Alle paar Monate tauchen Berichte über DDoS-Angriffe in den Nachrichten auf. Server stürzen ab, Websites fallen aus, und Unternehmen können Millionen von Dollar verlieren, während ihre Dienste unterbrochen werden. Service Provider von Netflix und Reddit bis hin zu Stromversorgern und vielen anderen haben solche Angriffe erlebt.
Wie werden Distributed Denial-of-Service (DDoS)-Angriffe ausgeführt?
Einfach ausgedrückt führt ein Distributed Denial-of-Service (DDoS)-Angriff dazu, dass ein Webservice nicht mehr verfügbar ist. Er funktioniert nach dem Prinzip der Überlastung der Fähigkeit einer Website, mehrere Anfragen gleichzeitig zu bearbeiten. Diese Überlastung bedeutet, dass legitimen Besuchern/Benutzern der Zugriff verweigert wird.
DDoS-Angriffe werden in der Regel über ein Netzwerk von Bots, den sogenannten Botnets, ausgeführt. Ein Bot ist einfach ein Skript oder Softwareprogramm, das dazu dient, sich wiederholende Aufgaben zu erledigen. Webcrawler und Suchmaschinen sind beispielsweise Bots. Im Falle einer DDoS-Attacke besteht die sich wiederholende Aufgabe darin, eine Anfrage an einen Webserver zu stellen, und zwar immer und immer wieder.
Ein Computer, Server oder IoT-Gerät kann zu einem Bot werden, wenn der Benutzer versehentlich Malware von einem böswilligen Akteur herunterlädt. Dieser Bot stellt dann eine Verbindung zu den Command-and-Control-Servern her, die über Anweisungen zum Starten eines Angriffs verfügen. Sobald sich die Malware ausreichend verbreitet und eine Armee von Bots erstellt hat, ist das Botnet bereit, für böswillige Zwecke eingesetzt zu werden. Das Ziel ist in der Regel ein DDoS-Angriff oder das Stehlen von Daten, das Versenden von Spam oder das Einfordern von Lösegeldern.
Verschiedene Typen von Endgeräten können für einen Angriff in einen Bot verwandelt werden: Computer, Server, sogar IoT-Geräte. Im Jahr 2016 zum Beispiel wurde der Domain Name Service (DNS) Dyn von einem Botnet massiv von einem DDoS-Angriff heimgesucht. Das Mirai-Botnet nutzte Sicherheitslücken in 30.000 WiFi-Kameras aus, die Hackern den Zugang zu den WiFi-Routern der Benutzer ermöglichten und ein massives Botnetz schufen. Dieser Angriff hatte Auswirkungen auf tausende andere Websites, die die Dyn-Dienste nutzen.
Unterschiedliche Angriffsarten
Es gibt drei verschiedene Arten von DDoS-Angriffen. Die häufigste sind volumetrische Angriffe, die etwa zwei Drittel der DDoS-Angriffe ausmachen. Bei den volumetrischen Angriffen werden über ein Botnet Anfragen an die Server auf einmal gestellt, wodurch deren Bandbreitenkapazität überlastet wird. Dies verhindert, dass echter Verkehr durchkommt. Eine häufige Art von volumetrischen Angriffen ist ein User Data Protocol (UDP)-Flood-Angriff. Wie der Name schon sagt, wird bei diesem Angriff eine Flut von UDP-Paketen verschickt, auf die der Server dann vergeblich versucht zu antworten.
Protokoll-Angriffe sind die zweithäufigste Art von DDoS-Angriffen und machen etwa 20% der Fälle aus. Diese Angriffe zielen auf Schwachstellen in der Netzwerkschicht (Layer 3) oder der Transportschicht (Layer 4). SYN-Floods, eine Art von Protokollangriff, senden eine große Anzahl von Anfragen mit gefälschten Quell-IP-Adressen an das Ziel. Die Identität des Absenders wird durch die Verkörperung einer anderen Adresse verschleiert. Diese Art des Angriffs nutzt das Handshake-Verfahren des Transmission Control Protocol (TCP) aus. Dabei handelt es sich um einen dreistufigen Prozess, bei dem ein Client Informationen mit einem Server austauscht, um eine Verbindung zum Senden und Empfangen von Daten herzustellen. Bei einem SYN-Flood-Angriff bedeutet die Menge dieser Anfragen, dass das Ziel nicht auf alle Anfragen antworten kann, wodurch seine Ressourcen erschöpft werden.
