DoS- & DDoS-Angriffe: Was steckt dahinter?
Hinweis zu diesem Artikel:
In diesem Artikel versuchen wir IT-Laien technische Themen verständlich zu vermitteln. Daher verzichten wir auf technischen Deep-Dive und versuchen Sachverhalte sehr simpel darzustellen, auch wenn dies an der ein oder anderen Stelle zu Lasten von technischen Feinheiten gehen könnte.
DDoS-Angriffe sind eine große Bedrohung für die IT-Sicherheit. Diese Angriffe zielen darauf ab, Online-Dienste durch eine Überflutung von Anfragen lahmzulegen, was zu erheblichen finanziellen Schäden und einem Vertrauensverlust bei Kunden führen kann.
In diesem Artikel beleuchten wir die verschiedenen Formen von DoS- und DDoS-Angriffen, ihre Funktionsweise und die Motive der Angreifer. Zudem zeigen wir auf, welche Branchen besonders gefährdet sind und welche Maßnahmen Unternehmen ergreifen können, um sich effektiv gegen diese Cyberbedrohungen zu schützen.
Was bedeutet DoS?
Die Abkürzung DoS steht für “Denial of Service”, was übersetzt “Dienstverweigerung” bedeutet. Dabei handelt es sich um einen Zustand, in dem ein IT-System oder eine Netzwerkressource nicht mehr verfügbar ist, weil sie durch zu viele Anfragen überlastet wird. Heute wird der Begriff in der Regel in Kombination mit einem Angriff auf den Service eines Unternehmens genutzt.
Was ist ein DoS-Angriff?
Ein Denial of Service Angriff ist eine Art von Cyberattacke, bei der versucht wird, die Verfügbarkeit eines Dienstes oder einer Netzwerkressource zu beeinträchtigen. Dabei überlasten Angreifer das Zielsystem mit einer extrem hohen Anzahl an Anfragen, wodurch die regulären Nutzer nicht mehr auf den Dienst zugreifen können.
Ziel eines DoS-Angriffs ist es, die Infrastruktur und Online-Services eines Unternehmens lahmzulegen und somit den Betrieb zu stören. Diese Angriffe sind oft der erste Schritt in einer Reihe von komplexeren Cyberbedrohungen und können erhebliche wirtschaftliche Schäden verursachen.
DoS und DDoS
In den letzten Jahren wurde der simplere DoS-Angriff durch eine Weiterentwicklung der Attacken ergänzt. Bei dem Distributed Denial of Service Cyberangriff geht die Bedrohung von mehreren Computern aus.
Prinzip und Unterschiede
Das grundlegende Prinzip einer DoS-Attacke besteht darin, einen Server oder Dienst durch Überlastung mit Anfragen unzugänglich zu machen. Eine DDoS-Attacke geht noch weiter: Hier wird der Angriff von vielen, oft weltweit verteilten, Computern gleichzeitig ausgeführt, die meist Teil eines Botnets sind. Von Botnetzen spricht man dann, wenn sich sehr viele infizierte Systeme, meist mehrere Tausend, per Fernsteuerung zusammengeschlossen haben und zu bestimmten Aktionen missbraucht werden. Der verteilte Charakter von DDoS-Attacken macht sie deutlich schwerer abzuwehren, da der schädliche Traffic von vielen verschiedenen Quellen kommt.
Wer sind die Angreifer?
Angreifer hinter DoS- und DDoS-Angriffen sind vielfältig. Sie reichen von Einzelpersonen, die ihr technisches Können testen wollen, bis hin zu organisierten kriminellen Gruppen, die finanziellen Profit anstreben. Auch politische Aktivisten, sogenannte Hacktivisten, nutzen DDoS-Angriffe, um auf Missstände aufmerksam zu machen oder bestimmte Organisationen zu schädigen. In einigen Fällen stecken sogar staatliche Akteure hinter solchen Angriffen, oft im Rahmen von Cyberkriegsführung.
Die Folgen
Die Folgen von DoS- und DDoS-Angriffen können verheerend sein. Unternehmen können durch den Ausfall ihrer Dienste erhebliche Umsatzeinbußen erleiden. Kundenvertrauen wird geschädigt, und es können Kosten für die Wiederherstellung der Dienste sowie für rechtliche Konsequenzen entstehen. In schwerwiegenden Fällen kann ein solcher Angriff die Existenz eines Unternehmens bedrohen.
