Was ist eine DDoS-Attacke - und wie schütze ich mich davor?
von Tina Siering
Was ist eine DDoS-Attacke?
Die Abkürzung DDoS steht für Distributed-Denial-of-Service, was auf Deutsch soviel wie „verteilter Dienstverweigerungsangriff“ bedeutet. Diese Form der Attacke hat also die Verweigerung eines Dienstes zum Ziel. Die grundlegende Idee hinter dieser Art von Angriff ist, dass jedes System an einem bestimmten Punkt seine Leistungskapazitätsgrenze erreicht. Im Gegensatz zu DoS-Attacken, Denial of Service-Angriffen, beteiligen sich bei einer DDoS-Attacke zahlreiche Systeme an dem Angriff. Das Ziel von DDoS-Attacken sind in den meisten Fällen Server, die über das Internet erreichbar sind, und einen bestimmten Dienst bereitstellen. Dies ist beispielsweise bei einem Web- oder FTP-Server der Fall.
Der Ablauf einer DDoS-Attacke
Eine DDoS-Attacke beginnt mit koordinierten Anfragen möglichst vieler Systeme. Der Ursprung sind häufig Bot-Netze, die unter der Kontrolle von Hackern stehen. Die Rechner in diesen Bot-Netzen sind in der Regel mithilfe von Malware gekapert und zentral gesteuert. So verfügen die Angreifer über ein verteiltes Netzwerk, das für den Angriff eingesetzt wird.
Über dieses Bot-Netz steuern die Hacker Anfragen auf ein bestimmtes Ziel. Dieses Ziel wird dadurch in kurzer Zeit mit einer Flut von Anfragen überhäuft. Die Hacker greifen hier auf unterschiedliche Methoden zurück. Entweder nutzen sie enorm große Datenpakete oder manipulierte Anfragen. Dies führt zu einer Belastung des Servers sowie der Verbindung. Steht nicht ausreichend Bandbreite zur Verfügung, sinkt die Verbindungsqualität. Mit Folgen für das lokale Netzwerk des Opfers sowie reguläre Nutzer, die versuchen, auf die Dienste zuzugreifen. Gleichzeitig gelangt auch der Server an die Grenzen seiner Belastbarkeit. Durch die hohe Anzahl an Anfragen sind Prozessor, Arbeitsspeicher und Datenbanken überlastet. Dem Server gehen schlichtweg die Ressourcen aus. Dies führt dazu, dass der Server neue Verbindungsanfragen ablehnt, die Geschwindigkeit massiv einbricht und schlussendlich der gesamte Service zusammenbricht. Damit haben die Angreifer ihr Ziel erreicht.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Warum sind DDoS-Attacken so gefährlich?
DDoS-Attacken gelten aus zwei Gründen als besonders gefährlich. Zum einen nutzen DDoS-Attacken ganz reguläre Aktionen, die alltäglich im Internetdatenverkehr sind. Dazu gehören beispielsweise Anfragen für den Aufbau einer Verbindung. Die Server sind sogar spezifisch dafür ausgelegt, mit diesen Anfragen umzugehen. Das macht einige Formen von DDoS-Attacken besonders hinterlistig.
Zum anderen ist die Abwehr erschwert, da der Angriff von enorm vielen Punkten ausgeht. Es steht nicht eine einzige IP-Adresse hinter der Attacke, sondern hunderte, tausende oder gar noch mehr einzelne Rechner. Diese stammen aus unterschiedlichsten Bereichen der Welt und weisen dementsprechend verschiedene IP-Adressen auf. Der Bann einer einzelnen IP-Adresse stoppt somit die Attacke nicht. Auch Bandbreiten von IP-Adressen lassen sich nicht sperren, denn dann erfolgt der Ausschluss zahlreicher normaler Nutzer, die in diesen Bereichen liegen.
In den letzten Jahren haben Hacker dazu immer mehr Möglichkeiten zum einfachen Aufbau von Bot-Netzwerken erhalten. Für DDoS-Attacken benötigen die Angreifer möglichst viele Rechner. Diese unter die eigene Kontrolle zu bringen, war immer eine Herausforderung. Außerdem haben die Eigentümer der Rechner immer wieder die Infizierungen mit Malware entdeckt und beseitigt. Inzwischen ist die Anzahl an Systemen im weltweiten Internet durch die Verbreitung von IoT jedoch explodiert. Kleine Geräte haben eine permanente Verbindung zum Internet, da sie auf diesem Weg Daten austauschen.
