Ddos Attacke

DDoS-Angriffe und Methoden zur Schadensbegrenzung

Die Abkürzung DDoS steht für Distributed Denial of Service. Ein DDoS Angriff ist ein bösartiger Angriff, um einen Internetservice für Benutzer unerreichbar zu machen. Im Gegensatz zu einem DoS-Angriff (Denial of Service), bei dem ein einziges mit dem Netz verbundene Endgerät (eine einzige Netzwerkverbindung) dazu benutzt wird, die Ziel-Adresse mit einem Datenpaket zu überschwemmen, wird ein DDoS-Angriff von mehreren befallenen Endgeräten durchgeführt, die oft auf der ganzen Welt verteilt sind - in einem so genannten Botnet....

"Die DDoS Attacke lässt sich ungefähr in drei Gruppen einteilen: Hierzu zählen UDP-Floors, ICMP-Floors und andere Angreifer mit großen Datenmengen. Bei den Angriffen wird die Angriffsbandbreite der attackierten Webseite ausgeschöpft und die Angriffsgröße in Bit pro Sek. angegeben. Hierzu zählen SYN-Böden, Angriffen mit zersplitterten Datenpaketen, "Ping of Death", Smurf-DDoS und andere.

Dieser Angriffstyp beansprucht die Resourcen des Server selbst oder von intermediären Kommunikationsgeräten wie z. B. Firewall und Loadbalancer und wird in Päckchen pro Sek. ausgelesen. Diese beinhalten Low & Slow Attacks, GET/POST Floods, Angriffen auf Apache, Windows oder OpenBSD Verwundbarkeiten, etc. Bei diesen Angriffen handelt es sich um vermeintlich legitime und harmlose Requests, die darauf abzielen, den Web-Server zum Absturz zu bringen.

Der Umfang dieser Angriffe wird in Requests pro Sekunden angegeben. Spezielle und besonders häufige und gefährliche DDoS-Angriffe umfassen:: Dieser DDoS Angriff verwendet das User Datagram Protocol (UDP), ein Netzwerk-Protokoll ohne Session. Dieser Angriffstyp überflutet willkürlich gewählte Anschlüsse auf einem entfernten Rechner mit einer großen Anzahl von UDP-Paketen, so dass der Rechner weiter nach einer Applikation Ausschau hält, die auf diesem Anschluss lauscht und (wenn er keine Applikation findet) mit einem ICMP-Paket "Target not reachable" anspricht.

Der Prozess verbraucht die Resourcen des Rechners und kann letztlich dazu fÃ?hren, dass er unzugÃ?nglich wird. Dieser Angriff ist im Grunde ähnlich wie der UDP-Flutangriff. Die Ziele werden von einer ICMP-Flut mit ICMP-Echo (Ping)-Anforderungspaketen überflutet und in der Regel so rasch wie möglich gesendet, ohne auf eine Antwort zu warten. in der Regel.

Dieser Angriffstyp kann sowohl Outbound- als auch Inbound-Bandbreite beanspruchen, da die Opfer oft versucht haben, mit ICMP-Echo-Response-Paketen zu reagieren, was zu einem erheblichen Rückgang der Gesamtleistung des Computers führt. Ein DDoS Angriff durch eine SYN-Flut benutzt eine erkannte Verwundbarkeit beim Verbindungsaufbau (der "triple handshake"), bei dem eine SYN-Anfrage bezüglich des Aufbaus einer TCP-Verbindung zu einem Rechner mit einer SYN-ACK Antwort von diesem Rechner zu beantworten und dann vom Antragsteller mit einer ACK-Antwort zu bestätigen ist.

Beim SYN-Flood sendet der Requester viele SYN-Requests, antwortet aber entweder nicht auf die SYN-ACK Antwort des Rechners oder sendet die SYN-Requests von einer veränderten IPAdresse. Das Hostsystem erwartet in beiden FÃ?llen eine RÃ?ckmeldung zu den Aufforderungen. Dadurch werden so lange Resourcen gebunden, bis keine weiteren Anbindungen mehr möglich sind und Services irgendwann abstürzen.

Ein Ping of Death ("POD") Angriff basiert darauf, dass ein Hacker mehrere defekte oder schädliche Patches an einen Rechner sendete. Slowloris schafft dies, indem es so lange wie möglich die Verbindung zum Ziel-Webserver offen hält. Dazu verbindet man sich mit dem Ziel-Server, schickt aber nur unvollständige Requests. Langsam wird immer ein neuer HTTP-Header gesendet, aber keiner der Requests wird abgeschlossen.

Alle diese Fehlverbindungen werden vom Zielserver offen gehalten. Auf diese Weise wird das Potenzial für maximale gleichzeitige Verbindung ausgeschöpft und weitere Anschlüsse von rechtmäßigen Kunden unterdrückt. Im Falle einer NTP-Verstärkung beträgt das Seitenverhältnis zwischen Anforderungen und Reaktionen zwischen 1:20 und 1:200 oder mehr. Zum Beispiel mit Tools wie Metasploit oder Dateien aus dem Offenen NTP-Projekt), kann leicht eine destruktive DDoS-Attacke mit großer Breite und großem Datenvolumen erzeugt werden.

In einem DDoS Angriff vom Typ HTTP Flood benutzen Angriffe offenbar rechtmäßige HTTP GET oder POST Anfragen, um einen Web-Server oder eine Web-Anwendung anzugreifen. HTTP-Floors benutzen keine defekten Datenpakete, Manipulations- oder Mirroring-Techniken und erfordern weniger Bandbreiten als andere Arten von Angriffen, um die Ziel-Website oder den Server zum Einsturz zu bringen. Auf diese Weise wird die Geschwindigkeit erhöht. DDoS-Angriffe werden rasch zur dominierenden Angriffsart.

Laut aktueller Marktforschungsanalyse haben sowohl ihre Anzahl als auch ihr Umfang im vergangenen Jahr stark zugelegt. Der Entwicklungsschwerpunkt liegt auf einer verkürzten Angriffszeit und einer höheren Anzahl von Angriffen in Form von Packets/s. Darüber hinaus hat auch die Anzahl der Anschläge insgesamt zugelegt. Eine Untersuchung ergab im vierten Vierteljahr 2011 45% mehr DDoS-Attacken im Vorjahresvergleich und mehr als das Doppelte im dritten Vierteljahr 2011 Die mittlere Reichweite der in diesem Zeitabschnitt zu beobachtenden Anschläge lag bei 5,2 Gbit/s - 148% mehr als im Vorquartal.

In einer weiteren Untersuchung zu DDoS-Angriffen wurde herausgefunden, dass mehr als 40% der Befragten im Jahr 2013 einem Angriff mit einer höheren Geschwindigkeit als 1 Gbps und 13% einem Angriff mit mehr als 10 Gbps ausgeliefert waren. Zu den Motiven der Täter haben neuere Untersuchungen ergeben, dass weltanschaulich begründete DDoS-Angriffe zunehmen.

Als weitere häufige Ursache für solche Anschläge nannte die Untersuchung auch wirtschaftliche Ursachen (z.B. Wettbewerb). Auf diese Weise gelangt nur der gefilterte Verkehr zu Ihren Wirten.