Was ist ein DDoS-Angriff?

Heutzutage sind DDoS-Angriffe eine ernstzunehmende Bedrohung für die Internetsicherheit. Erfahren Sie, wie genau DDoS-Angriffe funktionieren und wie sie abgewehrt werden können.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Lernziele

Nach der Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Allgemeine Struktur eines DDoS-Angriffs erläutern
  • 3 Hauptkategorien von DDoS-Angriffen voneinander unterscheiden
  • Verschiedene DDoS-Abwehrstrategien beschreiben

Was ist ein DDoS-Angriff?

Ein Distributed-Denial-of-Service-Angriff (DDoS-Angriff) ist ein böswilliger Versuch, den normalen Traffic eines Zielservers, -dienstes oder -netzwerks zu stören, indem das Ziel oder die umliegende Infrastruktur mit einer Flut aus Internet-Traffic überlastet wird. DDoS-Angriffe erzielen ihre Wirksamkeit, indem Sie sich mehrerer kompromittierter Computersysteme als Quelle für den Angriffs-Traffic bedienen. Zu den so manipulierten Geräten zählen Computer und andere Netzwerkressourcen (z. B. IoT-Geräte). Ein DDoS-Angriff ist mit einem Stau auf der Autobahn vergleichbar, bei dem der normale Verkehr an der Ankunft am Ziel gehindert wird.

DDoS Attack

Wie funktioniert ein DDoS-Angriff?

Um einen DDoS-Angriff durchführen zu können, benötigt der Angreifer die Kontrolle über ein Netzwerk aus Online-Geräten. Computer und andere Geräte (z. B. IoT-Geräte) werden mit Malware infiziert, wodurch jedes Gerät zu einem Bot (bzw. Zombie) wird. So erhält der Angreifer die Kontrolle über die Botgruppe, das sogenannte Botnetz.

Sobald ein Botnetz aufgebaut wurde, kann der Angreifer die Computer kontrollieren. Hierzu werden über ein Remotesteuerungsverfahren aktualisierte Anweisungen an jeden Bot gesendet. Wenn die IP-Adresse eines Opfers vom Botnetz ins Ziel genommen wird, antwortet jeder Bot mit dem Senden von Anfragen an das Ziel. Dies führt dazu, dass die Kapazitäten des Zielservers oder des anvisierten Netzwerks aufgebraucht werden und normaler Traffic auf einen Denial of Service trifft. Da jeder Bot ein legitimer Computer im Internet ist, ist die Unterscheidung zwischen normalem Traffic und Angriffs-Traffic schwierig.

Welche Arten von DDoS-Angriffen kommen häufig vor?

Verschiedene DDoS-Angriffsvektoren zielen auf unterschiedliche Komponenten einer Netzwerkverbindung ab. Um zu verstehen, wie DDoS-Angriffe funktionieren, muss man wissen, wie eine Netzwerkverbindung zustande kommt. Eine Netzwerkverbindung im Internet besteht aus vielen verschiedenen Komponenten oder Schichten, die „Layers“ genannt werden. Wie beim Bau eines Hauses vom Fundament bis zum Dach hat jeder Schritt des Modells einen anderen Zweck. Das OSI-Modell, unten gezeigt, ist ein konzeptuelles Framework zur Beschreibung der Netzwerkkonnektivität in sieben individuellen Layers.

The OSI Model

Fast alle DDoS-Angriffe zielen darauf ab, das Zielgerät oder Netzwerk mit Traffic zu überfluten. DDoS-Angriffe lassen sich jedoch in drei Kategorien einteilen. Ein Angreifer kann sich eines oder mehrerer Angriffsvektoren bedienen oder verschiedene Angriffsvektoren zyklisch, eventuell basierend auf den ergriffenen Gegenmaßnahmen des Ziels, einsetzen.

Application-Layer-Angriffe

Ziel des Angriffs:

Das Ziel dieser Angriffe, die auch als Layer-7-DDoS-Angriffe bezeichnet werden (in Bezug auf die siebte Schicht des OSI-Modells), ist die Ausschöpfung sämtlicher Ressourcen des Ziels. Die Angriffe zielen auf die Layer ab, in der Webseiten auf dem Server erzeugt und als Antwort auf HTTP-Anfragen bereitgestellt werden. Die Ausführung einer einzigen HTTP-Anfrage ist für die Clientseite günstig, die Antwort kann für den Zielserver aber teuer sein, da der Server für die Erstellung einer Webseite oft viele Dateien laden und Datenbanken abfragen muss. Die Abwehr von Layer-7-Angriffen ist schwierig, da es mitunter schwer ist, den Traffic als böswillig zu erkennen.

Beispiel für einen Application-Layer-Angriff:

HTTP-Flood

Dieser Angriff ist ähnlich wie das Drücken der Aktualisierungsschaltfläche in einem Webbrowser auf mehreren Computern gleichzeitig. Hierbei wird der Server mit einer Unmenge an HTTP-Anfragen überflutet, wodurch es zu einem Denial of Service kommt.

