DDoS Attacken

Definition: DDoS-(Distributed Denial of Service-)Attacke

DDoS steht für „Distributed Denial of Service“. Eine DDoS Attacke ist ein böswilliger Versuch, einen Internetdienst für Nutzer unzugänglich zu machen. In der Regel geschieht dies dadurch, dass die Dienste des entsprechenden Hostservers vorübergehend unterbrochen oder ausgesetzt werden.

DDoS Hits Per Second

Anders als eine DoS-(Denial of Service-)Attacke, bei der ein einzelnes, mit dem Internet verbundenes Gerät (eine einzelne Netzwerkverbindung) verwendet wird, um die Zieladresse mit Datenpaketen zu überfluten, wird eine DDoS Attacke von verschiedenen infizierten Geräten aus gestartet, die oft weltweit verstreut sind – in einem sogenannten Botnetz..

“Und damit ist unsere DDoS-Party komplett: Escapist Magazine, Eve Online, Minecraft, League of Legends + 8 Telefonanfragen.“

Tweet von LulzSec, 14. Juni 2011, 11:07 Uhr

DDoS Attacken können grob in drei Kategorien eingeteilt werden:

Attacken durch große Datenmengen

Dazu gehören UDP-Floods, ICMP-Floods und andere Angriffe mit großen Mengen manipulierter Datenpakete. Das Ziel der Angriffe ist es, die Bandbreite der angegriffenen Website zu erschöpfen, und die Größe des Angriffs wird in bps (Bits pro Sekunde) gemessen.

Protokoll-Angriffe

Dazu gehören SYN-Floods, Angriffe mit fragmentierten Paketen, „Ping of Death“, Smurf-DDoS und andere. Diese Art der Attacke verbraucht die Ressourcen des Servers selbst oder von zwischengeschalteten Kommunikationseinrichtungen wie Firewalls und Lastverteilern und wird in Paketen pro Sekunde gemessen.

Attacken über die Anwendungsschicht

Dazu zählen Low&Slow-Angriffe, GET/POST-Floods sowie Attacken auf Schwachstellen bei Apache, Windows oder OpenBSD usw. Diese Angriffe bestehen aus scheinbar legitimen und harmlosen Anfragen, deren Ziel es aber ist, den Webserver abstürzen zu lassen. Das Ausmaß dieser Attacken wird in Anfragen pro Sekunde gemessen.

Spezielle Arten von DDoS Attacken

Zu den speziellen und besonders häufig anzutreffenden und gefährlichen Arten von DDoS Attacken gehören:

UDP-Flood

Diese DDoS Attacke setzt das Benutzer-Datagramm-Protokoll (User Datagram Protocol, UDP) ein, ein Netzwerkprotokoll ohne Sitzung. Diese Art des Angriffs überschwemmt zufällig ausgewählte Ports auf einem Remote Host mit einer großen Menge an UDP-Paketen, sodass der Host immer wieder nach einer Anwendung sucht, die diesen Port abhört, und (wenn er keine Anwendung findet) mit einem ICMP-Paket „Ziel nicht erreichbar“ antwortet. Dieser Vorgang zehrt an den Ressourcen des Hosts und kann letztendlich dazu führen, dass nicht mehr auf ihn zugegriffen werden kann.

ICMP-(Ping-)Flood

Diese Attacke ähnelt im Prinzip dem UDP-Flood-Angriff. Eine ICMP-Flood überschwemmt die Angriffsziele mit ICMP Echo-(Ping-)Anfragepaketen und versendet die Pakete im Allgemeinen so schnell wie möglich, ohne auf Antworten zu warten. Diese Art des Angriffs kann sowohl ausgehende als auch eingehende Bandbreite verbrauchen, denn die Server des Opfers versuchen häufig, mit ICMP Echo-Antwortpaketen zu antworten, was insgesamt einen deutlichen Leistungsabfall des Systems zur Folge hat.

