Was ist ein DDoS-Angriff?

DDoS-Angriffe haben sich zu den größten Herausforderung der Internetsicherheit entwickelt. Erfahren Sie mehr über die Funktionsweise von DDoS-Angriffen und wie sie gestoppt werden können.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Allgemeine Struktur eines DDoS-Angriffs erläutern
  • 3 Hauptkategorien von DDoS-Angriffen voneinander unterscheiden
  • Verschiedene DDoS-Abwehrstrategien verstehen

Was ist ein DDoS-Angriff?

Ein verteilter Denial-of-Service-(DDoS)-Angriff ist ein böswilliger Versuch, den normalen Datenverkehr eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel oder die umliegende Infrastruktur mit einer Flut von Internet-Traffic überlastet wird. DDoS-Angriffe erzielen ihre Wirksamkeit, indem sie sich mehrerer kompromittierter Computersysteme als Quelle für den Angriffs-Traffic bedienen. Zu den so manipulierten Geräten zählen Computer und andere Netzwerkressourcen wie z. B. IoT-Geräte. Ein DDoS-Angriff ist mit einem Stau auf der Autobahn vergleichbar, bei dem der normale Verkehr daran gehindert wird, sein Ziel zu erreichen.

DDoS Attack

Wie funktioniert ein DDoS-Angriff?

Bei einem DDoS-Angriff muss ein Angreifer die Kontrolle über ein Netzwerk von Online-Geräten gewinnen, um einen Angriff auszuführen. Computer und andere Geräte (z. B. IoT-Geräte) werden mit Malware infiziert, die sie in einen Bot (oder Zombie) verwandelt. Der Angreifer kann die Gruppe von Bots, die als ein Botnetz bezeichnet wird, dann fernsteuern.

Sobald ein Botnetz eingerichtet wurde, kann der Angreifer die Geräte lenken, indem er über eine Fernsteuerungsmethode aktualisierte Anweisungen an jeden Bot sendet. Wenn die IP-Adresse eines Opfers von dem Botnetz angegriffen wird, antwortet jeder Bot, indem er Anfragen an das Ziel sendet, die potentiell zur Überflutung des Zielservers oder -netzwerks führen und einen Denial-of-Service für normalen Datenverkehr bewirken. Da es sich bei jedem Bot um ein legitimes Internetgerät handelt, kann es schwierig sein, den Angriffs-Traffic vom normalen Datenverkehr zu trennen.

Welche allgemeinen Arten von DDoS-Angriffen gibt es?

Unterschiedliche DDoS-Angriffsvektoren zielen auf verschiedene Komponenten einer Netzwerkverbindung ab. Um zu verstehen, wie unterschiedliche DDoS-Angriffe ablaufen, muss man wissen, wie eine Netzwerkverbindung hergestellt wird. Eine Netzwerkverbindung im Internet setzt sich aus vielen verschiedenen Komponenten oder „Layern“ zusammen. Ähnlich wie beim Aufbau eines Hauses von unten nach oben verfolgt jeder Schritt im Modell einen anderen Zweck. Das unten dargestellte OSI-Modell ist ein Rahmenkonzept zur Beschreibung der Netzwerkkonnektivität in sieben unterschiedlichen Layern.

The OSI Model

Fast alle DDoS-Angriffe zielen darauf ab, das Zielgerät oder Netzwerk mit Datenverkehr zu überfluten. DDoS-Angriffe lassen sich jedoch in drei Kategorien einteilen. Ein Angreifer kann sich einem oder mehreren Angriffsvektoren bedienen oder verschiedene Angriffsvektoren zyklisch, basierend auf den ergriffenen Gegenmaßnahmen des Ziels, einsetzen.

Angriffe auf die Anwendungsschicht

Ziel des Angriffs:

Das Ziel dieser manchmal als Layer-7-DDoS-Angriff (in Bezug auf den 7. Layer des OSI-Modells) bezeichneten Angriffe besteht darin, die Ressourcen des Opfers zu erschöpfen. Die Angriffe zielen auf den Layer ab, in dem Webseiten im Server generiert und als Reaktion auf HTTP-Anfragen bereitgestellt werden. Eine einzige HTTP-Anfrage kann auf der Clientseite einfach ausgeführt werden, die Beantwortung durch den Zielserver kann jedoch aufwendig werden, weil der Server oft mehrere Dateien laden und Datenbankabfragen stellen muss, um eine Webseite zu erstellen. Layer-7-Angriffe sind schwer zu bekämpfen, weil es schwierig sein kann, den Traffic als böswillig zu kennzeichnen.

Beispiel für einen Application-Layer-Angriff:

HTTP-Flood

Dieser Angriff ist ähnlich wie das Drücken der Aktualisierungsschaltfläche in einem Webbrowser auf mehreren Computern gleichzeitig. Hierbei wird der Server mit einer Unmenge an HTTP-Anfragen überflutet, wordurch es zu einem Dienstausfall (Denial-of-Service) kommt.

