Was ist ein DDoS-Angriff?
Es ist gar nicht so unwahrscheinlich, dass Sie bereits von Websites gehört haben, die von Hackern lahmgelegt wurden, oder dass eine beliebte Website zusammengebrochen ist. Die Mehrheit der Ausfälle auf beliebten und stark frequentierten Websites wird durch sogenannte Distributed Denial-of-Service (DDoS)-Angriffe verursacht.
Es gibt Grenzen für die Bandbreite des Verkehrs, den ein Netzwerkgerät bewältigen kann. Diese Grenze hängt von Faktoren wie der Verarbeitungsleistung des Geräts, der Datenbegrenzung des Verbindungsknotens (Switch oder Router) und der vom Internetdienstanbieter (ISP) erlaubten maximalen Verbindungsgeschwindigkeit und Bandbreite ab.
Wie führt all das zu einem Ausfall einer Website? Wie treten diese Angriffe auf? Dieser Artikel soll ein Aufschluss über DDoS-Angriffe geben und darüber, wie man sie vermeiden oder verhindern kann.
Eine Zerlegung eines typischen DDoS-Angriffs
Hacker initiieren DDoS-Angriffe, indem sie zunächst eine Armee von verwundbaren Computern anwerben, die allgemein als Botnetz bezeichnet werden. Botnets sind eine Reihe von miteinander vernetzten Computern und Geräten, die durch Malware kompromittiert wurden. Hacker verwenden Botnets dann, um gleichzeitig Ressourcenanfragen zu senden, die die Verbindungsbandbreite des Opfers aufbrauchen, wodurch legitime Remote-Nutzer von Diensten auf dem Gerät daran gehindert werden, auf diese zuzugreifen.
Die Datenpakete, die bei der Ausführung von DDoS-Angriffen verwendet werden, sind die gleichen oder ähnlichen wie die, die für die tägliche Kommunikation über das Internet verwendet werden, mit dem Unterschied, dass sie in überwältigend großen Mengen pro Zeit koordiniert werden. Online-Server, die Video-Stream-Verkehr abwickeln, können eine obere Grenze von 20 Gigabyte pro Sekunde Bandbreite zulassen. Im Vergleich dazu könnten DDoS-Angriffe einen einzelnen Server oder Netzwerkgerät mit bis zu 1 Terabyte pro Sekunde Daten laden. Ein solches Volumen an Verkehr würde erfolgreich einen so großen Dienst wie Google lahmlegen.
Wer sind potenzielle Zielscheiben von DDoS-Angriffen?
DDoS-Angriffe sind äußerst komfortabel aufgrund der Verwundbarkeit verschiedener Geräte mit Internetverbindung und der Verfügbarkeit von Botnetzen auf dem Dark Web, die von Anfänger-Hackern genutzt werden können. Viele Internetnutzer und erstaunlicherweise auch einige Organisationen setzen internetfähige Technologien ein, ohne die standardmäßigen Anmeldedaten des Herstellers, die mit dem jeweiligen Gerät geliefert wurden, zu ändern. Hacker durchsuchen das Internet nach solchen Geräten, verschaffen sich Zugang und installieren Malware, die es ihnen ermöglicht, diese Geräte fernzusteuern, ohne dass die eigentlichen Besitzer wissen, dass ihr Gerät Teil eines Botnetzes ist.
Die Botnetze, die aus dem Netzwerk der verwundbaren Geräte bestehen, sind hier nicht die Hauptopfer, sondern werden dazu benutzt, einen koordinierten Angriff auf eine einzelne Website oder einen Online-Dienst durchzuführen – diese waren die Hauptopfer von DDoS-Angriffen.
DDoS-Angriffe auf Websites und Online-Dienste können in Form von falschen Paketen, eingehenden Nachrichten oder Anfragen zur Herstellung einer Verbindung erfolgen. Sie werden hauptsächlich als Rachefeldzug durchgeführt, um den Ruf von Konkurrenten zu schädigen und dadurch deren Marktanteile zu verringern, gegen politische Gegner vorzugehen oder manchmal als Demoralisierungsstrategie gegen Menschenrechtsbewegungen und -organisationen.
Amazon Web Services (AWS) erlebte einen der jüngsten DDoS-Angriffe im Februar 2020. Ziel des Angriffs war ein bedeutender, nicht namentlich genannter Kunde von AWS, wodurch dessen Online-Dienste für drei Tage beeinträchtigt wurden. Mit einem Datenverkehr, der in der Spitze 2,3 Terabytes pro Sekunde erreichte, schien das umfangreiche Bandbreitenkontingent der AWS einem Kinderspiel zu gleichen.
