Achtung, Website ausser Betrieb!

Was sind DDoS-Angriffe? Wie können sie abgewehrt werden?

Datum
24. November 2016
Autor

Der Begriff „DDoS“ wird in Zusammenhang mit den jüngsten Cyberangriffen durch IoT-Geräte immer wieder genannt.

Wie unterscheiden sich DoS und DDoS?

Schema eines mittels des DDoS-Clients Stacheldraht ausgeführten DDoS-Angriffs.

Schema eines DDos-Angriffs mit dem DDoS-ClientsStacheldraht Quelle: Wikipedia

Denial of Service (DoS) ist die Nichtverfügbarkeit eines Dienstes, der verfügbar sein sollte. Das kann verschiedene Gründe haben. Wenn es um Informationssicherheit geht, ist gemeint, dass durch einen vorsätzlichen gezielten Angriff ein System überlastet wird und nicht verfügbar ist. Beispielsweise eine Website, die auf Anfragen nicht mehr antwortet. Sind an dem Angriff zahlreiche verteilte Systeme beteiligt, spricht man von Distributed Denial of Service (DDoS).

Dienste können auf viele Arten gestört werden

Ein DoS-Angriff nutzt spezielle Anfragen oder Softwarefehler. Netzwerkkapazitäten oder Systemressourcen werden überlastet, so dass berechtigte Anfragen nicht mehr oder nur verzögert beantwortet werden.

Bei einem SYN-Flood-Angriff beispielsweise signalisiert der Angreifer seine Bereitschaft, mit dem Opfer zu kommunizieren, bestätigt aber die vom Opfer verschickten Datenpakete nicht. Die Warterei kostet das angegriffene System Rechenzeit und Speicherplatz. Eine Flut solcher Anfragen überlastet das System, das nicht mehr auf reguläre Anfragen reagiert.

Solche Angriffsszenarien haben nichts mit überholter Technik zu tun. Selbst aktuelle Systeme sind durch lückenhafte oder fehlerhafte Softwareimplementierungen verwundbar. BlackNurse, ein kürzlich entdeckter Angriff, setzte mit niedrigen Bandbreiten von ungefähr 18 Megabit/Sekunde die Firewalls namhafter Hersteller außer Betrieb. Dazu braucht es nicht mehr als einen Laptop mit DSL-Anschluss.

ddos_darkweb_server_blur

 Server können im Darkweb gemietet werden. Beispielsweise für DDoS-Angriffe.

Ganz anders die aktuellen DDoS-Attacken. Die Angriffe überwältigen ihre Opfer nicht durch gewitztes Vorgehen, sondern durch ihren gewaltigen Datenverkehr. Einzelne Angriffe sollen schon Bandbreiten von über einem Terrabyte/Sekunde erreicht haben. Selbst wenn jedes beteiligte Gerät eine Bandbreite von 100 Megabit/Sekunde hätte nutzen können, hätten dafür mindestens 10.000 Geräte beteiligt sein müssen. Vermutlich waren die einzelnen Bandbreiten wesentlich geringer und die Zahl der angreifenden Geräte noch größer.

DDoS-Angriffe abwehren

Grundsätzlich sollten Geräte sicher konfiguriert und durch eigene sichere Kennwörter geschützt werden, damit Angreifer sie nicht für DDoS-Attacken nutzen können. Der Verkehr von Angriffen kann durch Sperrlisten blockiert werden. Einige Angriffe können durch einfache automatische Maßnahmen erkannt und blockiert werden, beispielsweise durch eine Bandbreitenbeschränkung,

Außerdem könnten die Ressourcen und Bandbreiten so großzügig bereitgestellt werden, dass ein System nicht überlastet werden kann. In der Praxis ist das aber mit hohen Kosten verbunden und deshalb nicht wirtschaftlich.

Ähnlich arbeiten Filterdienste kommerzieller Anbieter. Der eingehende Datenverkehr wird über die leistungsfähige Infrastruktur des Anbieters geleitet. Die filtert unerwünschten Datenverkehr aus, so dass beim Betreiber des Dienstes nur der erwünschte und unschädliche Verkehr ankommt. Aber auch solche Filter können überlistet werden. Der Security-Blogger Brian Krebs vertraute die Absicherung seiner Website einem Filterdienst an. Ein Angriff auf Krebs‘ Blog gelang dennoch. Die Angreifer überlasteten den Filterdienst mit  einer außergewöhnlich großen Bandbreite von über 620 Gigabit/Sekunde.