DDoS-Attacke

  • Fabian Sinner
  • April 19, 2023

Inhaltsverzeichnis

    DDoS-Attacke

    Was ist eine DDoS-Attacke?

    Eine DDoS-Attacke (Distributed Denial of Service) ist ein Cyberangriff, der auf die Überlastung von Webservern, Online-Services oder ganzer Netzwerke zielt.

    Im Gegensatz zu einer einfachen Denial-of-Service-Attacke (DoS) haben DDoS-Attacken eine immense Schlagkraft. Bei ihnen nutzt ein Angreifer eine Vielzahl gekaperter Rechner, Server oder infizierter Endgeräte des Internet of Things. Ferngesteuert über einen Command & Control-Rechner greifen diese Instanzen zeitgleich im Verbund als sogenanntes Botnetz ein Ziel an.

    Über alle Branchen hinweg werden diese mächtigen Angriffe eingesetzt, um Unternehmen unter Druck zu setzen und hohe Summen als Schutzgeld einzufordern. Tendenz steigend.

    Auch im Bereich der Cyberspionage zählen DDoS-Angriffe zum Standardrepertoire. Was bedeuten die Attacken für Unternehmen und wichtige Infrastrukturen? Wie können Sie Ihr Unternehmen intelligent, schnell und effizient schützen?

    Ziele einer DDoS-Attacke

    Der Zweck einer DDoS-Attacke ist es, die Dienste des Ziels extrem zu verlangsamen oder komplett lahmzulegen. Dabei sind die anvisierten Ziele von einem DDoS-Angriff vielfältig: Netzwerke, Server, Webseiten, individuelle Anwendungen, Clouds oder andere Ressourcen.

    Da eine andauernde Nichtverfügbarkeit in den meisten Fällen drastische Konsequenzen für Betroffene hat, ist das Interesse groß, den DDoS-Angriff schnell abzuwehren. Angreifer nutzte diese sehr anspannte Situation oft aus, um Lösegeldforderungen zu stellen.

    Grundbegriffe rund um DDoS

    Volumenattacke / Flood Attacken

    Volumetrische Angriffe fassen eine Untergruppe von DDoS-Attacken zusammen. Sie funktionieren alle nach demselben Prinzip: Die schiere Flut der Datenpakete, die auf ein Ziel einbricht, verbraucht alle verfügbaren Ressourcen – entweder die Rechnerleistung oder die Internetanbindung (Layer 3 und 4).

    Die Volumina solcher Angriffe werden in Megabit pro Sekunde (Mbps) oder Gigabit pro Sekunde (Gbps) gemessen. Um das nötige Volumen eines erfolgreichen DDoS zu erreichen, nutzen Cyberkriminelle Botnetze oder Amplification Attacken.

    Protokollattacken

    Das Internet basiert auf der Maschinenkommunikation und dem Austausch von Daten. Grundlage für diese Kommunikation sind standardisierte Dateiübertragungsprotokolle wie UDP, TCP, ICMP oder DNS.

    Als Protokollattacken werden sämtliche DDoS-Angriffe zusammengefasst, die Schwachstellen in Layer 3 und 4 des Protokollstapels nutzen. Zwischenressourcen von Firewalls oder Load Balancer sollen gezielt überlastet werden.

    Applikations-Attacken

    Application Layer DDoS Attacken zielen direkt auf Webanwendungen ab. Dazu werden Schwachstellen in der Anwendung (z. B. Webserver) ausgenutzt. Konkret wird die oberste Schicht (Layer 7 im OSI-Modell) eines Netzwerkprotokolls beschossen. Damit erreichen Angreifer, dass die Webanwendung nicht mehr mit Clients kommunizieren kann.

    Amplification

    Man spricht von Amplification, wenn ein Angriff zusätzlich verstärkt wird. Dies funktioniert mithilfe eines Multiplikators (z. B. einem Server). Ziel dabei ist es, die komplette verfügbare Bandbreite des Opfers auszulasten. Dazu muss der Angreifer selbst nur relativ kleine Datenpakete senden.

    Anders als bei Volumenattacken bzw. Floods ist nicht die Anzahl der Datenpakete die Gefahr, sondern die Größe der einzelnen Datenpakete. Diese wird als Amplifcation Factor ausgewiesen. Amplification-Attacken funktionieren stets indirekt (Reflection), denn das eigentliche Ziel wird nicht aktiv angegriffen.

    Reflection

    Bei DDoS-Reflection wird das Opfer nicht direkt angegriffen, sondern die Antwort eines Services wird auf die IP-Adresse des Opfers gelenkt. Die Angriffe werden also “über Bande gespielt” – ähnlich wie beim Billard. Der Einsatz von DDoS-Reflection geht meist mit Amplification einher, bei dem die Antwortpakete größer als die Anfragen ausfallen.