SYN-Flood

Eine DDoS Attacke durch eine SYN-Flood nutzt eine bekannte Schwachstelle beim Aufbau einer TCP-Verbindung (den „dreifachen Handschlag“), wobei eine SYN-Anfrage in Hinblick auf den Aufbau einer TCP-Verbindung zu einem Host mit einer SYN-ACK-Antwort dieses Hosts beantwortet und dann mit einer ACK-Antwort durch den Anfragesteller bestätigt werden muss. Bei einer SYN-Flood versendet der Anfragesteller zahlreiche SYN-Anfragen, reagiert aber entweder nicht auf die SYN-ACK-Antwort des Hosts oder versendet die SYN-Anfragen von einer manipulierten IP-Adresse. In beiden Fällen wartet das System des Hosts auf Rückmeldung zu den jeweiligen Anfragen. Dies bindet Ressourcen, bis keine weiteren Verbindungen mehr hergestellt werden können und schließlich Dienste ausfallen.

Ping of Death

Eine Ping-of-Death-Attacke („POD“) geht von einem Angreifer aus, der zahlreiche fehlerhafte oder bösartige Pings an einen Computer versendet. Die maximale Paketlänge eines IP-Pakets (einschließlich Header) ist 65.535 Bytes. Die Datenverbindungsschicht beschränkt jedoch in der Regel die maximale Rahmengröße – beispielsweise auf 1.500 Bytes bei einem Ethernet-Netzwerk. In diesem Fall wird ein großes IP-Paket in mehrere kleinere IP-Pakete (werden als Fragmente bezeichnet) aufgeteilt, und der Empfänger-Host fügt die IP-Fragmente wieder zum vollständigen Paket zusammen. In einer Ping-of-Death-Situation, bei der Fragment-Inhalte böswillig manipuliert worden sind, erhält der Empfänger nach dem Zusammenfügen ein IP-Paket, das größer als 65.535 Bytes ist. Dadurch können dem Paket zugewiesene Pufferspeicher überbeansprucht werden, sodass der Dienst für legitime Pakete nicht mehr zur Verfügung steht.

Slowloris

Slowloris ist ein in hohem Maße zielgerichteter Angriff, mit dem ein Webserver einen anderen Server zum Absturz bringen kann, ohne dass andere Dienste oder Ports im Zielnetzwerk davon betroffen sind. Das erreicht Slowloris durch möglichst langes Offenhalten möglichst vieler Verbindungen zum Ziel-Webserver. Dies geschieht, indem Verbindungen zum Zielserver hergestellt, aber nur unvollständige Anfragen versendet werden. Slowloris sendet immer neue HTTP-Header, vervollständigt aber keine der Anfragen. Der Zielserver hält all diese falschen Verbindungen offen. Dadurch wird letztendlich das Reservoir an maximal gleichzeitig geöffneten Verbindungen erschöpft, und zusätzliche Verbindungen von legitimen Clients werden abgelehnt.

NTP-Verstärkung

Bei NTP-Verstärkungsangriffen nutzt der Angreifer öffentlich zugängliche NTP-(Network-Time-Protocol-)Server, um den Zielserver über das User Datagram Protocol (UDP) mit Datenverkehr zu überschwemmen. Bei einem NTP-Verstärkungsangriff liegt das Verhältnis zwischen Anfragen und Antworten irgendwo zwischen 1:20 und 1:200 oder mehr. Das bedeutet, dass jeder Angreifer, der Zugang zu einer Liste offener NTP-Server erhält (z. B. über Tools wie Metasploit oder über Daten aus dem Open NTP Project), ganz einfach eine zerstörerische DDoS Attacke mit großer Bandbreite und hohem Datenumfang erzeugen kann.

HTTP-Flood

Bei einer DDoS Attacke des Typs HTTP-Flood nutzen Angreifer scheinbar legitime HTTP GET- oder POST-Anfragen, um einen Webserver oder eine Webanwendung zu attackieren. HTTP-Floods verwenden keine fehlerhaften Pakete, Manipulations- oder Spiegelungstechniken und sie benötigen weniger Bandbreite als andere Angriffsarten, um die Ziel-Website oder den Zielserver zum Absturz zu bringen. Der Angriff ist dann am wirkungsvollsten, wenn er den Server oder die Anwendung zwingt, der Beantwortung jeder einzelnen Anfrage jeweils die maximal möglichen Ressourcen zuzuweisen.

„Zero-Day“-DDoS Attacken

„Zero-Day“-Attacken sind einfach unbekannte oder neue Angriffsarten, die Schwachstellen ausnutzen, für die noch kein Patch entwickelt wurde. Dieser Begriff ist in der Hackerwelt allgemein bekannt, und der Handel mit „Zero-Day“-Schwachstellen ist dort zu einer weit verbreiteten Erscheinung geworden.

