Ein Distributed-Denial-of-Service-Angriff (DDoS), oft auch als verteilter Netzwerkangriff bezeichnet, ist eine Form von Cyberangriff, die darauf abzielt, den regulären Datenverkehr zu einem Server, Dienst oder Netzwerk zu stören oder komplett zu unterbinden. Bei einem DDoS-Angriff überflutet der Angreifer das Zielsystem oder die umliegende Infrastruktur mit einer massiven Menge an Internet-Traffic. Da das System nicht auf ein solches Verkehrsaufkommen ausgelegt ist, kann es die Anfragen nicht schnell genug verarbeiten, was den Dienst massiv verlangsamt oder zum Stillstand bringt.
DDoS-Angriffe machen sich die Kapazitätsgrenzen von IT-Ressourcen zunutze, die nur eine begrenzte Anzahl von Anfragen gleichzeitig verarbeiten können. Sobald Schwellenwerte überschritten werden – etwa die maximale Anzahl gleichzeitiger Verbindungen einer Webanwendung oder die Bandbreitenbeschränkungen eines Netzwerks – führt dies zur Dienstverweigerung. In der Folge können legitime Nutzer nicht mehr auf Systeme, Webseiten oder Services zugreifen.
Die Ziele und Akteure hinter DDoS-Angriffen sind vielfältig. Sie werden von verärgerten Einzelpersonen, kriminellen Organisationen, staatlichen Akteuren, Hacktivisten oder Kleinkriminellen durchgeführt. Die Motive ähneln denen anderer Cyberattacken: Rache, politische Statements oder gezielte Ablenkung, um während der Überlastung sensible Daten zu stehlen, Systeme für Lösegeldzahlungen (Ransomware) zu sperren oder Zugänge für künftige Angriffe zu kompromittieren.
Wie funktioniert ein DDoS Angriff?
DDoS-Angriffe werden über Netzwerke aus internetfähigen Systemen durchgeführt. Dazu gehören Computer, IoT-Geräte und andere vernetzte Ressourcen, die von Angreifern gezielt gekapert wurden. Diese kompromittierten Systeme werden mit Schadsoftware infiziert, die es dem Angreifer ermöglicht, sie aus der Ferne zu steuern.
Der eigentliche Angriff erfolgt, wenn diese Systeme aktiviert und auf das Ziel angesetzt werden. Dabei senden sie eine ununterbrochene Flut von Anfragen an die IP-Adresse (Internet-Protocol-Adresse) des Opfers. Da es sich bei den Absendern um legitime Geräte handelt, passieren die Datenströme herkömmliche Sicherheitskontrollen oft unbemerkt. Aus diesem Grund ist es selbst während eines laufenden Angriffs extrem schwierig, den schädlichen Traffic vom normalen, legitimen Datenverkehr zu unterscheiden.
| DoS vs. DdoS-Angriffe |
|---|
| Ein DDoS-Angriff wird häufig mit einem herkömmlichen DoS-Angriff (Denial-of-Service) verwechselt. Der wesentliche Unterschied liegt jedoch im Ausmaß und im Schadenspotenzial: Ein DoS-Angriff nutzt nur eine einzelne Internetverbindung, um die Attacke zu starten, und ist daher in seiner Reichweite begrenzt. Ein DDoS-Angriff hingegen erfolgt über eine Vielzahl von Verbindungen gleichzeitig, was ihn zu einer weitaus mächtigeren Cyber-Bedrohung macht. |
Die infizierten Geräte, die für einen DDoS Angriff eingesetzt werden, nennt man Zombies oder Bots. Zusammen bilden sie ein sogenanntes Botnet. Dieses Netzwerk ist der zentrale Angriffsweg bei DDoS-Angriffen. Je größer das Botnet, desto stärker der Angriff in Umfang, Geschwindigkeit und Dauer.
Wie lässt sich ein DDoS-Angriff erkennen?
Trotz der gewaltigen Auswirkungen von DDoS-Angriffen kann die Identifizierung schwierig sein, da viele Symptome herkömmlichen Betriebsstörungen ähneln. Das am häufigsten bemerkte Anzeichen eines DDoS-Angriffs ist eine massive Verlangsamung oder die vollständige Nichterreichbarkeit von Servern, Diensten oder Netzwerken.