Diese Art des Angriffs reicht von einfachen bis zu komplexen Angriffsmustern. Einfachere Implementierungen können sich beispielsweise Zugriff auf eine URL mit dem selben Bereich angreifender IP-Adressen, Verweiser und Benutzeragenten verschaffen. Komplexe Versionen können eine große Anzahl angreifender IP-Adressen verwenden und zufällige URLs unter Verwendung zufälliger Verweiser und Benutzeragenten anvisieren.

Protokoll-Angriffe

Ziel des Angriffs:

Protokollangriffe, auch Überlastungsangriffe genannt, verursachen eine Dienstunterbrechung, die durch den Verbrauch der verfügbaren Zustandstabellen-Kapazität der Web-Anwendungsserver oder zwischengeschalteten Ressourcen wie Firewalls und Load Balancers ausgelöst wird. Protokollangriffe nutzen Schwachstellen in den Layern 3 und 4 des Protokollstapels, um das Ziel unerreichbar zu machen.

Beispiel für einen Protokollangriff:

Syn Flood DDoS Attack

SYN-Flood

Eine SYN-Flood kann mit einem Arbeiter verglichen werden, der sich in einem Lagerraum befindet und Anfragen aus dem Verkaufsraum erhält. Der Arbeiter erhält eine Paketanfrage, holt das Paket und wartet auf eine Bestätigung, bevor er das Paket in den Verkaufsraum bringt. Dann erhält der Arbeiter viel mehr Paketanfragen, die jedoch unbestätigt bleiben, bis er keine Pakete mehr tragen kann, unter der Last zusammenbricht und Anfragen nicht mehr beantwortet werden.

Bei diesem Angriff wird der TCP-Handshake ausgenutzt, indem einem Ziel eine große Anzahl TCP-„Initial Connection Request“-SYN-Pakete mit gespooften Quell-IP-Adressen gesendet wird. Das Zielgerät antwortet auf jede Verbindungsanfrage und wartet dann auf den letzten Schritt im Handshake, der jedoch nie erfolgt, so dass die Ressourcen des Ziels erschöpft werden.

Volumetrische Angriffe

Ziel des Angriffs:

Diese Art von Angriff zielt darauf ab, eine Überlastung des Datennetzes durch den Verbrauch der gesamten verfügbaren Bandbreite zwischen dem Ziel und dem Internt herbeizuführen. Hierzu werden große Datenmengen mtihilfe einer Methode zur Angriffsverstärkung (Amplification) oder anderer Möglichkeiten zur Erzeugung massiven Datenverkehrs (z. B. Anfragen aus einem Botnet) an das Ziel gesendet.

Amplification-Beispiel:

NTP Amplification Attack

DNS-Amplification

Eine DNS-Amplification ist vergleichbar mit einer Person, die ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir meine ganze Bestellung.“ Als Rückrufnummer wird dabei die Nummer des Opfers angegeben. Mit sehr geringem Aufwand wird so eine lange Antwort erzeugt.

Wenn eine Anfrage an einen offenen DNS-Server mit einer gespooften IP-Adresse (der echten IP-Adresse des Ziels) gestellt wird, erhält die Ziel-IP-Adresse eine Antwort vom Server. Der Angreifer strukturiert die Anfrage so, dass der DNS-Server dem Ziel mit einer großen Datenmenge antwortet, was bedeutet, dass das Opfer die ursprüngliche Abfrage des Angreifers in verstärkter Form empfängt.

Wie kann ein DDoS-Angriff abgeschwächt werden?

Das zentrale Problem bei der Abwehr eines DDoS-Angriffs ist die Unterscheidung zwischen Angriffsverkehr und normalem Datenverkehr. Wenn die Website eines Unternehmens beispielsweise nach einer Produkteinführung mit Reaktionen verärgerter Kunden überhäuft wird, wäre die Unterbrechung des gesamten Datenverkehrs ein Fehler. Wenn das Unternehmen nun einen plötzlichen Anstieg des Datenverkehrs bekannter Angreifer verzeichnet, müssen sehr wahrscheinlich Maßnahmen zur Minderung eines Angriffs getroffen werden. Die Schwierigkeit besteht darin, echte Kunden vom Angriffsverkehr zu unterscheiden.

DDoS-Datenverkehr ist im heutigen Internet in vielen Formen zu finden: von unverschleierten Single-Source-Angriffen bis hin zu komplexen und adaptiven Multi-Vektor-Attacken. Ein Multi-Vektor-DDos-Angriff verwendet mehrere Angriffswege, um das Ziel auf verschiedene Arten zu überfluten und Bemühungen zur Angriffsminderung auf allen Wegen zu zerstreuen. Ein typischer Multi-Vektor-DDos-Angriff ist ein Angriff, der auf mehrere Layer des Protokollstapels gleichzeitig abzielt (z. B. ein DNS-Amplification-Angriff auf die Layer 3 und 4, kombiniert mit einem HTTP-Flood-Angriff auf Layer 7).

