Das Wort DDoS ist in der heutigen Zeit jedem Webseitenbetreiber geläufig, auch wenn man dessen Bedeutung noch nicht am eigenen Leib erfahren hat. Wir leben in einem Zeitalter, in welchem das Leben online stattfindet. Der Umsatz von lokalen Shops liegt längst unter dem eines Online-Shops. Man stelle sich nun vor, ein solcher gewinnträchtiger Online-Shop muss seine Türen aufgrund eines Problems nun vorübergehend schliessen. Tut man nicht alles, um den Umsatzeinbruch so gering wie nur möglich zu halten?
Unterschiedliche Arten von Angriffen
Unternehmen treffen mittlerweile schon viele Vorkehrungen, damit ihre Seiten im Falle eines Angriffs erreichbar bleiben. Doch selbst die dunklere Szene des Internets ist mittlerweile dahinter gekommen, das Erpressungen und Drohungen funktionieren. Mit diesem Wissen werden Erpresser-E-Mails im Stil eines Newsletters an die Webseiten-Eigentümer versandt. Oftmals handelt es sich dabei auch nur um leere Drohungen, welche nach dem Motto «irgendwer wird schon bezahlen» erstellt und verschickt werden. Dieses Bild offenbart sich uns bei nine immer wieder mal.
Aber es kann auch alles ganz anders kommen. Eine Attacke aus dem Nichts, ohne eine Drohung oder eine Vorinformation und schon ist ein Webshop knapp eine Stunde für seine Kunden nicht erreichbar. Auch über den ganzen Tag verteilt zeichnen sich Umsatzeinbrüche ab, denn nach der Attacke weichen Kunden auf Alternativen aus. Kurz vor Geschäftsschluss erreicht den Webseiten-Eigentümer eine E-Mail, in dem - in schlechtem Englisch - eine hohe Summe als „Schutzgeld“ vom Unternehmen gefordert wird. Einer solchen Erpressung Folge zu leisten ist selten eine gute Idee, denn der Angreifer wird sich daran erinnern. Entsprechend wurde die geforderte Summe nicht bezahlt und ein weiterer Angriff über mehrere Tage folgte.
Wie funktioniert DDoS?
Eine Distributed Denial of Service (DDoS) Attacke ist grundsätzlich und vom Namen abzuleiten eine Attacke, die von verteilten Angreifern erfolgt und dazu beitragen soll, die Erreichbarkeit eines Services einzuschränken. Die Art und Weise einer solchen Attacke ist dabei nicht Teil der Definition. Oftmals werden Anfragen gestellt, welche die Bandbreite übersteigen. Das bedeutet, dass diese Anfragen grösser sind, als die Internetanbindung selbst. Wir unterscheiden bei der Angriffsart jeweils zwischen «Amplification», «SMURF» und «Botnet».
Amplification
Bei einer Amplification wird eine Anfrage mit der Absenderadresse des Opfers an einen beliebigen Service im Internet gesendet. Ziel dabei ist, dass dieser beliebige Service seine Antwort an das Opfer schickt. Um daraus einen wirkungsvollen Angriff zu machen, werden möglichst grosse Datensätze abgefragt. Mit dieser Methode braucht der Angreifer selbst wenig Bandbreite, jedoch trägt das Opfer durch die Antwort, welche um ein Vielfaches grösser ist, Schaden davon.
SMURF
Die SMURF-Methode, für die gerne mal ein Schlumpf als Symbol herhalten muss, ist eine der älteren Vorgehensweisen und funktioniert aufgrund heutiger Sicherheitsmassnahmen nicht mehr sehr gut. Ein Angreifer bringt erst sogenannte Broadcastadressen in Erfahrung, welche sämtliche Anfragen an ein ganzes Netzwerk weiterleiten. Nun wird eine Anfrage an diesen zentralen „Verteiler“ gesendet. Als Absender gibt der Angreifer - wie bei Amplification - die Adresse des Opfers an. Resultierend daraus sendet der Angreifer eine Anfrage, welche dann durch die Anzahl der Netzwerkgeräte vervielfacht wird und deren Antwort somit noch um einiges grösser und schädlicher ausfällt.
Botnet
Die modernste Methode und aktuell „der letzte Schrei“ unter Angreifern für DDoS-Attacken, ist die Verwendung eines Botnets. Dieses Botnet kann normale Benutzerzugriffe simulieren, sodass es beinahe unmöglich ist, einen Angreifer von einem normalen Kunden zu unterscheiden. Ein Botnet besteht jeweils aus einer unüberschaubaren Anzahl Rechner, welche mit einem Virus oder Trojaner infiziert wurden und unter der Kontrolle von Hackern stehen.
Abwehr / Schutz
Abhängig von der Grösse und der Art einer DDoS-Attacke kann ein Provider versuchen, den „bösartigen“ Traffic nicht an den Zielserver weiterzuleiten. In der Regel sind die Angriffe allerdings viel zu gross, um „einfach“ abgewehrt werden zu können. Hier lohnt sich der Einsatz von sogenannten Content Delivery Networks (CDN) mit Filterfunktionen. Ein CDN wird vor die eigentliche IT-Architektur geschaltet und verfügt über eine immense Bandbreite. Durch die globale Verfügbarkeit verlässt der angreifende Traffic meist nicht einmal das Land. Neben komplexen Filtern und Firewalls verfügen CDNs meist auch über die Möglichkeit, Inhalte zwischen zu speichern, sodass Traffic - welcher die Filter dennoch durchdrungen hat - am Erreichen des eigentlichen Webservers hindert.
Sind Sie interessiert an weiteren Beiträgen zu Themen wie DDos Protection, Disaster Recovery oder Sicherheit für Ihre IT-Architektur? Auf unserem Blog liefern wir Ihnen regelmässige News, Hintergrundberichte und Empfehlungen zu den Themen, die Sie bewegen.
Melden Sie sich jetzt kostenlos für unseren Blog an und erhalten Sie die neusten Blog Posts direkt per E-Mail in Ihren Posteingang.