Die Merkmale zur Bedrohungserkennung variieren je nach Angriffstyp. Zu den typischen Warnsignalen gehören:
- Abnormale Verkehrsmuster: Ungewöhnliche Datenverkehrsspitzen, beispielsweise zu unüblichen Uhrzeiten oder in untypischen Intervallen.
- Verbindungsprobleme: Häufige oder plötzliche Abbrüche der Internetverbindung ohne ersichtlichen Grund.
- IP-Konzentration: Große Mengen an Traffic, die von einer einzelnen IP-Adresse oder einem eng begrenzten IP-Bereich stammen.
- Anfrage-Surges: Ein unerklärlicher Anstieg von Anfragen an eine ganz bestimmte Seite oder einen spezifischen Endpunkt.
- Nutzer-Cluster: Datenverkehr von Nutzern, die auffällige Gemeinsamkeiten aufweisen, wie denselben Gerätetyp, Standort oder Webbrowser.
- Spam-Auffälligkeiten: Ungewöhnliche E-Mail-Inhalte (z. B. verdächtige Medienanhänge) oder ein extrem hohes Spam-Aufkommen.
- Webseiten-Ausfall: Webseiten werden für Nutzer unzugänglich oder laden gar nicht mehr.
Bei Verdacht auf einen DDoS-Angriff sollten IT-Teams proaktiv folgende Schritte einleiten:
- Fehlercodes prüfen: Kontrollieren, ob Nutzer vermehrt den Fehlercode „503 Service Unavailable“ erhalten haben.
- Protokollanalyse: Zugriffsprotokolle (Access Logs) detailliert auf Anzeichen für ein Angriffsmuster überprüfen.
- Geschwindigkeitstests: Die Ladegeschwindigkeit der Seite messen und mit etablierten Referenzwerten (Benchmarks) vergleichen.
- Vergleichstests: Versuchen, andere Webseiten zu laden, um festzustellen, ob das Problem lokal am System oder an der allgemeinen Internetverbindung liegt.
Arten von DdoS-Angriffen
Es gibt verschiedene Arten von DDoS-Angriffen. Die folgenden Beispiele verdeutlichen die unterschiedlichen technischen Ansätze:
DDoS-Angriffe auf der Anwendungsebene (Layer 7):
Diese Angriffe zielen direkt auf die Software ab, die einen Dienst bereitstellt – etwa Webanwendungen, die auf HTTP-Anfragen reagieren, oder andere cloudbasierte Dienste. Diese Angriffsart ist besonders beliebt, da sie vergleichsweise wenig Bandbreite erfordert, um das Zielsystem erfolgreich zu überlasten.
Protokollbasierte DDoS-Angriffe:
Diese Attacken nutzen Schwachstellen in den Schichten 3 (Netzwerk-Schicht) und 4 (Transport-Schicht) des OSI-Referenzmodells aus. Ein klassisches Beispiel ist der SYN-Flood-Angriff: Der Angreifer initiiert eine Vielzahl von Verbindungsanfragen, schließt diese aber nie ab. Das Zielsystem muss Ressourcen vorhalten, um auf die Flut halboffener Verbindungen zu reagieren, und kann schließlich keine legitimen Anfragen mehr bearbeiten.
Volumetrische DDoS-Angriffe:
Diese Form kommt relativ selten vor (berichtet werden weniger als 1 % aller DDoS-Angriffe). Dabei wird die gesamte verfügbare Bandbreite zwischen dem Ziel und dem Internet durch massiven Netzwerk-Traffic überlastet. Ein typisches Beispiel ist die DNS-Amplification (DNS-Verstärkung): Hierbei fälscht der Angreifer die IP-Adresse des Opfers und sendet massenhaft DNS-Abfragen an offene DNS-Server, die dann mit deutlich größeren Datenpaketen auf das Zielsystem antworten.
Schutz vor DdoS-Angriffen
DDoS-Angriffe lassen sich nur schwer vollständig verhindern. Es gibt jedoch bewährte Maßnahmen, um das Risiko und die Auswirkungen solcher Attacken massiv zu reduzieren:
Anycast-Netzwerkverteilung:
Ein Anycast-Netzwerk wird eingesetzt, um den eingehenden DDoS-Datenverkehr auf eine Vielzahl von Servern zu verteilen. Da diese Server die Last gemeinsam tragen, können sie die Flut an Anfragen deutlich besser absorbieren als ein einzelnes System, was die allgemeine Verfügbarkeit erhöht.