    Zu den Online-Services und Internetdiensten, die häufig für DDoS-Attacken missbraucht werden, zählen DNS-Server, NTP-Server, CLPDAP, WS-Discovery und das Simple Service Discovery Device Protokoll (SSDP).

    Vektor

    Cyberkriminelle nutzen unterschiedliche Vektoren, um IT-Infrastrukturen oder Internetverbindungen zu stören. Als Vektor wird die jeweilige Technik bezeichnet, die zum Einsatz kommt. Um die Erfolgsaussicht einer Attacke zu erhöhen, werden häufig mehrere Vektoren miteinander kombiniert.

    In diesem Fall spricht man von einer Multi-Vektor-Attacke. Die Angreifer können die verschiedenen Techniken parallel oder zeitlich versetzt einsetzen. Die höchste bekannte Anzahl von Vektoren in einem Distributed Denial of Service liegt bei 14.

    IP Spoofing

    IP Spoofing bezeichnet das Verwenden einer gefälschten IP. Das heißt, der Absender eines Datenpakets ist erfunden, um den Empfänger zu manipulieren. Bei der Kommunikation zwischen Clients und Netzwerken (TCP/IP oder UDP/IP) wird die IP als Quelladresse übertragen.

    Ziel dieser Methode ist es, die Identität des Absenders zu verschleiern In den meisten Fällen dient IP-Spoofing der Ausführung von DDoS-Attacken.Ein Botnetz wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern und Servern auch Handys und jedes weitere internetfähige Gerät missbraucht werden.

    Bot-Schadprogramme infizieren ungeschützte Geräte und übernehmen die gewünschten Funktionen, die vom Botmaster über den Command & Control Server gestartet werden. Unter dem Deckmantel von Booter- und IP-Stresser-Services bieten Botmaster ihrer Botnetze vielfach für die Ausführung von DDoS-Attacken an.

    Botnetz

    Ein Botnetz wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern und Servern auch Handys und jedes weitere internetfähige Gerät missbraucht werden.

    Bot-Schadprogramme infizieren ungeschützte Geräte und übernehmen die gewünschten Funktionen, die vom Botmaster über den Command & Control Server gestartet werden. Unter dem Deckmantel von Booter- und IP-Stresser-Services bieten Botmaster ihrer Botnetze vielfach für die Ausführung von DDoS-Attacken an.

    Advanced Persistent DoS (APDoS)

    Unter dieser Bezeichnung werden Denial of Service Attacken zusammengefasst, bei denen Täter “fortschrittliche Techniken” nutzen. Dadurch soll der Angriff möglichst hartnäckig bleiben. In der Praxis bedeutet ein APDoS, dass das Opfer mit unterschiedlichsten Methoden und Techniken über einen langen Zeitraum wiederholt beschossen wird.

    Voraussetzung für einen Advanced Persistent DoS ist ein technisch versierter Angreifer, der über ausreichend Zeit und finanzielle Mittel verfügt. Der Begriff leitet sich ab von Advanced Persistent Threat, bei dem Hackerteams allerdings unentdeckt bleiben wollen, um Daten zu entnehmen.

    DDoS-Angriffe für jedermann

    Cyberkriminelle zielen längst nicht mehr nur auf private Wirtschaftsunternehmen ab, sondern attackieren auch den öffentlichen Sektor und kritische Grundversorger wie Energieerzeuger, Bahnnetzbetreiber, Banken und Krankenhäuser. In einigen Fällen ist den Tätern gar nicht daran gelegen, sich selbst zu bereichern. Stattdessen wollen sie Chaos verbreiten, Wettbewerber schwächen oder demokratische Prozesse lahmlegen.

    Der Aufbau von Botnetzen und die eigentliche Umsetzung der DDoS-Attacke erfordern technisches Know-how, vor allem jedoch kriminelle Energie. In den vergangenen Jahren hatten es potenzielle Angreifer immer leichter, an das nötige Fachwissen zu gelangen. Wie der Fall des IoT-Botnetzes Mirai zeigt, werden Quellcode und Tools zum Aufbau von Botnetzen vielfach frei zur Verfügung gestellt.

    Zunehmend sind DDoS-Angriffe nicht mehr nur das Werkzeug von IT-Fachleuten oder Hackergruppen. Um Mitbewerber, politisch Andersgesinnte oder bestimmte Internet-Systeme mit DDoS-Attacken auszuschalten, muss man kein Programmierer mehr sein. Mittlerweile sind Cyber-Attacken eine Dienstleistung, die von Laien online in Auftrag gegeben werden kann – und das ist weder kompliziert noch kostenintensiv.