Das bisher bekannteste Botnetz – Mirai, stand im Mittelpunkt einer Reihe von DDoS-Angriffen im Jahr 2016. Im September 2016 ereignete sich der zu dieser Zeit größte DDoS-Angriff, bei dem das Mirai-Botnetz den Blog eines Cybersicherheitsanalytikers mit einem Datenverkehr von bis zu 620 Gbps traf. Nachdem ein Bruchteil des Mirai-Codes später in diesem Monat auf einer DEFCON-Veranstaltung öffentlich gemacht wurde, erlitt ein bedeutender Anbieter von Domain Name Services – Dyn, einen noch größeren Angriff.
Zum Zeitpunkt des Mirai-Angriffs war Dyn der DNS-Anbieter für Websites wie Netflix, GitHub, PayPal, Reddit, Airbnb und HBO. Der 1,5 Gigabit pro Sekunde starke DDoS-Angriff auf das Netzwerk von Dyn führte dazu, dass deren Dienste während des Angriffs nicht reagierten. Im Jahr 2016 gab es mehrere weitere Mirai-Angriffe, bei einigen wurden IoT-Geräte wie Überwachungskameras, Kaffeemaschinen und sogar Babyphone-Monitore gekapert.
Arten von DDoS-Angriffen
Es gibt unterschiedliche Arten von DDoS-Angriffen. Im Folgenden werden einige davon vorgestellt:
Zero-Day DDoS: Bei einem Zero-Day DDoS handelt es sich um eine Bezeichnung, die Hacker für ihre heimlichen Websites im Darknet verwenden. Der Begriff bezieht sich auf eine Reihe von Quellcodes und rekrutierten Botnets, die zum Verkauf stehen, und stellt dabei Sicherheitslücken dar, für die noch keine Sicherheitspatches verfügbar sind.
Ping of Death: Bei diesem Angriff senden die Angreifer zahlreiche manipulierte Ping-Pakete an einen Netzwerkknoten. Die Geräte, die lokale Geräte steuern (Switches und Router), haben eine Begrenzung für die Länge der Pakete, die sie pro Sekunde durchlassen können. Längere Pakete werden häufig fragmentiert und vom Empfangsgerät wieder zusammengesetzt. Die durchschnittliche Datenlänge eines IP-Pakets beträgt etwa 1700 Byte. Hacker versuchen jedoch bei einem Ping of Death, Pings mit Datengrößen von bis zu 71.423 Byte zu versenden, die am Empfangsende wieder zusammengesetzt werden. Diese Art von DDoS-Angriff überlastet den Serverspeicher und macht es unmöglich, auf legitime Anfragen zu reagieren, solange der Angriff anhält.
UDP Flood Attack: Dies ist eine Art von DDoS-Angriff, bei dem das Opfer mit konstanten Strömen von User Datagram Protocol (UDP) Daten bombardiert wird. Bei dieser Art von Angriff werden ständig Verbindungsanfragen auf zufälligen Ports eines Remote-Hosts gesendet. Ähnlich wie die UDP-Flut ist der ICMP (Ping)-Flut, bei der schnelle und zufällige Ping-Pakete gesendet werden, ohne auf eine Rückmeldung der Verbindung zu warten. Der Paketstrom erschöpft die Ressourcen und Bandbreite des Hosts und macht es manchmal unmöglich, einen Handshake einzurichten, wenn legitime Verbindungsanfragen gestellt werden.
SYN Flutangriffe: Bei dieser Art von Angriff wird eine Schwachstelle in TCP-Verbindungen ausgenutzt – der sogenannte Drei-Wege-Handshake. Drei-Wege-Handshakes beinhalten, dass ein entfernter Computer eine Verbindungsanfrage an einen Server sendet; der Server reagiert, indem er die Anfrage bestätigt. Der entfernte Computer muss ebenfalls auf die Bestätigung reagieren, indem er ein verbindungsinitiierendes Paket sendet. Was Hacker tun, um einen DDoS-Angriff über diesen Kanal auszuführen, ist, mehrere SYN-Verbindungsanfragen an einen einzelnen Host mittels eines Botnets zu senden. Server reagieren auf jeden Knotenpunkt mit einer ACK-Nachricht, aber die Hacker verhindern, dass die Botnets darauf reagieren. Das Fehlen einer Reaktion auf die ACK-Nachricht lässt den angegriffenen Server hängen, und es werden weitere Handshake-Anfragen gesendet, bis alle Ressourcen der Opfer ausgeschöpft sind.