Blackhole-Routing:
Beim Blackhole-Routing wird gewissermaßen ein „schwarzes Loch“ erzeugt, indem der gesamte Datenverkehr auf eine Null-Route umgeleitet und aus dem Netzwerk entfernt wird. Diese Methode stoppt den schädlichen Datenverkehr effektiv, blockiert jedoch leider auch legitime Anfragen. Sie ist vor allem dann ein wirksames Werkzeug, wenn der Angriff gezielt gegen einen ganz bestimmten Server oder Dienst gerichtet ist.
Rate-Limiting:
Rate-Limiting beschränkt die Anzahl der Anfragen, die ein Server innerhalb eines definierten Zeitraums akzeptiert. Da diese Maßnahme allein oft nicht ausreicht, um einen hoch entwickelten DDoS-Angriff abzuwehren, wird sie in der Regel als ein Baustein innerhalb einer umfassenderen DDoS-Abwehrstrategie eingesetzt.
Risikoanalysen:
Regelmäßige Risikoanalysen und Sicherheits-Audits von Geräten, Servern und Netzwerken helfen dabei, potenzielle Schwachstellen frühzeitig aufzudecken. Solche Überprüfungen bieten die Chance, die Verteidigung gezielt zu härten und so den Schaden sowie die Unterbrechungen durch einen möglichen DDoS-Angriff zu minimieren.
Web-Application-Firewall (WAF):
Eine Web-Application-Firewall (WAF) schützt Server vor Layer-7-DDoS-Angriffen, indem sie als Reverse-Proxy fungiert und schädlichen Traffic filtert. Die WAF blockiert bekannte DDoS-Tools basierend auf vordefinierten Sicherheitsregeln. Ein großer Vorteil ist, dass individuell angepasste Regeln extrem schnell erstellt werden können, um auf ganz spezifische Angriffsmuster zu reagieren.
Geschichte der DDoS Angriffe
Die Geschichte der DDoS-Angriffe reicht bis in das Jahr 1974 zurück. Was mit einem einzelnen Befehl begann, hat sich zu einer hochkomplexen Bedrohung entwickelt, die heute massive Auswirkungen auf die globale Infrastruktur hat:
1974 – Der erste DoS-Angriff:
Der erste als solcher anerkannte DoS-Angriff ereignete sich 1974. David Dennis, ein Highschool-Schüler, sendete einen externen „EXT“-Befehl gleichzeitig an 31 Computer des Computer-Based Education Research Laboratory (CERL) der University of Illinois Urbana-Champaign. Dies blockierte alle Systeme und zwang die Nutzer dazu, ihre Rechner herunterzufahren und neu zu starten.
1996 – PANIX-Angriff:
Der erste bekannte DDoS-Angriff richtete sich gegen den in New York ansässigen Internetdienstanbieter (ISP) Panix. Das Unternehmen wurde von einer SYN-Flood-DDoS-Attacke getroffen, bei der der Angreifer gefälschte IP-Adressen nutzte, um die Server mit halboffenen Verbindungen zu überfluten. Dies machte es unmöglich, regulären Datenverkehr zu verarbeiten, und Panix benötigte mehrere Tage, um sich vollständig zu erholen.
2000 – MafiaBoy-Angriff:
Die MafiaBoy-DDoS-Attacke wurde von Michael Calce (alias MafiaBoy) während einer NANOG-Konferenz (North American Network Operators’ Group) gestartet – ironischerweise genau während eines Vortrags über DoS-Angriffe. Große Organisationen wie Dell, CNN, Yahoo, eBay und Amazon wurden dabei mit dem TF2-DDoS-Angriffstool gezielt angegriffen.
2002 – DDoS gegen Yahoo:
Dieser Angriff auf Yahoo im Jahr 2002 ist bemerkenswert, da er einen neuen Ansatz zur Umgehung von Schutzmaßnahmen aufzeigte. Dieser als Kapazitäts- und Dimensionierungsmodell für DDoS-Resilienz bezeichnete Ansatz nutzte verschiedene Angriffskombinationen, um die Transaktionskapazitäten der Systeme gezielt zu überfordern.
2012 – Angriff auf sechs US-Banken:
Dieser Ansatz, mehrere Angriffe gleichzeitig zu nutzen, eskalierte bei den Attacken auf sechs US-Banken. Die Angriffe wurden von einem Botnetz namens „Brobot“ durchgeführt, das aus Hunderten kompromittierter Server bestand. Diese waren in der Lage, massive Mengen an Angriffs-Traffic von über 60 Gigabit pro Sekunde zu erzeugen.
