Was ist Flooding?
Flooding (deutsch „Überfluten“) ist die Bezeichnung für das Überschwemmen eines Netzwerks mit Datenpaketen. Mit der Technik lassen sich gewollt Informationen an alle angeschlossenen Rechner übermitteln. Flooding nutzen jedoch auch Cyberkriminelle, um den Datenverkehr in einem Netzwerk lahmzulegen. Dazu verwenden sie zum Beispiel Flood-Pings. In der Folge sind DoS Attacks und SYN-Flood-Attacks möglich, wobei ein einzelner Rechner mit Anfragen überschwemmt wird und abstürzen kann. Da es sich bei den Angriffen um Tausende oder Millionen von Anfragen handelt, sind der attackierte Webserver, und in vielen Fällen auch die Infrastruktur, überlastet.
Welche Angriffsmethoden gibt es?
Bei der einfachen Variante sendet ein angreifender Client die gleichen Anfragen an einen Server und ignoriert dessen Antworten. Solch ein Angriff ist leichter zu identifizieren. Bei einem erweiterten Angriff schickt der Client Anfragen an die Startwebseite, wertet die Antwort des Servers aus und sendet dann rekursiv zusätzliche Anfragen an die Unterseiten. Da Anfragen passend zu den Antworten des Servers verschickt werden, ist diese Angriffsform schwieriger zu erkennen.
Was schützt vor Flooding?
Flooding-Angriffe können abgewehrt werden, indem die Menge der SYN-, ICMP- und UDP-Pakete über eine definierte Zeit begrenzt werden, die ein Client in das Netzwerk schickt. Gegen SYN Flooding hilft eine Einstellung in der Firewall, die die Anzahl „halboffener“ TCP-Verbindungen zwischen zwei Rechnern überwacht und einschränkt. Wenn weitere TCP-Verbindungen zwischen den beiden Rechnern aufgebaut werden sollen, blockt die Firewall diese ab.