Angriffe auf der Anwendungsebene (Layer 7) machen etwa 15% der DDoS-Angriffe aus. Auf der Anwendungsschicht werden Anfragen an einen Webserver gestellt, um z.B. eine bestimmte Seite und deren Ressourcen zu laden. Das Botnet überlastet diesen Server mit Anfragen und veranlasst ihn, mehrere Anfragen zu stellen, um bestimmte Assets wie Dateien oder Datenbankabfragen zu laden. Dies wäre vergleichbar mit der Arbeit in einem Sandwich-Shop und der plötzlichen Aufforderung, 63 Fuß lange Subs zu erstellen.
Weitreichende Auswirkungen von DDoS-Attacken
Die geschäftlichen Auswirkungen eines DDoS können enorm sein. Längere Unterbrechungen einer E-Commerce-Website können zu Umsatzeinbußen in Millionenhöhe führen, ganz zu schweigen von der Reputationsschädigung durch einen Serviceausfall. Kunden ärgern sich und kündigen Ihren Service, sogar rechtliche Probleme können aus Service-Unterbrechungen resultieren.
Schlimmer noch: DDoS-Angriffe sind relativ billig durchzuführen. Für nur 5 Dollar pro Stunde können Sie einen Botnet-Service für 24 Stunden anheuern, um ein Ziel anzugreifen. Solche Dienste werben oft unter dem Vorwand, dass sie “Stress”-Dienste für Leute anbieten, die ihre Server einem Stresstest unterziehen wollen.
Nur ein bisschen Prävention gegen DDoS-Angriffe ist eine Menge wert
Was kann man in Anbetracht der Gefahr und der Folgen von DDoS-Angriffen tun, um sie zu verhindern? Es gibt Präventivmaßnahmen sowohl intern als auch mit Hilfe von Dritten.
Das Software Engineering Institute der Carnegie Mellon University gibt einige praktische Tipps für die IT-Architektur. Schritte wie das Auffinden von Servern in verschiedenen Rechenzentren oder die Beseitigung von Engpässen und Single Points of Failure reduzieren die Wahrscheinlichkeit, durch einen DDoS-Angriff offline zu gehen. Firewalls und Load Balancer können ebenfalls vor Angriffen auf das Layer 4 (Transport Layer) Protokoll schützen.
Es gibt auch eine Reihe von externen Diensten, die DDoS-Schutz bieten. Amazon bietet allen AWS-Kunden ohne Aufpreis einen DDoS-Schutz an, der ausreichen sollte, um die meisten Angreifer abzuschrecken. Für schwerwiegendere Angriffe gibt es dann höhere Stufen, die allerdings mit zusätzlichen Kosten verbunden sind.
Für Organisationen, die sich auf die Menschenrechte konzentrieren, aber nicht über die Budgets großer Technologieunternehmen verfügen, bietet Project Shield Schutz. Von Jigsaw gebaut und im Besitz der Google-Muttergesellschaft Alphabet, schützt es die Webdienste von Wahlbeobachtungsdiensten und Menschenrechtsorganisationen.
Schließlich arbeiten Ingenieure an neuen Möglichkeiten, DDoS-Angriffe zu stoppen. Eine dieser Methoden ist das kürzlich an Amazon erteilte Patent, das die zugrunde liegenden Konzepte der Bitcoin-Blockkette nutzt, um Dienste vor DDoS-Angriffen zu schützen. Bei diesem System müsste eine Anfrage an den Webserver des Ziels ein kryptografisches Puzzle ausfüllen. Dieses Konzept wird als Proof-of-Work bezeichnet. Ein einzelner Computer, der diese Anfrage stellt, wäre durch diese Anforderung nicht wesentlich belastet. Ein koordinierter Botnet-Angriff würde jedoch hohe Kosten in Form von Rechenleistung zur Vervollständigung dieser Rätsel mit sich bringen. Das schreckt Angreifer ab.
Fazit
DDoS-Angriffe haben sich als effektive Möglichkeit erwiesen, um Webdienste zu stören. Trotz der Fortschritte bei den Techniken zur Schadensbegrenzung und Prävention werden DDoS-Angriffe eine ständige Bedrohung für große und kleine Unternehmen bleiben. Ein guter Ausgangspunkt, um sich zu schützen, ist die eigene Einstellung zum Datenschutz und zur Sicherheit, die mit verschlüsselten E-Mails beginnt und sich an Best Practices im Bereich Online-Sicherheit/Privatsphäre orientiert. Dadurch verringert sich die Chance, dass Ihre Endgeräte zu einem Bot werden, der zu DDOS-Angriffen beiträgt.
Als eine der sichersten und vertraulichsten E-Mail-Dienste nehmen wir die Sicherheit unserer Infrastruktur sehr wichtig und bemühen uns, die Sicherheit unseres Dienstes in jeder Hinsicht zu verbessern. Wir freuen uns auf Ihr Feedback/Ihre Kommentare