Dies entsprach einer signifikanten Steigerung gegenüber dem damaligen Durchschnittsvolumen von 20 Gigabit pro Sekunde. Neben dem Ausmaß war dieser DDoS-Angriff vor allem durch seine Beständigkeit bemerkenswert, welche die Verteidigung der Banken überwältigte. Hinter den Angriffen stand die iranische Regierung, die zwei im Iran ansässige IT-Unternehmen, das ITSecTeam (ITSEC) und die Mersad Company (MERSAD), mit der Durchführung beauftragte.
2013 – Spamhaus-DDoS-Angriff:
Dieser Angriff gegen Spamhaus, eine gemeinnützige Anti-Spam-Organisation, war deshalb bemerkenswert, weil er trotz robuster Schutzmaßnahmen die Systeme vollständig überforderte und sowohl die Website als auch die E-Mail-Dienste lahmlegte. Das Angriffsvolumen wurde auf 300 Gigabit pro Sekunde geschätzt.
Dieser Vorfall ist ein klassisches Beispiel für einen rachemotivierten DDoS-Angriff. Er wurde zu einer Einzelperson bei dem niederländischen Unternehmen Cyberbunker zurückverfolgt, nachdem Spamhaus das Unternehmen wegen des Versands von Spam auf eine Blacklist gesetzt hatte.
2014 – Cloudflare-DDoS-Angriff:
Das Volumen der für DDoS-Angriffe erzeugten Datenströme stieg weiter an. Cloudflare, ein Cybersecurity-Anbieter und Content-Delivery-Network, wurde von einem Angriff mit mehr als 400 Gigabit pro Sekunde getroffen.
Dieser Angriff nutzte eine Schwachstelle im Network-Time-Protocol (NTP) aus, welches die Uhren von Servern, Switchen und Routern synchronisiert. Gefälschte Adressen wurden verwendet, um manipulierte NTP-Server-Antworten an die Zielserver zu senden. Diese Art von Angriff weist einen extrem hohen Verstärkungsfaktor von bis zu 206 auf.
2014 – Occupy Central (Hongkong):
Dieser mehrtägige Vergeltungsangriff richtete sich gegen die in Hongkong ansässige Gruppe Occupy Central als Reaktion auf deren Bemühungen um ein demokratischeres Wahlsystem. Der DDoS-Angriff nutzte fünf Botnetze, um einen Traffic von 500 Gigabit pro Sekunde zu erzeugen. Die Quelle wurde offiziell nie bestätigt, es wird jedoch allgemein angenommen, dass die chinesische Regierung dahinter stand.
2015 – BBC-Angriff:
Ein Angriff auf die On-Demand-Dienste der BBC (iPlayer und Radio) durch die Hacktivisten-Gruppe „New World Hacking“ verfolgte einen neuen, cloudbasierten Ansatz. Die Gruppe nutzte zwei Instanzen von Amazon Web Services (AWS), um den Angriff über das selbst erstellte DDoS-as-a-Service-Tool „BangStresser“ zu starten.
2016 – Mirai-DDoS-Angriffe auf Krebs und OVH:
Das Blog des Cybersecurity-Experten Brian Krebs wurde vom Mirai-Botnetz angegriffen. Dieser Vorfall ist aufgrund der Größe und der Zusammensetzung des Netzwerks interessant. Laut Krebs war dieser Angriff mehr als dreimal so groß wie alle seine bisherigen Aufzeichnungen, mit einem Traffic von über 600 Gigabit pro Sekunde.
Das Mirai-Botnetz bestand aus IoT-Geräten wie Heimroutern, IP-Kameras und Videoplayern. Kurz nach dem Angriff auf Krebs traf das Botnetz, das mittlerweile auf fast 150.000 Bots angewachsen war, den europäischen Hosting-Anbieter OVH mit einem Angriffsvolumen von 1,1 Terabit pro Sekunde.
2018 – GitHub-Angriff:
Der DDoS-Angriff auf GitHub nutzte einen neuen Ansatz, indem er einen Standardbefehl von Memcached ausnutzte – ein Tool zur Beschleunigung dynamischer Websites. Diese Funktion wurde zur Verstärkung des Angriffs missbraucht. Auf dem Höhepunkt betrug das Verhältnis zwischen der Anfragegröße des Angreifers und dem erzeugten schädlichen Datenverkehr das 51.200-Fache.