IoT-Systeme sind jedoch besonders anfällig, da für Sicherheitslücken häufig keine Patches zur Verfügung stehen. Zudem kontrolliert häufig keiner aktiv die Systeme, sodass eine Kompromittierung nicht auffällt. Das gibt den Hackern mehr Möglichkeiten zum Aufbau eigener Bot-Netze, die dann für DDoS-Angriffe zur Verfügung stehen.
Es ist außerdem nicht so einfach, eine DDoS-Attacke zu beenden. Ein Neustart des Servers, der von einem DDoS-Angriff betroffen ist, führt zunächst dazu, dass dieser wieder erreichbar ist. Solange die Angreifer jedoch das Bot-Netz weiter auf das Ziel ansetzen, erfolgt sofort wieder eine enorme Belastung, die unweigerlich zum erneuten Zusammenbruch führt.
Welche Schutzmaßnahmen gibt es vor einer DDoS-Attacke?
Zunächst gilt, dass die beste Abwehrtechnik gegen einen DDoS-Angriff die Prävention ist. Eine DDoS-Attacke kann jederzeit stattfinden, es gibt dafür keinerlei Anzeichen, denn sie kommt von außerhalb. Wer also einen Schutz von solchen Cyberbedrohungen aufbauen will, kommt um präventive Maßnahmen nicht herum. Im Folgenden eine Liste von Maßnahmen, mit denen sich Unternehmen auf die Bedrohungen durch DDoS-Angriffe vorbereiten und die Auswirkungen reduzieren.
1: Konfiguration der Firewall
Der richtige Einsatz der Firewall ist eine der wichtigsten Abwehrmaßnahmen gegen DDoS-Attacken. Grundsätzlich ist die Firewall ein passives Werkzeug und gegenüber dieser Form von Angriffen wenig hilfreich. Jedoch gibt es Softwarelösungen, die die Steuerung der Firewall übernehmen. Diese Art von Firewall nutzt Sperrlisten, um IPs zu bannen, von denen unerwünschte oder schädliche Anfragen stammen. Diese Sperrlisten lassen sich dynamisch erzeugen. Die Software überwacht die eingehenden Anfragen und identifiziert direkt Anfragen, die darauf abzielen, das Netzwerk zu überlasten. Dann reagiert die Firewall darauf, limitiert den Traffic von diesen IPs oder sperrt die Zugriffe vollständig. Das entlastet das Netzwerk und schützt es vor einer Überlastung.
2: Ein Content Delivery Network nutzen
Es ist möglich, einen Dienstleister mit einem Content Delivery Network (CDN) für die eigenen Webservices zu nutzen. Diese CDN-Dienstleister verteilen die Inhalte über das eigene Netzwerk. Dieses besteht aus einer enormen Anzahl von Servern, die teilweise über die ganze Welt verteilt sind. Somit ist ein DDoS-Angriff auf einen einzelnen Server wirkungslos, da die anderen Server des CDN-Anbieters den Dienst auffangen. Zusätzlich verfügen diese Dienstleister über eigene Schutztechniken von DDoS-Attacken und unterbinden Angriffe. Auf die gleiche Art und Weise bieten diese und ähnliche Dienstleister verteilte DNS-Dienste an. Damit lassen sich DDoS-Angriffe auf DNS-Dienste unterbinden. Solche Maßnahmen schützen jedoch nicht das eigene Unternehmensnetzwerk, wenn dieses über das Internet erreichbar ist, sondern sind primär für Webseiten konzipiert.
3: Die Services auf verschiedene Hosts und IPs verteilen
Eine sinnvolle Maßnahme ist es, die eigenen Services auf mehrere Hosts zu verteilen. Dies gilt für alle webbasierten Anwendungen, die eine Verbindung zum öffentlichen Internet benötigen, beziehungsweise auf diesem Weg erreichbar sind. Ist jeder Service auf einem eigenen Host und einer eigenen IP aufgesetzt, ist es für an Angreifer schwerer, alle Services zu treffen. Zudem ist es möglich, im Notfall einzelne Services vom Internet zu trennen beziehungsweise abzuschalten, wenn die sonstigen Verteidigungsmaßnahmen scheitern. Dann sind zwar einzelne Dienste betroffen, die restlichen Anwendungen sowie das Netzwerk bleiben jedoch erreichbar. Dies lässt sich auch sehr einfach mit virtuellen Servern, Containern und ähnlichen Techniken in der Praxis umsetzen.
