Was ist ein DDoS-Botnetz?

Botnetz-Angriffe sind für die bedeutendsten DDoS-Angriffe aller Zeiten verantwortlich. Erfahren Sie, wie Geräte mit Botnetz-Malware infiziert werden, wie Bots ferngesteuert werden und wie Sie ein Netzwerk vor einem Botnetz-Angriff schützen können.

Botnetz Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • DDoS-Angriff definieren
  • Erläutern Sie, warum Botnetze erstellt werden
  • Verstehen Sie, wie Botnetze von Angreifern ferngesteuert werden
  • Überlegungen zu Strategien zur Deaktivierung eines Botnetzes und zur Verhinderung von Infizierung

Link zum Artikel kopieren

Was ist ein Botnetz?

Ein Botnetz bezieht sich auf eine Gruppe von Computern, die mit Malware infiziert wurden und unter die Kontrolle eines bösartigen Akteurs geraten sind. Der Begriff Botnetz ist ein Portmanteau aus den Wörtern Roboter und Netzwerk und jedes infizierte Gerät wird als Bot bezeichnet. Botnetze können so eingerichtet werden, dass sie illegale oder böswillige Aufgaben ausführen, zum Beispiel Spam versenden, Daten stehlen, Ransomware einschleusen sowie betrügerische Klicks auf Werbeanzeigen oder DDoS-Angriffe (Distributed Denial-of-Service) durchführen.


Während einige Malware, z. B. Ransomware, direkte Auswirkungen auf den Besitzer des Geräts hat, kann es bei DDoS-Botnetz-Malware verschiedene Sichtbarkeitsstufen geben; manche Malware ist so konzipiert, dass sie die vollständige Kontrolle über ein Gerät übernimmt, während andere Malware still im Hintergrund läuft und auf Anweisungen des Angreifers oder „Bot-Herders“ wartet.


Selbstpropagierende Botnetze rekrutieren zusätzliche Bots über eine Vielzahl von Kanälen. Zu den Wegen für eine Infizierung gehören die Ausnutzung von Website-Lücken, Trojaner-Malware und das Knacken von schwacher Authentifizierung, um Fernzugriff zu erhalten. Sobald der Zugriff erfolgt ist, führen alle diese Infizierungsmethoden zur Installation von Malware auf dem Zielgerät und ermöglichen die Fernsteuerung durch den Betreiber des Botnetzes. Sobald ein Gerät infiziert ist, kann es versuchen, die Botnetz-Malware selbst zu verbreiten, indem es andere Hardware-Geräte im umgebenden Netzwerk einsetzt.


Obwohl es nicht möglich ist, die genaue Anzahl der Bots in einem bestimmten Botnetz zu bestimmen, reichen die Schätzungen für die Gesamtzahl der Bots in einem komplexen Botnetz von einigen tausend bis über eine Million.

Animation eines DDoS-Botnetz-Angriffs

Warum werden Botnetze erstellt?

Es gibt die unterschiedlichsten Gründe für die Verwendung eines Botnetzes, von Aktivismus bis zu Sabotage durch staatliche Stellen. Aber bei vielen Angriffen geht es nur um Profit. Man kann Botnetzdienste relativ kostengünstig anheuern, insbesondere im Vergleich zu dem Schaden, den sie anrichten können. Die Barrieren für die Erstellung eines Botnetzes sind so niedrig, dass es für einige Softwareentwickler ein lukratives Geschäft sein kann, vor allem in Regionen mit weniger strengen Vorschriften und Strafverfolgungsmaßnahmen. Diese Konstellation hat dazu geführt, dass immer mehr Onlinedienste solche Angriffe gegen Bezahlung (Attack-for-Hire) anbieten.

Wie wird ein Botnetz gesteuert?

Ein Kernmerkmal eines Botnetzes ist die Möglichkeit, aktualisierte Anweisungen vom Bot-Herder zu erhalten. Die Fähigkeit, mit jedem Bot im Netzwerk zu kommunizieren, ermöglicht es dem Angreifer, Angriffsvektoren zu wechseln, die angestrebte IP-Adresse zu ändern, einen Angriff zu beenden und andere benutzerdefinierte Aktionen durchzuführen. Botnetz-Designs variieren, aber die Kontrollstrukturen können in zwei allgemeine Kategorien unterteilt werden:

Das Client/Server-Botnetzmodell

Das Client/Server-Modell bildet den traditionellen Arbeitsablauf einer Remote-Workstation nach, bei dem sich jeder einzelne Computer mit einem zentralen Server (oder einer kleinen Anzahl von zentralen Servern) verbindet, um auf Informationen zuzugreifen. In diesem Modell verbindet sich jeder Bot mit einer Command-and-Control-Center-(CnC)-Ressource wie einer Webdomain oder einem IRC-Kanal, um Anweisungen zu erhalten. Durch die Verwendung dieser zentralisierten Speicher, um neue Befehle für das Botnetz bereitzustellen, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale aus verbraucht, um die Anweisungen für die infizierten Computer zu aktualisieren. Der zentralisierte Server, der das Botnetz kontrolliert, kann ein Gerät sein, das sich im Besitz des Angreifers befindet und von ihm betrieben wird, oder ein infiziertes Gerät.


