Was ist ein DDoS-Angriff? Erklärung und Schutzmaßnahmen

Im Juli 2021 hat der IT-Sicherheitsdienst Cloudflare ⇱ eine rekordverdächtige DDoS-Attacke abgewehrt, bei der Hacker über 17 Millionen Anfragen pro Sekunde verschickten. Kein Einzelfall: 2020 allein wurden rund 10 Millionen DDoS-Angriffe ⇱ ausgeführt – Tendenz steigend.
Was diese Art Angriff so tückisch macht, ist unter anderem ihre vermeintliche Willkür. Bei DDoS-Attacken geht es nicht primär darum, Daten zu stehlen. Vielmehr möchten die Angreifer Dienste stören und Websites unerreichbar machen. Lesen Sie in unserem Artikel, wer hinter DDoS-Angriffen steckt, wie sie ablaufen und wie Sie sich dagegen wappnen.
Eine Distributed Denial of Service (DDoS) Attacke ist ein Cyberangriff, der darauf zielt, einen Dienst oder einen Server nicht verfügbar zu machen (Englisch: Denial of service). Dafür greifen tausende von Rechnern dasselbe Ziel an, indem sie von verschiedenen Orten aus (Englisch: distributed) gleichzeitig Nachrichten verschicken. Der Server bricht unter der Last dieser Anfragen zusammen, sodass die Webseite/ Anwendung für alle anderen Benutzer unerreichbar ist. Ruf jemand sie auf, erscheint oft die Fehlermeldung HTTP 503 Service nicht verfügbar. In anderen Fällen lädt die Seite ungewöhnlich langsam.
Funktionsweise eines DDoS-Angriffs
Oft besteht das angreifende Rechnernetz aus gekaperten Rechnern (Botnet oder Zombie-Netzwerk). Die Besitzer laden dabei aus Versehen Malware herunter und merken vielleicht gar nicht, dass ihr infizierter Rechner gerade einen DDoS-Angriff durchführt. Die eigentlichen Drahtzieher der Attacke sitzen oft Tausende von Kilometern entfernt.
Im vergangenen Jahrzehnt wurden auch Smart Home Anwendungen wie vernetzte Kameras, Sensoren, Smart-TVs und Lichter immer öfter von Hackern zu diesem Zweck missbraucht, da ihre Sicherheitsprotokolle besonders lückenhaft sind. Inzwischen müssen Cyberkriminelle nicht mal mehr selber Malware verschicken, um ein Botnet aufzubauen. Im Darknet lassen sich DDoS-as-a-Service Botnetze zu erschwinglichen Preisen mieten.
Die Bots greifen unterschiedliche Ebenen von Netzwerkprotokollen an und nutzen verschiedene Schwachstellen, um den Datenverkehr zum Erliegen zu bringen. Ziel dieser Angriffe sind meist Unternehmen, häufig Plattformen, Anbieter von Cloud-Services oder Banken. Hinter solchen Angriffen stecken vielfältige Gründe:
Es gibt zwei Parameter, anhand derer Experten DDoS-Angriffe kategorisieren:
Volumen
In Megabit pro Sekunde (Mbps), Gigabit pro Sekunde (Gbps) oder Terabit pro Sekunde (Tbps) gemessen, gibt dieser Parameter die Datenmenge wieder, mit der die Angreifer ihre Opfer überfluten. Obwohl in den vergangenen Jahren einige große DDoS-Attacken im Tbps-Bereich erfolgten, die ein großes Medienecho fanden, haben die meisten laut einer Analyse von Netscout ⇱ ein Volumen unter 1 Gbps.
Geschwindigkeit
Dieser Parameter besagt, wie schnell die Bots die Datenpakete übermitteln. Die meisten DDoS-Angriffe bewegen sich laut Netscout ⇱ im Bereich zwischen 10 und 100 kpps (Tausende Pakete pro Sekunde).
Fast alle Internetanwendungen nutzen die Client-Server-Architektur. Ein Rechner (Client) sendet dabei eine Anfrage an einen anderen Rechner (Server), beispielsweise indem der Benutzer eine Internetadresse eintippt.
Server haben in der Regel eine Bandbreite von mehreren Gigabit pro Sekunde (Gbps). Sie sind daher in der Lage, tausende von Anfragen abzuarbeiten. Übersteigt aber der Traffic die Obergrenzen, gerät jeder Server in Schwierigkeiten. Das kann man sich wie eine Straße vorstellen, auf der zu viele Autos fahren wollen. Selbst auf einer Autobahn entstehen irgendwann lange Staus.
Egal welche Technik verwendet wird, ein DDoS-Angriff geschieht immer nach der gleichen Reihenfolge:
Internetprotokolle bestehen aus mehreren Schichten, die jeweils einen Aspekt des Datentransports regeln. Das OSI-Modell (siehe Bild unten) beschreibt diese Struktur, indem es jeder Schicht eine Funktion zuweist. DDoS-Angriffe betreffen je nach Art unterschiedliche Schichten und Schnittstellen. Grundsätzlich unterteilen IT-Experten DDoS-Attacken in die folgenden Kategorien:
DDoS-Angriffe richten sich je nach Art gegen unterschiedliche Schichten der Internetprotokolle
Im folgenden Abschnitt stellen wir einige Beispiele für konkrete Arten von DDoS-Attacken näher vor und erklären ihre Funktionsweise:
Das UDP ist ein verbindungsloses Protokoll der Transportschicht, das ohne Drei-Wege-Handschlag (Handshake) funktioniert. Bei UDP-Floods überschwemmen Hacker die Ports eines Servers mit großen UDP-Paketen, bis die Bandbreite gesättigt ist. Auch brechen die Firewalls oft zusammen, da sie bei jeder Anfrage eine Statusmeldung erstellen. Häufig sind die IP-Adressen gespooft (aus dem Englischen to spoof = fälschen).