Außerdem werden solche Angriffe oft als Ablenkungsmanöver genutzt, um in der Zwischenzeit andere, schwerwiegendere Cyberattacken durchzuführen, wie Datenklau oder das Einschleusen von Malware.
Welche Branchen sind betroffen?
Fast jede Branche kann von DoS- und DDoS-Angriffen betroffen sein, doch besonders gefährdet sind Sektoren, die stark von der Verfügbarkeit ihrer Online-Dienste abhängen. Dazu gehören E-Commerce-Unternehmen, Banken, Finanzdienstleister und Online-Gaming-Plattformen. Auch Anbieter von Cloud-Diensten und Telekommunikationsunternehmen sind häufige Ziele.
In zunehmendem Maße werden auch kritische Infrastrukturen wie Energieversorger, Gesundheitsdienste und öffentliche Verwaltungen angegriffen, was weitreichende gesellschaftliche und wirtschaftliche Auswirkungen haben kann.
Die verschiedenen Formen von DoS-Angriffen
Es gibt unterschiedliche Arten an DoS-Angriffen. Jede dieser Angriffstypen nutzt unterschiedliche Schwachstellen in der IT-Infrastruktur aus, um den Betrieb eines Dienstes zu stören.
Hier sind die vier Hauptkategorien:
Angriffe auf die Anwendungsebene
Angriffe auf die Anwendungsebene, auch bekannt als Layer-7-Angriffe, zielen auf die höchste Schicht des OSI-Modells, die Anwendungsschicht, ab. Diese Angriffe konzentrieren sich auf spezifische Webanwendungen und nutzen deren Schwächen aus, um die Serverressourcen zu erschöpfen und den Dienst unzugänglich zu machen.
- HTTP-Flooding: Ein häufiges Beispiel ist das HTTP-Flooding, bei dem eine große Anzahl scheinbar legitimer HTTP-Anfragen an den Webserver gesendet wird. Diese Anfragen imitieren normales Benutzerverhalten, etwa durch das Laden von Seiten oder das Abrufen von Informationen, was die Erkennung solcher Angriffe erschwert. Da die Anfragen auf Anwendungsebene oft komplexer sind als einfache Netzwerkpakete, benötigen sie mehr Rechenleistung zur Verarbeitung, was den Server überlasten kann. Weitere bekannte Angriffsmethoden auf dieser Ebene sind:
- Slowloris: Dabei wird eine HTTP-Verbindung geöffnet, aber nur sehr langsam abgeschlossen, sodass der Server Ressourcen für unvollständige Verbindungen reservieren muss.
- XML- oder JSON-Bomben: Diese Angriffe nutzen große oder rekursive Datenstrukturen in XML- oder JSON-Formaten, um die Verarbeitungskapazität des Servers zu überlasten.
Der Hauptunterschied zu einer anderen Denial of Service Attacke besteht darin, dass Angriffe auf die Anwendungsebene meist nicht durch reinen Datenverkehr, sondern durch die Ausnutzung der Funktionsweise spezifischer Anwendungen erfolgen. Dadurch sind sie schwieriger abzuwehren, da sie sich oft im legitimen Traffic verstecken und auf komplexeren Ebenen operieren, die nicht durch einfache Filtermethoden blockiert werden können.
Angriffe auf die Anwendungsebene sind besonders gefährlich für Webanwendungen, die mit öffentlichen Schnittstellen wie APIs oder Webseiten arbeiten, da diese oft rund um die Uhr verfügbar sein müssen und in der Regel umfangreiche Datenbankabfragen oder komplexe Berechnungen ausführen. Solche Denial of Service Angriffe können nicht nur den Dienst selbst lahmlegen, sondern auch sensible Daten gefährden, wenn sie mit anderen Arten von Cyberangriffen kombiniert werden.
Angriffe auf die Protokollebene
Angriffe auf die Protokollebene, auch als Layer-3- und 4-Angriffe bekannt, zielen auf Schwachstellen in den Netzwerkprotokollen ab, die für die Datenübertragung und Kommunikation zuständig sind. Diese Angriffe stören die grundlegenden Mechanismen, die für die Verbindungen zwischen Netzwerken und Geräten verantwortlich sind, indem sie die Protokolle überlasten oder ausnutzen.