Es wurde eine Reihe von populären zentralisierten Botnetz-Topologien beobachtet, darunter:

Stern-Netzwerktopologie

Animation einer Stern-Netzwerktopologie

Multiserver-Netzwerktopologie

Animation einer Multiserver-Netzwerktopologie

Hierarchische Netzwerktopologie

Animation einer hierarchischen Netzwerktopologie

Bei jedem dieser Client-Server-Modelle stellt jeder Bot eine Verbindung mit einer Kommandozentrale wie einer Webdomain oder einem IRC-Kanal her und wartet auf Anweisungen. Wenn neue Befehle für das Botnetz über solche zentralisierten Repositorys bereitgestellt werden, muss ein Angreifer lediglich das Quellmaterial ändern, das jedes Botnetz von einer Kommandozentrale abruft, um die Anweisungen für die infizierten Computer zu aktualisieren.


Die Einfachheit, mit der man Anweisungen für das Botnetz aus wenigen zentralisierten Quellen aktualisieren kann, ist gleichzeitig die Schwachstelle dieser Maschinen: Um ein Botnetz mit einem zentralen Server zu beseitigen, muss man nur den Server unschädlich machen. Wegen dieser Schwachstelle haben die Entwickler von Botnetz-Malware dazugelernt und sind zu einem neuen Modell übergegangen, das weniger anfällig für Störungen durch einen oder nur wenige Ausfallpunkte ist.

Das Peer-to-Peer-Botnetzmodell

Um die Schwachstellen des Client/Server-Modells zu umgehen, wurden in jüngster Zeit auch Elemente des dezentralen Peer-to-Peer-Filesharing in Botnetze integriert. Durch die Einbettung der Kontrollstruktur in das Botnetz gibt es keinen zentralen Server mehr, der zum „Single Point of Failure“, zur zentralen Schwachstelle werden kann. Das erschwert die Bekämpfung. P2P-Bots können gleichzeitig Clients und Kommandozentralen sein, die Hand in Hand mit ihren benachbarten Knoten die Daten weiterverbreiten.


Bei Peer-to-Peer-Botnetzen wird eine Liste vertrauenswürdiger Computer geführt, die untereinander Mitteilungen austauschen und ihre Malware aktualisieren können. Die Anzahl weiterer Maschinen, zu denen der Bot eine Verbindung aufbaut, wird begrenzt. Dadurch hat jeder Bot nur mit benachbarten Geräten zu tun, was die Verfolgung und Bekämpfung erschwert. Durch das Fehlen eines zentralisierten Befehlsservers ist ein Peer-to-Peer-Botnetz allerdings auch anfälliger für eine Übernahme durch eine andere Person als den Schöpfer des Botnetzes. Um sie vor Kontrollverlust zu schützen, werden dezentrale Botnetze typischerweise so verschlüsselt, dass der Zugriff eingeschränkt ist.

Animation einer Peer-to-Peer-Netzwerktopologie

Wie werden IoT-Geräte zu einem Botnetz?

Niemand wickelt sein Internet-Banking über die drahtlose CCTV-Kamera im Hinterhof zur Beobachtung der Vogelfütterung ab. Das bedeutet aber nicht, dass das Gerät nicht in der Lage ist, die notwendigen Netzwerkanforderungen zu stellen. Die Leistungsfähigkeit von IoT-Geräten in Verbindung mit einer schwachen oder schlecht konfigurierten Sicherheit schafft eine Öffnung für Botnetz-Malware, um neue Bots in das Kollektiv aufzunehmen. Eine Zunahme der IoT-Geräte hat zu einer neuen Landschaft für DDoS-Angriffe geführt, da viele Geräte schlecht konfiguriert und anfällig sind.


Wenn die Schwachstelle eines IoT-Geräts fest in die Firmware einprogrammiert ist, sind Updates schwieriger. IoT-Geräte mit veralteter Firmware sollten aktualisiert werden, um Risiken zu verringern. Oft bleiben Standard-Anmeldedaten nach der Erstinstallation des Geräts unverändert. Für viele Hersteller von Discount-Hardware gibt es keinen Anreiz, ihre Geräte sicherer zu machen, deshalb bleibt die Anfälligkeit von IoT-Geräten für Botnetz-Malware ein ungelöstes Sicherheitsrisiko.

Wie wird ein vorhandenes Botnetz deaktiviert?

