurden und somit von einem einzelnen Angreifer ferngesteuert werden können. In anderen Fällen starten mehrere einzelne Angreifer gemeinsam DDoS-Angriffe, um Traffic von ihren einzelnen Computern aus zu senden.
DDoS-Angriffe treten im modernen Internet häufiger auf und richten mehr Schaden an. Das hat zwei Gründe: Erstens wurden moderne Sicherheitstools entwickelt, um einige gewöhnliche DoS-Angriffe zu stoppen. Zweitens sind DDoS-Angriffstools relativ billig und einfach zu bedienen.
Es gibt eine Reihe von Tools, die zur Durchführung von DoS/DDoS-Angriffen angepasst werden können oder auch explizit für diesen Zweck entwickelt wurden. Bei der ersten Kategorie handelt es sich häufig um„Stressoren“. Stressoren sind Tools, die Sicherheitsforschern und Netzwerkentwicklern bei der Durchführung von Stresstests gegen ihre eigenen Netzwerke helfen sollen – die aber auch zur Durchführung echter Angriffe verwendet werden können.
Einige Angriffstools sind spezialisiert und konzentrieren sich nur auf eine bestimmte Ebene des OSI-Modells, während andere so konzipiert sind, dass sie mehrere Angriffsvektoren erlauben. Die Kategorien von Angriffstools umfassen:
Wie der Name besagt, werden bei diesen Typen von Angriffstools sowohl ein niedriges Datenvolumen als auch eine sehr langsame Geschwindigkeit eingesetzt. Diese Tools wurden entwickelt, um kleine Datenmengen über mehrere Verbindungen zu senden, damit die Ports auf einem Zielserver so lange wie möglich geöffnet bleiben, und nutzen weiterhin Serverressourcen, bis ein Zielserver nicht mehr in der Lage ist, zusätzliche Verbindungen aufrechtzuerhalten. Low-and-Slow-Angriffe können manchmal effektiv sein, auch wenn kein verteiltes System wie ein Botnetz eingesetzt wird, und werden gewöhnlich von einem einzigen Computer ausgeführt.
Diese Tools zielen auf Layer 7 des OSI-Modells ab, wo internetbasierte Anfragen wie HTTP-Anfragen erfolgen. Mit einer Art von HTTP-Flood-Angriff, um ein Ziel mit HTTP-GET- und POST-Anfragen zu überfordern, kann ein böswilliger Akteur Angriffs-Traffic starten, der schwer von normalen Anfragen tatsächlicher Besucher zu unterscheiden ist.
Weiter unten im Protokollstapel setzen diese Tools Protokolle wie UDP ein, um große Datenverkehrsvolumen an einen angegriffenen Server zu senden, z. B. während einer UDP-Flood. Obwohl diese Angriffe einzeln oft ineffektiv sind, treten sie typischerweise in Form von DDoS-Angriffen auf, wo die Nutzung zusätzlicher Angriffscomputer die Wirksamkeit erhöht.
Häufig verwendete Tools sind unter anderem:
LOIC ist eine Open-Source-Belastungstestanwendung. Sie ermöglicht über eine benutzerfreundliche WYSIWYG-Schnittstelle sowohl Angriffe auf den TCP- als auch auf den UDP-Protokoll-Layer. Aufgrund der Popularität des ursprünglichen Tools wurden verbesserte Modelle entwickelt, mit welchen die Angriffe über einen Webbrowser gestartet werden können.
Dieses Angriffstool wurde entwickelt, um den LOIC mit erweiterten Fähigkeiten und zusätzlichen Anpassungsmöglichkeiten zu ersetzen. Durch die Verwendung des HTTP-Protokolls kann HOIC gezielte Angriffe starten, die schwer abzuwehren sind. Die Software ist so konzipiert, dass mindestens 50 Personen in einem koordinierten Angriff zusammenarbeiten.
Slowloris ist eine Anwendung, die dafür konzipiert wurde, einen Low-and-Slow-Angriff auf einen Zielserver zu initiieren. Sie braucht nur eine relativ begrenzte Menge an Ressourcen, um eine schädliche Wirkung zu erzielen.
R.U.D.Y. ist ein weiteres Low-and-Slow-Angriffstool, das so konzipiert ist, dass der Benutzer Angriffe leicht mit einem einfachen Point-and-Click-Interface starten kann. Durch das Öffnen mehrerer HTTP-POST-Anfragen und das anschließende Offenhalten dieser Verbindungen über den längstmöglichen Zeitraum zielt der Angriff darauf ab, den Zielserver langsam zu überfordern.
Da DoS- und DDoS-Angriffe in verschiedenen Formen auftreten, müssen sie auch mit einer breiten Palette an Abwehrtaktiken bekämpft werden. Zu den gängigen Taktiken zur Abwehr von DDoS-Angriffen gehören:
Cloudflare wendet diese und weitere Strategien an, um die größten und komplexesten DoS- und DDoS-Angriffe zu bekämpfen. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.