- SYN-Flooding: Hierbei wird der TCP-Drei-Wege-Handshake, der normalerweise eine Verbindung zwischen einem Client und einem Server herstellt, manipuliert. Der Angreifer sendet eine Flut von SYN-Anfragen (Synchronize), die den Server veranlassen, auf Bestätigungen (ACK) zu warten, die nie eintreffen. Der Server hält dabei Ressourcen für diese unvollständigen Verbindungen bereit, was zu einer Überlastung führt. Da der Server weiterhin auf Antworten wartet, kann er keine neuen Verbindungen mehr verarbeiten, was zum Ausfall des Dienstes führt.
- ICMP-Flooding: Internet Control Message Protocol Angriffe überschwemmen das Ziel mit ICMP-Echo-Anfragen (“Ping”), die eine Antwort des Servers erfordern. Bei einer großen Anzahl solcher Anfragen wird der Server überlastet und kann legitime Anfragen nicht mehr verarbeiten.
- UDP-Flooding: User Datagram Protocol Flooding ist ein weiterer verbreiteter Angriff, bei dem eine große Anzahl von UDP-Paketen an zufällige Ports des Zielservers gesendet wird. Da UDP verbindungslos ist, muss der Server auf jedes Paket mit einer Fehlermeldung reagieren, was seine Ressourcen erschöpft.
Die Komplexität dieser Angriffe liegt darin, dass sie die grundlegenden Mechanismen des Internets ausnutzen, was sie schwer erkennbar und abwehrbar macht. Da sie auf Netzwerkebene agieren, können sie massive Netzwerkausfälle verursachen, die weit über das eigentliche Ziel hinaus Auswirkungen haben. Um diese Angriffe abzuwehren, sind oft spezialisierte Netzwerksicherheitslösungen erforderlich, die den Datenverkehr filtern und verdächtige Muster erkennen.
DNS-Verstärker-/Reflexionsangriffe
DNS-Verstärker- und Reflexionsangriffe sind spezielle Formen von DDoS-Angriffen, bei denen Angreifer die Funktionalität von offenen DNS-Servern ausnutzen, um die Bandbreite des Ziels zu überlasten. Der Angriff basiert auf zwei Mechanismen: Reflexion und Verstärkung.
- Reflexion: Der Angreifer sendet DNS-Anfragen mit einer gefälschten Absenderadresse, die die IP-Adresse des Opfers ist, an offene DNS-Server. Diese Server antworten auf die Anfragen und senden die Antworten an das Opfer statt an den Angreifer. Da die Antwortpakete meist größer sind als die Anfragepakete, entsteht ein “reflektierter” Angriff, bei dem der Traffic von den DNS-Servern zum Ziel zurückprallt.
- Verstärkung: Die Verstärkung tritt auf, weil die DNS-Antworten deutlich größer sind als die ursprünglichen Anfragen. Ein einfacher DNS-Request kann eine kleine Datenmenge enthalten, während die Antwort, insbesondere wenn sie viele Informationen wie eine Zone-Transfer-Datei enthält, erheblich größer sein kann. Dadurch wird die Wirkung des Angriffs verstärkt, und das Opfer wird mit einer sehr großen Datenmenge überschwemmt.
Dieser Angriff ist besonders gefährlich, da er eine enorme Bandbreite generieren kann, ohne dass der Angreifer selbst über große Ressourcen verfügen muss. Ein gut geplanter DNS-Verstärkungsangriff kann schnell zur Überlastung des Netzwerks führen und die Infrastruktur des Opfers lahmlegen. Die Abwehr solcher Angriffe erfordert spezifische Maßnahmen, wie z. B. das Filtern von DNS-Anfragen oder die Einschränkung der Antwortgrößen auf DNS-Servern.
Volumetrische Angriffe
Volumetrische Angriffe umfassen verschiedene DDoS-Angriffsmethoden, die darauf abzielen, die Bandbreite des Zielsystems oder Netzwerks durch massive Mengen an Datenverkehr zu überlasten. Einige der bereits erwähnten Angriffstypen, wie UDP-Flooding und ICMP-Flooding, sind Beispiele für volumetrische Angriffe, da sie das Ziel mit einer so großen Menge an Daten überfluten, dass die gesamte Netzwerkressource aufgebraucht wird.