Deaktivierung der Kontrollzentren eines Botnetzes:

Botnetze mit einem Befehls- und Kontrollschema sind leichter unschädlich zu machen, sobald man die Kontrollzentren identifiziert hat. Durch Ausschalten der zentralen Ausfallstelle kann man das gesamte Botnetz offline bringen. Deshalb konzentrieren sich Systemadministratoren und Strafverfolgungsbehörden darauf, die Kontrollzentren dieser Botnetze stillzulegen. Dies ist schwieriger, wenn die Kommandozentrale in einem Land operiert, in dem die Strafverfolgungsbehörden weniger zum Eingreifen fähig oder bereit sind.

Beseitigung von Infizierungen auf einzelnen Geräten:

Für einzelne Computer beinhalten Strategien zur Wiederherstellung der Kontrolle über den Rechner das Ausführen von Antivirensoftware, die Neuinstallation von Software aus einem sicheren Backup oder den Neuanfang von einem sauberen Rechner nach einer Neuformatierung des Systems. Für IoT-Geräte können Strategien das Flashen der Firmware, das Ausführen eines werkseitigen Resets oder eine andere Formatierung des Geräts beinhalten. Wenn diese Option nicht möglich ist, können andere Strategien vom Hersteller des Geräts oder einem Systemadministrator verfügbar sein.

Wie kann man Geräte davor schützen, Teil eines Botnetzes zu werden?

Erstellung sicherer Passwörter:

Für viele anfällige Geräte kann die Reduzierung der Gefährdung durch Botnetz-Schwachstellen so einfach sein, wie das Ändern der administrativen Anmeldeinformationen in etwas anderes als den Standardbenutzernamen und das Standardpasswort. Ein sicheres Passwort ist durch Brute-Force-Angriffe nur schwer zu knacken. Bei einem sehr sicheren Passwort ist ein Brute-Force-Angriff praktisch aussichtslos. Ein mit Mirai-Malware infiziertes Gerät scannt beispielsweise IP-Adressen und sucht nach antwortenden Geräten. Sobald ein Gerät auf eine Ping-Anfrage reagiert, versucht der Bot, sich bei dem gefundenen Gerät mit einer voreingestellten Liste von Standard-Anmeldeinformationen anzumelden. Wenn das Standardpasswort geändert und ein sicheres Passwort implementiert wurde, gibt der Bot auf, macht aber weiter und sucht nach anfälligeren Geräten.

Zulassung ausschließlich vertrauenswürdiger Ausführung von Drittanbietercodes:

Wenn man sich bei der Softwareausführung an das Modell für Mobilgeräte hält, dürfen nur zugelassene Anwendungen ausgeführt werden. Das verschafft mehr Kontrollmöglichkeiten zur Beendigung von Software, die als böswillig gilt, einschließlich von Botnetzen. Nur wenn Supervisor-Software (also der Kernel) gekapert werden kann, kann auch das Gerät gekapert werden. Dies hängt davon ab, ob ein sicherer Kernel vorhanden ist, den die meisten IoT-Geräte nicht haben, und ist eher auf Rechner anwendbar, auf denen Software von Drittanbietern läuft.

Regelmäßiges Löschen/Wiederherstellen des Systems:

Durch die Wiederherstellung eines bekannt sauberen Zustandes nach einer festgelegten Zeit kann man sämtlichen Unrat beseitigen, der sich auf einem System angesammelt hat, auch Botnetz-Software. Diese Strategie ist eine vorbeugende Maßnahme, durch die selbst im Hintergrund laufende Malware hinausgeworfen wird.

Implementierung guter Verfahren zur Ein- und Ausgangsfilterung:

Andere fortgeschrittenere Strategien sind Filterverfahren an Netzwerk-Routern und Firewalls. Ein Prinzip des sicheren Netzwerkdesigns ist die Schichtenbildung: Sie haben die geringste Einschränkung bei öffentlich zugänglichen Ressourcen, während Sie gleichzeitig die Sicherheit für Dinge, die Sie für sensibel halten, kontinuierlich verbessern. Darüber hinaus muss alles überprüft werden, was die Grenzen übertritt: Netzwerktraffic, USB-Laufwerke usw. Hochwertige Filterverfahren erhöhen die Wahrscheinlichkeit, dass DDoS-Malware und ihre Verbreitungs- und Kommunikationsmethoden vor dem Betreten oder Verlassen des Netzwerks abgefangen werden.


Wenn Sie das Ziel eines Angriffs geworden sind, können Sie Maßnahmen treffen, um sich aus der Situation zu befreien. Wenn Sie bereits bei Cloudflare sind, können Sie diese Schritte befolgen, um Ihren Angriff zu bekämpfen. Der von Cloudflare implementierte DDoS-Schutz ist vielfältig, um so viele Angriffsvektoren wie möglich bekämpfen zu können. Erfahren Sie mehr über Cloudflares DDoS-Schutz und seine Funktionsweise.