4: Intrusion Prevention Systeme und aktive Angriffsabwehr einsetzen
Der erste Schritt, um einen aktiven DDoS-Angriff zu unterbinden, ist, diesen zu erkennen. Hierfür stehen Lösungen bereit, die solche Attacken in Echtzeit identifizieren und den Verantwortlichen melden. Beginnt ein DDoS-Angriff beispielsweise außerhalb der Geschäftszeiten, dauert es unter Umständen Stunden, bis jemand die Attacke identifiziert. In dieser Zeit sind Systeme beeinträchtigt, die Erreichbarkeit der Webseite unterbrochen oder die DDoS-Attacke dient zur Vorbereitung eines anderen Cyberangriffs.
Aus diesen Gründen ist es wichtig, möglichst schnell auf beginnende Angriffsaktivitäten zu reagieren. Intrusion Prevention Systeme (IPS) oder Intrusion Detection Systeme (IDS) sowie ein Active Cyber Defense (ACD) Service sind die richtigen Werkzeuge für die Umsetzung solcher Konzepte. Dienstleister aus dem Bereich der IT Security stellen diese Lösungen bereit. IDS und ACD überwachen den Netzwerkverkehr und identifizieren schädliche Aktionen. Verdächtige Aktivitäten lösen dann eine Alarmmeldung aus und ermöglichen eine Reaktion.
5: Filter-Services in Anspruch nehmen
Spezielle Dienstleister bieten Filter-Services für den Datenverkehr an. Hierbei wird der Internetverkehr, der normal direkt auf die eigenen Server fließt, zunächst über ein VPN über diesen Dienstleister gelenkt. Alle eingehenden Anfragen laufen somit über diese sogenannten Scrubbing Center. Die Dienstleister haben spezielle Schutzmechanismen implementiert, um DDoS-Attacken zu erkennen. Somit filtern die Dienstleister solche Pakete und Anfragen aus, bevor sie überhaupt das eigene Netzwerk erreichen.
6: Loadbalancing und dynamische Bandbreite
Wer seine Webserver und andere Teile der IT-Infrastruktur auslagert, hat die Möglichkeit, auf die Skalierbarkeit Einfluss zu nehmen. Loadbalancing gehört bei vielen Cloud-Dienstleistungen und Web-Services zu den Leistungen dazu. Wer Bare-Metal-Server einsetzt, muss sich um das Loadbalancing selbst kümmern. Das Loadbalancing ist eine Technik, die innerhalb von Bruchteilen von Sekunden auf ansteigende Lasten reagiert. Dies wird durch die Bereitstellung zusätzlicher Ressourcen erreicht. Die Lastverteilung funktioniert natürlich nur in dem Rahmen, in dem Ressourcen zur Verfügung stehen. Virtuelle Server auf Clustern sind theoretisch fast grenzenlos skalierbar. Auf ähnliche Art und Weise ist eine dynamische Erhöhung der Bandbreite realisierbar.
Das Loadbalancing unterbindet zwar nicht die DDoS-Attacke an sich, verhindert jedoch, dass ein solcher Angriff die eigenen Services direkt blockiert. Somit gewinnt die IT Security Zeit, um sich um den Cyberangriff zu kümmern. Besonders gegenüber kleineren DDoS-Attacken ist das Loadbalancing eine wirksame Methode, um die Pläne der Angreifer zu durchkreuzen.
Fazit zum Thema DDos-Attacken
Die IT-Sicherheitsstrategie jedes Unternehmens muss auf alle Situationen vorbereitet sein. Dazu gehören auch DDoS-Attacken. Nicht immer geht von diesen Angriffen eine direkte Gefahr für die Daten aus, dennoch sind DDoS-Attacken eine ernstzunehmende Bedrohung. Dies liegt vor allem daran, dass Unternehmen durch den hohen Grad der Digitalisierung von den eigenen IT-Systemen abhängig sind. Der Ausfall des gesamten Netzwerks und aller digitalen Dienste für Stunden oder gar Tage sorgt somit für enorme Schäden. Wie bei vielen anderen Cyberbedrohungen gilt auch für die DDoS-Attacken, dass Prävention die beste Verteidigung ist. Eine direkte Reaktion auf eine aktive DDoS-Attacke ist im Prinzip nicht möglich. Deshalb ist es wichtig, dass Unternehmen in die Prävention und Angriffsfrüherkennung investieren und so größere Schäden durch Ausfälle in der IT verhindern.