Datenschutz-Glossar

DDoS

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist DDoS?

DDoS (kurz für Distributed Denial of Service) ist eine Art von Cyberangriff, der eine Website oder ein Netzwerk so sehr stört, dass es seine regulären Funktionen nicht mehr ausführen kann. Ein DDoS-Angriff ist ein einfacher, direkter Angriff, der die Server des Ziels mit Datenanforderungen oder falschen Anmeldeinformationen (wie einer schlechten IP-Adresse) überlastet. Das gewünschte Ergebnis eines DDoS-Angriffs besteht darin, entweder die Fähigkeit des Ziels, auf legitime Geschäfte zu reagieren, drastisch zu verringern oder die Server vollständig zum Absturz zu bringen.

Ein DDoS-Angriff ist eine Variante eines Denial of Service (DoS)-Angriffs. Ein DoS-Angriff nutzt einen einzigen Angriffsstandort—wie einen Computer—was die Effektivität einschränken kann, während ein DDoS-Angriff ein koordinierter Angriff von vielen Computern oder verbundenen Geräten gleichzeitig ist. Mehrere Angriffsquellen erzeugen mehr eingehenden Datenverkehr, was eine schnellere, effektivere und länger anhaltende Attacke auf das Zielnetzwerk bedeuten kann. Während ein DoS-Angriff gestoppt werden kann, indem der gesamte Traffic von dem einen Computer blockiert wird, der den Angriff verursacht, ist ein DDoS-Angriff viel schwerer zu verteidigen, weil der Angriff von mehreren Standorten ausgeht. Dies macht es wiederum schwieriger, die Computer eines normalen Nutzers von den Computern des Angreifers zu unterscheiden.

Ein DDoS-Angriff kann mehrere Motivationen haben, einschließlich des Wunsches, die Funktionalität einer Website oder eines Dienstes zu stören, Cyber-Kriegsführung, Rache, Erpressung oder Hacktivismus. In letzter Zeit wurden DDoS-Angriffe als Ablenkung für andere Cyberangriffe verwendet—während Netzwerksicherheit-Systeme und -Personal damit beschäftigt sind, den DDoS-Angriff zu bearbeiten, gibt es weniger Sicherheitsüberwachung und Abwehr gegen andere Angriffsformen.

Wie funktioniert ein DDoS-Angriff?

Bei einem DDoS-Angriff werden mehrere Computer programmiert, gleichzeitig ein Zielnetzwerk (oft eine Website) zu kontaktieren. Durch das Überfluten des Ziels mit mehr Datenverkehr, als das Ziel zu bewältigen vermag, erschöpfen die koordinierten Computer die Bandbreite oder andere Systemressourcen des Zielnetzwerks.

Ein häufiges Werkzeug für die Durchführung eines DDoS-Angriffs ist ein Botnet. Botnets werden oft aus kompromittierten IoT-Geräten, Routern oder Computern erstellt, die mit Malware infiziert sind und aus der Ferne ausgelöst werden können, um gleichzeitig anzugreifen. Ein großes Botnet kann ein Ziel von Hunderttausenden einzigartigen Geräten an verschiedenen Orten aus angreifen, wodurch die Ressourcen des Ziels effektiver belastet werden als bei einem einzelnen Gerät mit speziellen Software-Exploits (d.h. ein DoS-Angriff). Ein Botnet ist besonders gut darin, die Bandbreite zu verbrauchen und einen Engpass zu schaffen, durch den echter Traffic nicht durchkommt. Es kann schwierig sein, den Botnet-DDoS-Verkehr von legitimen Verkehr zu unterscheiden, was es schwierig macht, einen Angriff zu stoppen, indem der Verkehr von einer bestimmten IP-Adresse blockiert wird.

Es gibt viele Variationen des grundlegenden Konzepts eines DDoS-Angriffs, einschließlich: Verwirren eines Servers mit unvollständigen Daten, anhaltende Angriffe über mehrere Tage und Angriffe in Wellen, die ein Netzwerk zwingen, die Ressourcen wiederholt anzupassen (Geld- und Personalverschwendung). Es gibt jedoch drei ziemlich gängige Formen von DDoS-Angriffen:

Volume-DDoS-Angriffe

Diese Arten von DDoS-Angriffen basieren darauf, große Mengen unbrauchbarer Daten oder Pings an den Server zu senden. Der Server widmet Ressourcen entweder dem Versuch, herauszufinden, was mit den unbrauchbaren Daten zu tun ist, oder dem Antworten auf Pings.

Protokoll-DDoS-Angriffe

Dieser Typ von DDoS-Angriff zielt auf Schwächen in Internetprotokollen. Ein Beispiel dafür wird als „SYN-Flood“ bezeichnet. Bei einer typischen Verbindung zwischen einer Website und einem Nutzer erfolgt ein dreiteiliger „Handshake“: Zuerst kontaktiert der Nutzer eine Website (technisch sendet der Browser ein SYN-Paket, daher der Name SYN-Flood); die Website bestätigt dann den Nutzer; und schließlich finalisiert der Nutzer die Verbindung.

Bei einem SYN-Flood-DDoS-Angriff initiiert der Angreifer Verbindungen wie ein legitimer Benutzer, gibt jedoch eine gefälschte IP-Adresse im SYN-Paket an. Wenn die angegriffene Website ihre Antwortnachricht sendet, wird sie stattdessen an die gefälschte IP-Adresse gesendet. Das Gerät mit der gefälschten IP-Adresse hat keine Aufzeichnungen darüber, eine Verbindung mit der Website initiiert zu haben, und antwortet daher nie mit der dritten Nachricht, die benötigt wird, um den Handshake abzuschließen. Der Kanal (oder Port) auf der angegriffenen Website bleibt offen und wartet auf eine Antwort, die nicht kommt. Ports werden geöffnet und nicht freigegeben, sodass sie für legitime Nutzer nicht mehr verfügbar sind, um eine Verbindung zu initiieren und abzuschließen.