HTTP flood - 690,000,000 DDOS requests from 180,000 botnets IPs Incapsula entschärft eine massive HTTP-Flood-Attacke: 690.000.000 DDoS-Anfragen von 180.000 Botnetz-IPs.

Quellen von DDoS Attacken

DDoS Attacken werden schnell zum vorherrschenden Angriffstyp. Aktuellen Marktforschungsanalysen zufolge sind sowohl ihre Zahl als auch ihr Ausmaß im vergangenen Jahr rasant angestiegen. Die Entwicklung geht hin zu einer kürzeren Angriffsdauer und einem größeren Ausmaß der Angriffe in Paketen pro Sekunde. Zudem hat auch die Gesamtzahl der Angriffe zugenommen.

Im vierten Quartal des Jahres 2011 hat eine Studie 45 % mehr DDoS Attacken im Vergleich zum Vorjahreszeitraum festgestellt, und mehr als doppelt so viele Angriffe wie im dritten Quartal 2011. Die durchschnittliche Bandbreite der in diesem Zeitraum beobachteten Angriffe betrug 5,2 Gbit/s – 148 % mehr als im vorhergehenden Quartal.

Eine weitere Studie bezüglich DDoS Attacken kam zu dem Ergebnis, dass mehr als 40 % der Antwortgeber im Jahr 2013 Angriffen mit einer Bandbreite von mehr als 1 Gbit/s ausgesetzt waren, und 13 % waren das Ziel mindestens eines Angriffs mit mehr als 10 Gbit/s.

Was die Beweggründe der Angreifer betrifft, so haben aktuelle Studien festgestellt, dass ideologisch motivierte DDoS Attacken auf dem Vormarsch sind. Die Studie erwähnte zudem finanzielle Gründe (z. B. Konkurrenzkämpfe) als einen weiteren verbreiteten Grund solcher Angriffe.

entry-level DDoS attack tool (Low Orbit Iron Cannon) LOIC (Low Orbit Ion Cannon): ein „Einsteiger“-Tool für DDoS Attacken

Lösungen von Incapsula mindern DDoS-Schäden

Incapsula bietet Websites nahtlosen und umfassenden Schutz gegen alle drei Arten von DDoS Attacken, wobei jede mit einem spezifischen Toolset und einer eigenen Abwehrstrategie bekämpft wird:

Attacken durch große Datenmengen

Incapsula begegnet diesen Angriffen und absorbiert sie mit einem weltweiten Netzwerk aus je nach Bedarf gestaffelten Scrubbing-Centern, die DDoS Attacken mit einer Angriffsgröße von vielen Gigabytes abwehren können.

Protokoll-Angriffe

Incapsula entschärft diese Art von Angriffen, indem „schlechter“ Datenverkehr abgeblockt wird, bevor er die Website überhaupt erreicht. Dabei wird Technologie zur Besucheridentifizierung eingesetzt, die zwischen legitimen Besuchern der Website (Menschen, Suchmaschinen usw.) und automatisierten oder böswilligen Clients unterscheidet.

Attacken über die Anwendungsschicht

Attacken über die Anwendungsschicht entschärft Incapsula durch die Beobachtung des Besucherverhaltens, die Sperrung bekannter bösartiger Bots und die Infragestellung verdächtiger oder unbekannter Webobjekte durch JS-Tests, Cookie-Anfragen und sogar CAPTCHAs.

Incapsula mitigates a 250GBps DDoS attack—one of Internet's largest IIncapsula entschärft DDoS Attacke mit 250 Gbit/s – eine der größten Werte überhaupt im Internet.

In all diesen Situationen wendet Incapsula seine DDOS Schutz- Lösungen außerhalb Ihres Netzwerks an. Das bedeutet, dass nur gefilterter Datenverkehr Ihre Hosts erreicht. Darüber hinaus unterhält Incapsula eine umfassende Wissensdatenbank zu DDoS-Bedrohungen, darunter auch mit neuen und im Entstehen begriffenen Angriffsmethoden. Diese Informationen werden fortlaufend aktualisiert und über unser gesamtes Netzwerk hinweg zusammengesetzt. So werden neue Bedrohungen erkannt, sobald sie in Erscheinung treten, es werden bekannte bösartige Nutzer aufgespürt und Abwehrmaßnahmen in Echtzeit werden auf alle von Incapsula geschützten Websites angewendet.