Ein Multi-Vektor-DDoS-Angriff erfordert eine Vielzahl an Strategien, um ihn auf mehreren Wegen zu bekämpfen. Grundsätzlich gilt: Je komplexer der Angriff, desto wahrscheinlicher ist es, dass der Angriffsverkehr nur schwer von normalem Datenverkehr zu trennen ist – Ziel des Angreifers ist es, den Angriff so unauffällig wie möglich zu gestalten, so dass Gegenmaßnahmen möglichst ineffizient bleiben. Bekämpfungsversuche, bei denen der Datenverkehr willkürlich verworfen oder begrenzt wird, führen dazu, dass legitimer Datenverkehr zusammen mit dem Angriffsverkehr verloren geht. Darüber hinaus kann sich das Angriffsmuster ändern und anpassen, um Gegenmaßnahmen zu umgehen. Um einen komplexen Angriff zu überwinden, sind geschichtete Lösungen am besten geeignet.

Blackhole-Routing

Eine Lösung, die praktisch alle Netzwerkadministratoren zur Verfügung haben, besteht darin, eine Blackhole-Route zu erstellen und Datenverkehr in diese Route zu leiten. Wenn Blackhole-Filterung in ihrer einfachsten Form ohne spezifische Einschränkungskriterien implementiert wird, wird sowohl legitimer als auch böswilliger Netzwerkverkehr in eine Nullroute oder ein Blackhole geleitet und aus dem Netzwerk verworfen. Wenn eine Internetwebsite einem DDoS-Angriff unterliegt, sendet der Internet-Serviceprovider (ISP) zur Verteidigung eventuell den gesamten Datenverkehr der Site in ein Blackhole.

Rate Limiting

Eine andere Methode zur Bekämpfung von Denial-of-Service-Angriffen besteht darin, die Anzahl der Anfragen zu begrenzen, die ein Server während einer bestimmten Zeitspanne annimmt. Während Rate-Limiting sinnvoll ist, um Web-Scraper beim Stehlen von Inhalten zu verlangsamen und Brute-Force-Anmeldeversuche zu bekämpfen, reicht es alleine wahrscheinlich nicht aus, um einen komplexen DDoS-Angriff effektiv zu handhaben. Dennoch ist Rate-Limiting eine nützliche Komponente einer effektiven DDoS-Bekämpfungsstrategie. Erfahren Sie mehr über Cloudflares Rate-Limiting.

Web Application Firewall

Eine Web Application Firewall (WAF) ist ein Tool, das bei der Bekämpfung eines Layer-7-DDoS-Angriffs mithelfen kann. Wenn eine WAF zwischen das Internet und einen Ursprungsserver gesetzt wird, kann die WAF als Reverse-Proxy fungieren und den Zielserver vor bestimmten Arten böswilligen Datenverkehrs schützen. Durch Filtern von Anfragen auf der Grundlage eines Regelsatzes zur Identifizierung von DDoS-Tools können Layer-7-Angriffe aufgehalten werden. Eine wichtige Eigenschaft einer WAF liegt in ihrer Fähigkeit, als Reaktion auf einen Angriff schnell benutzerdefinierte Regeln zu implementieren. Lernen Sie Cloudflares WAF kennen.

Anycast-Netzwerk-Diffusion

Diese Minderungsstrategie nutzt ein Anycast-Netzwerk, um den Angriffsverkehr auf ein Netzwerk verteilter Server zu verteilen und zu einem Punkt zu leiten, an dem der Verkehr vom Netzwerk absorbiert wird. Wie beim Kanalisieren eines reißenden Flusses in kleinere, voneinander getrennte Kanäle werden hier die Auswirkungen des verteilten Angriffsverkehrs so weit verteilt, bis dieser kontrollierbar ist und die destabilisierende Wirkung des Angriffs zerstreut wird.

Die Zuverlässigkeit eines Anycast Networks bei der Bekämpfung eines DDoS-Angriffs hängt von der Größe des Angriffs und der Größe und Effizienz des Netzwerks ab. Ein wichtiger Teil der von Cloudflare implementierten DDoS-Abwehr besteht in der Verwendung eines verteilten Anycast Networks. Cloudflare hat ein Netzwerk mit 30 Tbit/s, was um eine Zehnerpotenz größer ist als der größte verzeichnete DDoS-Angriff.

Wenn Sie zurzeit einem Angriff ausgesetzt sind, gibt es Schritte, die Sie unternehmen können, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, können Sie diese Schritte befolgen, um Ihren Angriff zu bekämpfen. Der DDoS-Schutz, den wir bei Cloudflare implementieren, ist vielfältig, um die vielen möglichen Angriffsvektoren zu bekämpfen. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.