DNS-Server übersetzen URLs in IP-Adressen aus Zahlen wie 96.92.212.183. Tippt ein Client die Webseite experte.de in den Browser, antwortet der DNS-Server mit der dazugehörigen IP-Adresse. Bei DNS-Reflection-Angriffen nutzen Cyberkriminelle Verstärkungstechniken, indem sie offenen DNS-Servern viele gefälschte Anfragen mit der IP-Adresse ihrer Opfer schicken. Der Server antwortet mit einer Flut an Informationen, die den Traffic zusammenbrechen lassen.
Anders als das UDP-Protokoll sieht das TCP-Protokoll einen Verbindungsaufbau mit einem Handshake vor. Der Client schickt eine SYN-Nachricht (synchronize), auf die der Server mit einer SYN-ACK-Bestätigung (synchronize acknowledge) antwortet, woraufhin eine ACK Bestätigung vom Client kommt. Fehlt die ACK-Bestätigung, kommt die Verbindung nicht zustande. Die offenen Anfragen verursachen eine Überlastung.
Bei einem SYN-Flood bleiben so viele unvollständige Anfragen offen, bis der betroffene Server kollabiert.
Das Internet Control Message Protocol (ICMP) hat innerhalb des Internetprotokolls IPv4 eine Kontrollfunktion. Sogenannte „Pings“ dienen unter anderem dazu, Fehlermeldungen auszutauschen. Das IPv4 begrenzt die Größe von Paketen auf maximal 65.535 Bytes. Bei einem Ping of Death Angriff überschwemmen die Hacker einen Server mit zu großen Paketen, die zur Tarnung in vielen kleinen Teilpaketen kommen. Versucht der Server, sie wieder zusammenzustellen, crasht er.
Auch bei einem Smurf-Angriff schicken Bots Ping-Pakete. Anders als beim Ping of Death sind sie jedoch nicht fehlerhaft. Viel mehr geht die Ping-Anfrage mit der gespooften IP-Adresse des Opfers an die Broadcast-Adresse eines Netzwerks. Jeder Rechner in diesem Netzwerk antwortet auf die vermeintliche Anfrage, was beim betroffenen Server eine Trafficspitze erzeugt. Der Name Smurf (Englisch = Schlumpf) bezieht sich auf die vielen kleinen Angreifer, die jedoch zusammen eine große Bandbreite blockieren.
Bei einem Smurf-Angriff wird das Opfer mit einer Nachrichtenflut überrollt, obwohl es keine Anfrage gestartet hat.
Internetbrowser wie Chrome oder Mozilla sind in der Anwendungsschicht tätig. Sie senden innerhalb des HTTP-Protokolls GET oder POST Anfragen, um statische oder dynamische Daten (Bilder, Videos) von Servern zu bekommen. Bei HTTP-Floods richten sich diese Bot-Anfragen gegen einen Server, der andere Anfragen von legitimen Nutzern nicht mehr beantwortet. Da sie sich von normalen Anfragen nicht unterscheiden, gestaltet sich die Abwehr schwer.
Auch Slowloris betreffen das HTTP-Protokoll und damit die Anwendungsebene. Anders als bei HTTP-Floods schicken die Angreifer Anfragen mit falschen Headers. Die offenen Verbindungen legen den Server lahm. Dabei verlaufen Slowloris in der Regel langsamer als andere DDoS-Angriffe, können dafür aber lange den Traffic stören.
Die mit der Corona-Pandemie einhergehende Digitalisierung ließ DDoS-Angriffe zunehmen. Allein zwischen Januar und März 2020 gab es laut dem IT-Sicherheit Unternehmen F5 Labs ⇱ einen Anstieg von 55 Prozent. Hier sind einige Attacken, die für Schlagzeilen sorgten:
Da DDoS-Angriffe sehr komplex sind, betreffen alle Abwehrstrategien mehrere Ebenen. Vor allem Unternehmen und Organisationen sollten frühzeitig eine Strategie entwickeln, um im Fall der Fälle schnell zu reagieren. Erfolgreiche Ansätze beinhalten meist folgende Punkte:
DDoS-Angriffe werden auch im kommenden Jahrzehnt zu den größten Cyberbedrohungen zählen. Da die Drahtzieher gekaperte Rechner nutzen, lässt sich eine Attacke schwer von vornherein verhindern. Die einzige effiziente Abwehr besteht darin, resiliente IT-Systeme zu schaffen, die den bösartigen Datenverkehr rechtzeitig identifizieren und umleiten.
Bei DDoS-Angriffen überfluten Hacker fremde Server mit Datenpaketen. Sie nutzen dabei Bot-Netzwerke aus infizierten Computern, die oft überall auf der ganzen Welt verteilt sind. Die Server der Opfer können legitime Anfragen nicht mehr bedienen, wodurch die Webseite unerreichbar ist.