Anwendungsschicht-DDoS-Angriffe

Diese Art von DDoS-Angriff konzentriert sich auf eine bestimmte Anwendung auf einer Website. Häufige, wiederholte Anfragen an dieselben Anwendungsdaten (zum Beispiel eine bestimmte Website-Seite, die angezeigt werden soll) verbrauchen die Ressourcen des Website-Servers. Dies ist besonders effektiv, wenn die Anfrage für die Inhalte einer Website einen Login, eine Suche oder eine Abfrage beinhaltet, die den Server veranlasst, maßgeschneiderte Inhalte vorzubereiten. Wenn der Website-Server von diesen Anfragen überwältigt wird, hat er keine Kapazität mehr, um auf legitime Benutzer zu reagieren.

Wie schützen Organisationen ihre Netzwerke vor DDoS-Angriffen?

DDoS-Angriffe sind für die Opfer kostspielig, sowohl in finanzieller Hinsicht als auch hinsichtlich des Reputationsschadens. Für die Angreifer ist ein DDoS-Angriff einfacher durchzuführen und relativ kostengünstig, wenn ein Angreifer Zugriff auf einen DDoS-Dienst mieten möchte, was sie zu einem zunehmend beliebteren Angriffsvektor macht. DDoS-Angriffe werden auch als Ablenkung für einen echten Angriff verwendet, um Daten zu stehlen oder Ransomware einzusetzen. Daher muss ein guter Cybersecurity-Plan Prozesse zur Verteidigung gegen DDoS-Angriffe enthalten.

Ein Bereich der Cybersicherheit—die Netzwerksicherheit—verteidigt sich gegen DDoS-Angriffe, indem er den Datenverkehr überwacht, versucht ihn als legitim oder illegitim zu klassifizieren und letzteren blockiert. Um illegitimen Verkehr zu blockieren, kann ein Netzwerk mehrere Dinge tun, unter anderem:

  • Filtern, um allen Verkehr an einen separaten DDoS-Schutzdienst umzuleiten, der den Verkehr bewertet. Nur legitimer Verkehr wird dann zum beabsichtigten Zielnetzwerk weitergeleitet.
  • Hardware an der Peripherie eines Netzwerks platzieren, um illegitimen Verkehr daran zu hindern, auf Netzwerkressourcen zuzugreifen.
  • Verwenden einer Webanwendungs-Firewall, um Zugriffsanforderungen zu überwachen, bevor diese an den Webserver weitergeleitet werden. Auf Anwendungsebene überwacht die Firewall jede Instanz einer Zugriffsanforderung und vergleicht sie mit den üblichen Aktivitäten eines echten Benutzers. Zugriffsanforderungen, die verdächtig oder anormal sind, werden blockiert.

Ratenbegrenzung ist eine weitere Abwehrtaktik: Sie begrenzt, wie viel Verkehr innerhalb eines bestimmten Zeitrahmens von einer bestimmten Quelle (normalerweise kategorisiert nach IP-Adresse) in das System gelangen kann. Durch die Verlangsamung des übermäßigen Verkehrs verhindert die Ratenbegrenzung, dass ein Server von einer einzigen Quelle überlastet wird. Da DDoS-Angriffe oft von vielen einzigartigen IP-Adressen aus gestartet werden, ist die Ratenbegrenzung möglicherweise nicht sehr effektiv bei der Verteidigung gegen einen DDoS-Angriff.

Eine verteilte Internetpräsenz (auch als Content Delivery Network oder CDN bezeichnet) erhöht die Netzwerkkapazität und verteilt die Last im Falle eines Angriffs. Wenn ein Angriff gelingt und einen Server lahmlegt, können andere online bleiben und einen guten Service für legitime Benutzer aufrechterhalten.

Können DDoS-Angriffe Einzelpersonen betreffen?

DDoS-Angriffe sollen Netzwerke und Server stören—sie stellen im Allgemeinen keine direkte Bedrohung für Einzelpersonen dar. Wenn jedoch jemand versucht, auf ein Netzwerk oder eine Website zuzugreifen, die gerade unter Angriff steht, könnte es schwierig oder unmöglich sein, eine Verbindung herzustellen oder die gesuchten Informationen zu erhalten. In diesem Fall wird die Person zum sekundären Opfer. Je nachdem, warum jemand eine Verbindung herstellen möchte (z.B. bei einem dringenden medizinischen oder finanziellen Bedarf), kann das Problem für die Person von einer geringfügigen Unannehmlichkeit bis zu einem sehr großen Problem reichen. Leider kann ein Benutzer in dieser Situation nichts tun, außer zu warten, bis das angegriffene System den Angriff gelöst hat.

Einzelpersonen können jedoch an der Verteidigung gegen DDoS-Angriffe teilnehmen, indem sie sicherstellen, dass ihre verbundenen Geräte (wie Router, Computer und IoT-Geräte) gesichert sind. Durch die Aktualisierung der Software und Firmware von Geräten und das Ändern von werkseitig voreingestellten Passwörtern zu starken einzigartigen Passwörtern, kannst du verhindern, dass deine Geräte Teil eines Botnets werden.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.