Diese Art von Angriff kann einfach oder komplex sein. Einfachere Implementierungen können sich beispielsweise Zugriff auf eine URL mit demselben Bereich angreifender IP-Adressen, Verweiser und Benutzeragenten verschaffen. Komplexe Versionen können eine große Anzahl angreifender IP-Adressen verwenden und zufällige URLs unter Verwendung zufälliger Verweiser und Benutzeragenten anvisieren.

Protokoll-Angriffe

Ziel des Angriffs:

Protokoll-Angriffe, auch Überlastungsangriffe genannt, verursachen eine Dienstunterbrechung, die durch den Verbrauch der verfügbaren State-Table-Kapazität der Web-Anwendungsserver oder zwischengeschalteten Ressourcen wie Firewalls und Load Balancer ausgelöst wird. Protokollangriffe nutzen die Schwachstelle in Layer 3 und Layer 4 des Protokollstapels, um das Ziel unerreichbar zu machen.

Beispiel für einen Protokollangriff:

Syn Flood DDoS Attack

SYN-Flood

Eine SYN-Flood kann mit einem Arbeiter verglichen werden, der sich in einem Lagerraum befindet und Anfragen aus dem Verkaufsraum erhält: Der Arbeiter erhält eine Paketanfrage, holt das Paket und wartet auf eine Bestätigung, bevor er das Paket in den Verkaufsraum bringt. Der Arbeiter erhält nun Unmengen an Paketanfragen, die jedoch unbestätigt bleiben, bis er keine Pakete mehr tragen kann, unter der Last zusammenbricht und Anfragen nicht mehr beantwortet werden.

Dieser Angriff nutzt den TCP-Handshake, indem eine große Anzahl von TCP-„Initial Connection Request“-SYN-Pakete mit gefälschten Quell-IP-Adressen gesendet wird. Der Zielcomputer reagiert auf jede Verbindungsanfrage und wartet auf den letzten Schritt im Handshake, der jedoch nie auftritt, so dass die Zielressourcen vollständig aufgebraucht werden.

Volumetrische Angriffe

Ziel des Angriffs:

Diese Art von Angriff zielt darauf ab, eine Überlastung des Datennetzes durch den Verbrauch der gesamten verfügbaren Bandbreite zwischen dem Ziel und dem Internet herbeizuführen. Hierzu werden große Datenmengen mithilfe einer Methode zur Angriffsverstärkung (Amplification) oder anderer Möglichkeiten zur Erzeugung massiven Traffics (z. B. Anfragen aus einem Botnetz) an das Ziel gesendet.

Beispiel für Amplification:

NTP Amplification Attack

DNS-Amplification

Eine DNS-Amplification kann mit folgender Situation verglichen werden: Eine Person ruft in einem Restaurant an, bestellt alle Gerichte auf der Karte und bittet um Rückruf mit einer Auflistung aller bestellten Gerichte. Hier wird mit geringstem Aufwand eine extrem lange Antwort generiert.

Auf eine Anforderung an einen offenen DNS-Server mit einer gefälschten IP-Adresse (die echte IP-Adresse des Ziels) erhält die Ziel-IP-Adresse eine Antwort vom Server. Der Angreifer strukturiert die Anfrage so, dass der DNS-Server dem Ziel mit einer großen Datenmenge antwortet. Das Ergebnis ist eine Verstärkung der ursprünglichen Abfrage des Angreifers am Ziel.

Wie kann ein DDoS-Angriff abgewehrt werden?

Das zentrale Problem bei der Abwehr eines DDoS-Angriffs ist die Unterscheidung zwischen Angriffs-Traffic und normalem Traffic. Wenn die Website eines Unternehmens beispielsweise nach einer Produkteinführung mit Besuchen interessierter Kunden überschwemmt wird, wäre die Unterbrechung des gesamten Traffics ein Fehler. Wenn das Unternehmen nun einen plötzlichen Anstieg des Traffics bekannter Angreifer verzeichnet, müssen sehr wahrscheinlich Maßnahmen zur Abwehr eines Angriffs getroffen werden. Die Schwierigkeit liegt darin, den echten Kunden-Traffic vom Angriffs-Traffic zu unterscheiden.

Im modernen Internet treten viele verschiedene Arten von DDoS-Traffic auf. Sie reichen von unverschleierten Single-Source-Angriffen bis hin zu komplexen und adaptiven Multi-Vektor-Angriffen. Ein Multi-Vektor-DDos-Angriff verwendet mehrere Angriffswege, um das Ziel auf verschiedene Arten zu überfluten und möglicherweise Bemühungen zur Angriffsabwehr in eine bestimmte Richtung hin abzulenken. Ein typischer Multi-Vektor-DDos-Angriff ist ein Angriff, der auf mehrere Layers des Protokollstapels gleichzeitig abzielt, z. B. ein DNS-Amplification-Angriff (auf Layer 3 und Layer 4) kombiniert mit einem HTTP-Flood-Angriff (auf Layer 7).