    Wer sich für DDoS-Angriffe als Dienstleistung interessiert, findet im Internet zahlreiche Anbieter von Booter- oder IP-Stresser-Diensten, bei denen man nach einem anonymen Registrierungsprozess Attacken in Auftrag geben kann.

    Eine DDoS-Attacke wird strafrechtlich verfolgt

    DDoS-Angriffe sind – egal ob in Auftrag gegeben oder selbst ausgeführt – in Deutschland strafbar. Ein Distributed Denial of Service  – egal ob Auftraggeber oder Booter-Betreiber – ist laut § 303b Abs. 1 Nr. 2, Abs. 2 StGB ein krimineller Akt und wird mit hohen Geldstrafen oder Gefängnisverurteilungen von bis zu 5 Jahren bestraft. Eine DDoS-Attacke ist kein Kavaliersdelikt!

    Motive und Gründe für eine DDoS-Attacke

    Es gibt zahlreiche Gründe dafür, warum Unternehmen von einem DDoS-Angriff getroffen werden. Im Wesentlichen können vier unterschiedliche Motivationen im DDoS-Bereich auf professionelle Webseiten und Infrastrukturen definiert werden.

    Politische Motive/Hacktivism

    Die Aussagen oder politischen Ziele der angegriffenen Seite gehen nicht konform mit der Meinung und Motivation des Angreifers. Die Niederlande, Österreich, Großbritannien, Russland: In den vergangenen Monaten wurden in vielen Ländern Europas versucht, den digitalen Wahlkampf, die Wählerregistrierung oder die Wahlen selbst durch eine massive DDoS-Attacke zu stören.

    Die Angriffe werden auch eingesetzt, um Protest zu unterdrücken oder den Zugang zu bestimmten Informationen zu behindern.

    Finanzielle Motive/ Erpressung

    Opfer sind nicht mehr nur Webshop-Betreiber und Finanzdienstleister, die mittels DDoS-Angriffe erpresst werden. DDoS-Erpressungen richten sich zunehmend gegen Unternehmen alle Größen und jeder Branche. Sofern sie kein Geld zahlen, drohen die Angreifer damit, die Seite zu überlasten, damit sie nicht mehr verfügbar ist.

    Zuletzt machten Erpressergruppen, die sich Armada Collective oder Fancy Bear im Sommer/Herbst 2020 international von sich reden. Sie hatten u. a. KRITIS-Betreiber, Hosting-Anbieter und Finanzdienstleister im Visier.

    Feindselige Konkurrenz / Blockade

    Oftmals werden Unternehmen durch Wettbewerber angegriffen, um Image- und IT-Schäden zu verursachen oder zusätzlich den Online-Handel bzw. die Online-Dienste des Unternehmens zu blockieren. Online-Händler stehen unter großem Konkurrenzdruck und ein Shop-Ausfall ist für Anbieter daher besonders geschäftsschädigend. Auch im eSport und im Online-Gamingsind DDoS-Attacken durch Wettbewerber ein Problem.

    Datendiebstahl/Verschleierung

    Durch eine unerwartete DDoS-Attacke wird die IT-Security-Abteilung des angegriffenen Unternehmens gezielt abgelenkt. Indem die Angreifer die Kontrollsysteme mit Junk-Events in hoher Taktung überschwemmen, beschäftigen sie das IT-Team und können sich ungestört über die Hintertür ins Netzwerk einschleichen.

    Abwehr einer DDoS-Attacke

    Ein Distributed Denial of Service gehöret heute für immer mehr Unternehmen zur alltäglichen Bedrohung. In Zeiten zunehmender Digitalisierung und immer größer werdenden Angriffsflächen in der IT-Infrastruktur müssen sie sich auf DDoS-Angriffe einstellen, die in Zukunft noch großvolumiger und komplexer ausfallen.

    Der Trend zu einer verstärkten Nutzung von Anwendungen in der Cloud bietet weitere Einfallstore und wird zu einem weiteren alarmierenden Anstieg von Attacken auf Layer 7 führen.

    Aus diesem Grund ist ein effektiver DDoS-Schutz unerlässlich. Das Wissen um die Bedrohungen und um die verschiedenen Technologien, die Unternehmen zur Verfügung stehen, helfen, eine fundierte Entscheidung zu treffen und den besten Schutz vor heute schon bekannten und zukünftigen Angriffen zu finden.

    Sie möchten mehr über das Thema DDoS erfahren?

    Kontaktieren Sie jetzt unsere Experten >>

    DDoS-Erpressungen: Link11 veröffentlicht Report zu neuer Erpressergruppe Armada Collective
    IP Fragmentierungs-Angriffe – Was verbirgt sich dahinter?
    X