Diese Angriffe basieren auf der Fähigkeit des Angreifers, riesige Mengen an Traffic zu generieren, oft durch ein Botnet, das Millionen von infizierten Geräten umfasst. Das Ziel ist es, die verfügbare Bandbreite so stark zu beanspruchen, dass legitimer Traffic nicht mehr durchkommt und das System unbrauchbar wird.
Volumetrische Angriffe können erhebliche Störungen verursachen, da sie nicht nur das Zielsystem betreffen, sondern auch die Netzwerke dazwischen, was zu weitreichenden Ausfällen führen kann. Die Verteidigung gegen solche Angriffe erfordert den Einsatz von Technologien wie Traffic-Filtrierung, Content Delivery Networks (CDNs) und DDoS-Mitigation-Services, die den schädlichen Datenverkehr erkennen und abwehren, bevor er das Ziel erreicht.
Jede dieser Angriffsmethoden nutzt spezifische Schwächen des Zielsystems aus und kann erheblichen Schaden anrichten, wenn keine geeigneten Abwehrmaßnahmen ergriffen werden.
Funktionsweise eines DDoS-Angriffs
Ein DDoS-Angriff nutzt die Kapazitäten vieler infizierter Geräte, um eine Zielinfrastruktur durch massiven Datenverkehr lahmzulegen. Dieser koordinierte Angriff führt zu einer Überlastung der Ressourcen, wodurch legitime Benutzer den Dienst nicht mehr erreichen können. In der Regel handeln dabei keine einzelnen Personen, deren Anfragen das Netz überlasten, sondern das sogenannte Botnet.
Aufbau eines Botnets
Ein Botnet ist ein Netzwerk aus mit Malware infizierten Geräten, die unter der Kontrolle eines Angreifers stehen. Diese Geräte, oft als “Bots” oder “Zombies” bezeichnet, werden ohne das Wissen der Besitzer ferngesteuert und für schädliche Aktivitäten wie DDoS-Angriffe genutzt. Botnets können aus Tausenden oder sogar Millionen von Geräten bestehen, darunter Computer, Smartphones, IoT-Geräte und mehr. Der Angreifer steuert das Botnet über zentrale Command-and-Control-Server (C&C-Server), die Anweisungen an die infizierten Geräte senden.
Starten eines Angriffs
Das Starten eines DDoS-Angriffs erfolgt, nachdem der Angreifer das Botnet erfolgreich aufgebaut hat. Der Angreifer sendet einen Befehl an die infizierten Geräte über die C&C-Server. Diese Geräte beginnen dann gleichzeitig, große Mengen an Datenverkehr oder Anfragen an das ausgewählte Ziel zu senden. Durch die gleichzeitige Aktivität der vielen Bots wird das Zielsystem schnell überlastet, da es die immense Menge an eingehendem Traffic nicht verarbeiten kann. Dies führt dazu, dass der Dienst für legitime Nutzer nicht mehr erreichbar ist.
DDoS-as-a-Service
DDoS-as-a-Service ist ein illegales Geschäftsmodell, bei dem kriminelle Akteure DDoS-Angriffe als Dienstleistung anbieten. Diese Dienstleistungen werden in den dunklen Bereichen des Internets, dem sogenannten Darknet, möglich. Kunden können gegen Bezahlung einen DDoS-Angriff auf ein Ziel ihrer Wahl ausführen lassen, ohne selbst technische Expertise zu besitzen. Die Preise variieren je nach Dauer und Intensität des Angriffs.
Diese Dienste machen es auch technisch weniger versierten Kriminellen leicht, verheerende Angriffe durchzuführen, was die Bedrohung durch DDoS-Angriffe erheblich erhöht.
Der Zweck von DDoS-Angriffen
DDoS-Angriffe können aus verschiedenen Motiven heraus durchgeführt werden. Während einige Angreifer finanzielle Gewinne anstreben, verfolgen andere politische Ziele oder handeln aus reiner Boshaftigkeit.
Die häufigsten Gründe für DDoS-Angriffe:
Hacktivismus
Hacktivisten nutzen DDoS-Angriffe als Protestform, um politische oder gesellschaftliche Botschaften zu verbreiten. Sie zielen oft auf Regierungswebsites, große Unternehmen oder Institutionen, die sie als ungerecht oder korrupt betrachten. Der Angriff dient dazu, Aufmerksamkeit auf ihre Anliegen zu lenken und den betroffenen Organisationen Schaden zuzufügen.
