Distributed Denial of Service (DDOS): So funktionieren die Botnetz-Angriffe
Von einem Denial-of-Service-Angriff spricht man, wenn Cyberkriminelle die Verfügbarkeit eines Servers oder Dienstes im Internet unterbinden. Die korrekte deutsche Übersetzung lautet entsprechend „Verweigerung des Dienstes“ oder „Dienstverweigerung“. Geht ein solcher Angriff nicht von einem, sondern koordiniert von mehreren Rechnern, Clients und Servern aus, nennt man das Distributed Denial of Service (DDoS) - also eine „dezentralisierte“ oder „verteilte Verweigerung des Dienstes“.
Gründe für DDoS-Angriffe gibt es viele. Beispiele sind Erpressung, willkürliche und gezielte Cyberkriege sowie die Unterdrückung politischer Gegner und unliebsamer Meinungsäußerungen.
Bei einem Angriff durch Distributed Denial of Service (DDoS) gibt es in der Regel eine ganze Reihe von Betroffenen. Die Cyberkriminellen kapern für ihr Vorhaben durch den Einsatz von Trojanern oder ähnlichen Werkzeugen Rechner von Privatpersonen, verbinden sie zu einem sogenannten Botnetz und blasen dann zur koordinierten Attacke auf bestimmte Server im Internet. Neben dem eigentlichen Zielserver gehören also auch die zum Botnetz zusammengeschlossenen Rechner zu den Opfern.
Wie DDoS-Angriffe funktionieren
DDoS-Attacken gehören heute zu den häufigsten Cyberattacken. Betroffen sind vor allem die Industrie und das Finanzwesen. Cyberkriminelle nutzen diese Technik, um Unternehmen unter Druck zu setzen und Schutzgelder zu erpressen. Insbesondere größere E-Commerce-Firmen setzen über das Internet täglich hohe Summen um - schon ein kurzzeitiger Ausfall der Server-Infrastruktur kann Schäden in sechsstelliger Höhe verursachen. Für die Angreifer ein lukratives Geschäft: Ist das Botnetz erst einmal etabliert, erfolgen die eigentlichen Angriffe mit geringem Aufwand.
Auch im Bereich der Cyberspionage spielen Angriffe per Distributed Denial of Service (DDoS) eine Rolle. Ist die Reaktionsfähigkeit eines Servers durch den DDoS-Angriff eingeschränkt und sind die Administratoren durch Abwehrmaßnahmen abgelenkt, können versierte Angreifer das überlastete System weiter manipulieren und infiltrieren. Datenklau ist eine mögliche Folge.
Grundlage eines jeden DDoS-Angriffs ist der Aufbau des ausführenden Botnetzes. Dazu infizieren die Angreifer willkürlich ausgewählte Opferrechner - etwa mit Hilfe von Trojanern. Die Infektion erfolgt in der Regel durch den Nutzer unbemerkt und bereits Monate im Vorfeld der geplanten Attacke. Kommen neue Schadprogramme zum Einsatz, die sich bis zum Angriff versteckt halten, bleibt Anti-Viren-Software häufig unwirksam. Das auf diesem Weg aufgebaute Botnetz steuern die Angreifer über einen sogenannten Bot-Master oder Bot-Herder als Operator. Im Verbund erhalten die vernetzten Opfer-Rechner schließlich das Startsignal durch den Angreifer und setzen mit ihrem enormen Angriffsvolumen dem Ziel-Server durch wiederholte Anfragen zu. Fehlen dem Angriffsziel geeignete Schutzmaßnahmen oder ausreichende Kapazitäten, geht es unter der Last der Anfragen in die Knie.
Angriffe per Distributed Denial of Service (DDoS) lassen sich heute in drei Kategorien oder Strategien unterteilen. War früher in der Regel die Netzwerkebene (Layer-2 bis Layer-4) betroffen, zielen Attacken mittlerweile auch auf die Applikationsebene (bis Layer-7) ab.
- Bei einfachen Netzwerkangriffen kommt es zu einer Überlastung der Bandbreite des Ziels. Die DDoS-Angriffe richten sich hier direkt gegen das Netzwerk und die darin verbundenen Geräte. Durch sogenanntes Flooding senden die Verbundrechner eine immense Anzahl an Anfragen an das Ziel und überlasten damit dessen Kapazitäten. Betroffen sein kann zum Beispiel ein Router, der von Werk aus nur eine bestimmte Datenmenge gleichzeitig verarbeitet.
Ein Beispiel für diese Art von DDoS sind Smurf-Angriffe. Hier senden die Botnetz-Rechner gefälschte ICMP-Pakete des Typs Echo Request (Ping) an die Broadcast-Adressen beliebiger Computernetzwerke und geben als Absender die IP-Adresse des Angriffsziels an. Die Folge: Sämtliche angeschlossenen Geräte senden eine Antwort (Pong) an das eigentliche Ziel des Angriffs. Das Angriffsvolumen wird so vervielfacht.
- Ausschalten können Angreifer ihr Ziel auch durch eine Überlastung der Systemressourcen. Dabei machen sie sich zunutze, dass Server lediglich eine begrenzte Anzahl an Verbindungen zu Clients herstellen können. Ist die erreicht, lassen sich keine weiteren Server-Client-Connections etablieren - der Dienst erscheint für reguläre Nutzer nicht mehr erreichbar. Auch hier kommen ICMP-Pakete des Typs Echo Request (Ping) zum Einsatz, sie werden allerdings direkt an den Zielserver gerichtet. Dieser muss die Anfrage mit einem Datenpaket (Pong) beantworten, sodass insbesondere langsame Systeme massiv ausgebremst werden.
- Sicherheitslücken in Betriebssystemen oder Programmen sind weitere potenzielle Ziele bei DDoS-Angriffen. Gezielte Anfragen führen hier zu Softwarefehlern und Systemabstürzen.
Wie man sich gegen DDoS-Angriffe schützt
So vielfältig, wie die Angriffsmöglichkeiten per Distributed Denial of Service (DDoS) sind, so unterschiedlich sind auch die potenziellen Sicherheitsmaßnahmen.
- Durch IP-Sperrlisten lassen sich zu einem maliziösen Botnetzwerk zusammengeschlossene Clients blockieren. Kommerzielle Firewalls bieten dynamische Lösungen, die aktuelle Gefahrenlagen automatisch adaptieren.
- Sogenannte Syn-Cookies schließen eine bekannte Sicherheitslücke im TCP-Verbindungsaufbau.
- Mithilfe von dynamischen Filter-Protokollen können auffällige Datenpakete direkt identifiziert und blockiert werden.
- DDoS-Mitigation-Systeme und Load-Balancing-Lösungen werden in der Regel von Providern angeboten.
Wer darüber hinaus ausreichend Hard- und Softwareressourcen bereitstellt, ist zumindest gegen DDoS-Angriffe kleineren Ausmaßes gewappnet.