2020 – Google-Angriff:
Dieser Überfall auf Google demonstrierte eine völlig neue Dimension von DDoS-Angriffen. Der von drei chinesischen Internetdienstanbietern (ISPs) ausgehende Angriff attackierte über sechs Monate hinweg Tausende von IP-Adressen von Google. Das Traffic-Volumen erreichte dabei 2,5 Terabit pro Sekunde, was mehr als dem Vierfachen des Mirai-Botnetzes von 2016 entsprach.
2021 – Europäisches Glücksspielunternehmen:
Ein Angriff auf ein europäisches Glücksspielunternehmen überflutete das Ziel mit mehr als 800 Gigabit pro Sekunde. Das Opfer erhielt eine Nachricht mit einer Zahlungsaufforderung, um den Angriff zu stoppen. Die Angreifer drohten damit, das Ausmaß der Attacke weiter zu steigern, sollte die Zahlung nicht geleistet werden.
FAQ zu DDoS-Angriffen
Was ist ein DDoS-Angriff?
Ein DDoS-Angriff ist ein Cyberverbrechen, das Server, Dienste oder Netzwerke unzugänglich macht oder extrem verlangsamt, indem sie mit künstlichem Datenverkehr überflutet werden. Dies verhindert, dass reguläre Nutzer auf diese Ressourcen zugreifen können.
Was sind Beispiele für einen DDoS-Angriff?
Es gibt drei Haupttypen von DDoS-Angriffen, die unterschiedliche Ansätze verfolgen: Angriffe auf der Anwendungsebene (Layer-7-Angriffe), Protokoll-Angriffe sowie volumenbasierte (volumetrische) Angriffe.
Ist die Durchführung eines DDoS-Angriffs illegal?
Ja, das Ausführen eines DDoS-Angriffs ist illegal. In den Vereinigten Staaten kann ein DDoS-Angriff nach dem Computer Fraud and Abuse Act (CFAA) als Bundesstraftat eingestuft werden, wobei Tätern bis zu 10 Jahre Haft drohen. In Deutschland erfüllt dies in der Regel den Straftatbestand der Computersabotage gemäß § 303b StGB.
Welche Bedrohungen gehen von einem DDoS-Angriff aus?
Zu den potenziellen Bedrohungen durch einen DDoS-Angriff gehören: Finanzielle Verluste durch Produktivitätsausfälle, Stillstandzeiten, entgangene Umsätze, Verstöße gegen Service-Level-Agreements (SLAs) gegenüber Kunden sowie die Kosten für die Abwehr und Wiederherstellung. Hinzu kommen Dienstunterbrechungen, die Kernfunktionen und die Servicebereitstellung lahmlegen, sowie langfristige Reputationsschäden, wenn Nutzer Anwendungen, Webseiten oder Dienste nicht erreichen können.
Wie kann ein DDoS-Angriff verhindert werden?
Maßnahmen zur Verhinderung oder Abmilderung der Auswirkungen eines DDoS-Angriffs umfassen: Die Sperrung verdächtiger IP-Adressen (Blacklisting), die Implementierung mehrerer Cybersecurity-Verteidigungsschichten, die Erhöhung der Systembandbreite sowie den Einsatz von Firewalls und Web-Application-Firewalls (WAF) mit speziellen Paketfiltern.
Wie vermeiden die Täter bei DDoS-Angriffen die Erkennung?
Cyberkriminelle nutzen verschiedene Taktiken, um unentdeckt zu bleiben, darunter:
- Reflektionstaktiken, welche das Standardverhalten legitimer Dienste wie DNS- (Domain Name System), NTP- (Network Time Protocol) und SNMP-Server (Simple Network Management Protocol) manipulieren, um den Angreifer zu verbergen.
- Zudem nutzen sie das Spoofing von Quell- und Zieladressen.
Vorbereitung auf einen möglichen DDoS-Angriff
Jede Organisation mit vernetzten Geräten oder Systemen kann Ziel eines DDoS-Angriffs werden. Die Auswirkungen können dabei von geringfügigen Störungen bis hin zu verheerenden Schäden reichen. Obwohl keine Verteidigung einen DDoS-Angriff mit absoluter Sicherheit verhindern kann, hilft die Implementierung von Präventions- und Abwehrstrategien sowie der Einsatz entsprechender Tools dabei, das Risiko schwerer Verluste deutlich zu senken.