Cyberkrimineller Krieg
In geopolitischen Konflikten oder zwischen rivalisierenden Gruppen werden DDoS-Angriffe als Waffe eingesetzt, um den Gegner zu schwächen. Diese Angriffe können Teil größerer Cyberkriegsstrategien sein, bei denen Staaten oder Organisationen versuchen, die Infrastruktur des Gegners zu destabilisieren.
Unterhaltung
Einige Angreifer, oft junge Hacker, führen DDoS-Angriffe aus reiner Langeweile oder als “sportliche” Herausforderung durch. Sie sehen es als eine Art Spiel oder Wettbewerb, bei dem es darum geht, wer die stärkste Attacke ausführen kann. Solche Angriffe werden oft ohne spezifisches Ziel durchgeführt, können aber dennoch erheblichen Schaden anrichten.
Erpressung
DDoS-Angriffe werden häufig verwendet, um Unternehmen zu erpressen. Angreifer drohen, einen laufenden Angriff fortzusetzen oder einen neuen Angriff zu starten, wenn das Opfer kein Lösegeld zahlt. Diese Erpressungsmethode kann Unternehmen in eine schwierige Lage bringen, da sie abwägen müssen, ob sie zahlen oder sich den Konsequenzen stellen.
Schwächen der Konkurrenz
In der Geschäftswelt setzen einige Unternehmen oder kriminelle Gruppen DDoS-Angriffe ein, um ihre Konkurrenz auszuschalten oder zu schwächen. Indem sie die Online-Dienste eines Konkurrenten lahmlegen, versuchen sie, sich einen Wettbewerbsvorteil zu verschaffen. Diese Art von Angriff ist besonders in stark umkämpften Branchen wie dem E-Commerce oder dem Online-Gaming verbreitet.
Sich gegen DDoS-Angriffe verteidigen
Die Verteidigung gegen DDoS-Angriffe ist eine komplexe Aufgabe, die eine Kombination aus präventiven Maßnahmen, Echtzeitüberwachung und schnellen Reaktionsstrategien erfordert. Angesichts der vielfältigen Angriffsmethoden ist es entscheidend, die richtigen Technologien und Dienstleistungen einzusetzen, um den schädlichen Datenverkehr zu identifizieren und abzuwehren, bevor er den Zielserver überlastet.
DDoS-Schutzlösung Beispiel: Cloudflare
Cloudflare ist einer der führenden Anbieter von DDoS-Schutzlösungen und bietet ein umfassendes Portfolio an Diensten zur Abwehr von DDoS-Angriffen. Die Plattform nutzt ein global verteiltes Netzwerk von Servern, um eingehenden Traffic zu analysieren und schädliche Anfragen zu blockieren, bevor sie das Ziel erreichen. Cloudflare bietet zudem spezialisierte Lösungen für den Schutz vor Angriffen auf Anwendungsebene, Protokollebene und volumetrischen Angriffen.
Relevant ist zum Beispiel die Frage nach Cloud vs. Server: Es ist ein häufiges Missverständnis, dass Cloud-Infrastrukturen anfälliger für DDoS-Angriffe sind als eigene Server. Tatsächlich bieten Cloud-Lösungen oft einen besseren Schutz vor DDoS-Angriffen, da sie in der Regel über größere und skalierbare Ressourcen verfügen, um den hohen Traffic zu bewältigen. Cloud-Anbieter setzen spezielle DDoS-Abwehrmechanismen ein, die dynamisch auf den Angriffsverkehr reagieren können.
Fazit – Denial of Service Angriffe: Cybergefahr für Unternehmen & Regierungen
DoS- und DDoS-Angriffe stellen eine ernste Bedrohung für Unternehmen dar, da sie gezielt auf die Überlastung und Lahmlegung von Online-Diensten abzielen. Diese Angriffe können erhebliche finanzielle Schäden verursachen und das Vertrauen der Kunden erschüttern. Um sich effektiv zu schützen, ist es wichtig, die verschiedenen Arten von DDoS-Angriffen zu verstehen, einschließlich der Angriffe auf Anwendungsebene, Protokollebene und durch DNS-Verstärkung.
Spezialisierte Dienste wie Cloudflare bieten Schutzlösungen, die helfen, bösartigen Traffic zu filtern und die IT-Infrastruktur vor Ausfällen zu bewahren.
Foto von Mikhail Nilov: https://www.pexels.com/de-de/foto/mann-menschen-nacht-dunkel-6963098/