Ein Multi-Vektor-DDoS-Angriff erfordert eine Vielzahl von Strategien, um dem Angriff auf mehreren Wegen abzuwehren. Grundsätzlich gilt: Je komplexer der Angriff, desto wahrscheinlicher ist es, dass der Angriffs-Traffic nur schwer von normalem Traffic zu trennen ist; Ziel des Angreifers ist es, den Angriff so vielfältig wie möglich zu gestalten, so dass Gegenmaßnahmen möglichst ineffizient bleiben. Abwehrversuche, bei denen der Traffic willkürlich verworfen oder begrenzt wird, führen dazu, dass legitimer Traffic zusammen mit dem Angriffs-Traffic verloren geht. Darüber hinaus kann sich das Angriffsmuster ändern und anpassen, um Gegenmaßnahmen zu umgehen. Zur Abwehr eines komplexen Angriffs eignet sich eine geschichtete Lösung am besten.

Blackhole-Routing

Eine Lösung, die praktisch allen Netzwerkadministratoren zur Verfügung steht, ist die Erstellung einer Blackhole-Route, in die der Traffic geleitet wird. In der einfachsten Form dieser Strategie, bei der Blackhole-Filterung ohne spezifische Begrenzungskriterien eingesetzt wird, wird sowohl legitimer als auch böswilliger Traffic auf eine Nullroute oder in ein Blackhole geroutet und aus dem Netzwerk verworfen. Wenn eine Internetwebsite einem DDoS-Angriff ausgesetzt ist, kann der Internetprovider (ISP) den gesamten Traffic der Website zur Verteidigung an ein Blackhole senden.

Rate Limiting

Eine weitere Möglichkeit, Denial-of-Service-Angriffe abzuwehren, ist die Begrenzung der Anzahl von Anfragen, die ein Server innerhalb eines bestimmten Zeitfensters akzeptiert. Durch dieses sogenannte Rate Limiting können die Aktivität von Web-Scrapern beim Stehlen von Inhalten eingedämmt und Brute-Force-Anmeldeversuche abgewehrt werden. Diese Maßnahme ist in der Regel jedoch nicht ausreichend, um komplexe DDos-Angriffe erfolgreich abzuwehren. Dennoch ist Rate Limiting ein nützlicher Bestandteil einer effektiven DDoS-Abwehrstrategie. Erfahren Sie mehr über Rate Limiting von Cloudflare

Web Application Firewall

Eine Web Application Firewall (WAF) kann zur Abwehr von Layer-7-DDoS-Angriffen eingesetzt werden. Wenn eine WAF zwischen dem Internet und den Ursprungsserver platziert wird, kann sie als Reverse-Proxy fungieren, um den Zielserver vor bestimmten Arten von böswilligem Traffic zu schützen. Durch das Filtern der Anfragen basierend auf einer Reihe von Regeln zur Identifizierung von DDoS-Tools können Angriffe auf Layer 7 aufgehalten werden. Entscheidend für eine wirksame WAF ist die Fähigkeit, als Reaktion auf einen Angriff schnell benutzerdefinierte Regeln zu implementieren. Erfahren Sie mehr über Cloudflare WAF

Anycast-Netzwerk-Diffusion

Dieser Bekämpfungsansatz nutzt ein Anycast-Netzwerk, um den Angriffs-Traffic so auf ein Netzwerk verteilter Server zu verteilen, dass der Traffic vom Netzwerk absorbiert wird. Wie beim Kanalisieren eines reißenden Flusses in kleinere, voneinander getrennte Kanäle werden hier die Auswirkungen des Angriffs-Traffics so weit verteilt, bis sie kontrollierbar sind und die destabilisierende Wirkung des Angriffs zerstreut wird.

Die Zuverlässigkeit eines Anycast-Netzwerks in Bezug auf die Abwehr eines DDos-Angriffs ist von der Größe des Angriffs sowie der Größe und Effizienz des Netzwerks abhängig. Ein wichtiger Faktor des Cloudflare-Schutzes vor DDos-Angriffen ist die Verwendung eines verteilten Anycast-Netzwerks. Cloudflare verfügt über eine Netzwerkkapazität von 25 Tbps und ist somit weitaus größer als der bisher größte verzeichnete DDos-Angriff.

Wenn Sie das Ziel eines Angriffs geworden sind, können Sie Maßnahmen treffen, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, befolgen Sie diese Schritte zur Angriffsabwehr. Der von Cloudflare implementierte DDoS-Schutz ist vielfältig, um so viele Angriffsvektoren wie möglich bekämpfen zu können. Erfahren Sie mehr über den DDoS-Schutz von Cloudflare und seine Funktionsweise.