HTTP-Flut-Angriffe: Bei diesen Angriffen werden legitime Anfragen ausgenutzt, die für die GET- und POST-Aktivitäten von Paketen bestimmt sind, die zu und von einer Website oder einem Server gehen. Der Angriff täuscht in der Regel den Remote-Server und bringt ihn dazu, maximale Ressourcen für die falschen Anfragen bereitzustellen.
Vorbeugende Maßnahmen gegen DDoS-Angriffe
Wie bereits zuvor hervorgehoben wurde, werden DDoS-Angriffe in zwei Phasen durchgeführt, indem die Knoten, die das Botnet bilden, rekrutiert werden und das Netzwerk des Opfers mit unerhörtem Verkehr überflutet wird. Alltägliche Nutzer von Heiminternetnetzwerken können sich davor schützen, an einem Botnet-Angriff teilzunehmen, indem sie jede Quelle der Verwundbarkeit auf persönlichen Geräten beseitigen. Dies kann durch die folgenden Schritte erreicht werden:
1. Passwörter bei neuen Geräten ändern:
Netzwerk-Hardware wie Router, Switches, Wi-Fi-Hubs und IoT-Geräte kommen mit Standardpasswörtern. Es ist sinnvoll, diese Standardpasswörter zu ändern, da dieser Schritt Ihr Gerät und alle anderen, die mit seinem Netzwerk verbunden sind, einen Schritt weiter von einer Kompromittierung entfernt. Ein Blick in das Benutzerhandbuch oder auf die Website des Herstellers sollte einfache Schritte zur Änderung des Gerätepassworts offenbaren.
2. Nutzen Sie aktuelle und zuverlässige Sicherheitsressourcen:
Die Aktualisierung der Firmware von Front-End-Geräten, Firewalls und des Betriebssystems ist die erste Schutzschicht gegen die Infiltration von Schadsoftware in Netzwerkgeräte.
Für Organisationen, deren Netzwerkinfrastruktur unter einem DDoS-Angriff leidet, sollte folgendes Vorgehen sicherstellen, dass die Ausfallzeit und der daraus resultierende Verlust minimal ist.
3. Nutzen Sie Gateway-Technologie, die plötzliche Verkehrsspitzen erkennt
Ein DDoS-Angriff kann leicht eingedämmt werden, wenn er früh genug bemerkt wird; das gibt genügend Zeit, den Internetanbieter des Unternehmens zu kontaktieren, der dann seine beste Technik zur Abwehr von DDoS anwendet. Ein ISP könnte den Einfluss eines DDoS-Angriffs stoppen oder minimieren, indem er den Verkehr zu Servern mit verfügbaren Bandbreiten umleitet oder den Verkehr zu einem Sink Hole oder Black Hole leitet. Black Holes sind jedoch effektiver, da der gesamte Verkehr, sowohl legitimer als auch illegitimer, der an eine angegriffene IP-Adresse geht, an ein ‚Null Interface‘-Loch gesendet wird. Sinkholes versuchen im Gegensatz dazu, die Datenpakete zu filtern.
4. Backend-Umconfiguration von Netzwerkressourcen
Es ist möglich, das zulässige Bandbreitenvolumen durch Hardware wie Switches und Router zu begrenzen, was gleichermaßen für Firewalls gilt. Mit der Verkehrsbeschränkung wird die enorme Bandbreite des für DDoS-Angriffe typischen Verkehrs abgeschirmt, während Pakete mit regulären Merkmalen in das lokale Netzwerk eingelassen werden.
5. Sichern Sie IoT-Geräte
Es wurde berichtet, dass die Schwachstelle in einer Kaffeemaschine ausgenutzt wurde, um die Netzwerkinfrastruktur eines Casinos zu hacken. Der zuvor gegebene Ratschlag bezüglich IoT-Geräten ist nachdrücklich zu betonen – ändern Sie die Standardpasswörter, sobald Ihre IoT-Geräte ausgepackt sind, und bemühen Sie sich, die Gerätefirmware regelmäßig zu aktualisieren.
Fazit
DDoS-Angriffe mögen einschüchternd und ziemlich kompliziert erscheinen, aber das sind sie nicht mehr. Mit Ihrem neu erworbenen oder aktualisierten Wissen über DDoS-Angriffe durch diesen Artikel sollte die Fähigkeit eines ISP, Ihre Website gegen einen solchen Angriff zu schützen, auf der Liste der zu beachtenden Punkte stehen, wenn Sie sich für einen ISP entscheiden.