Was ist ein verteilter Denial-of-Service-Angriff (DDoS) und welche Gefahr stellt er für den Server dar?

Was ist ein verteilter Denial-of-Service-Angriff (DDoS) und welche Gefahr stellt er für den Server dar?

Read 18 minutes

Es gibt immer mehr Berichte über die Aktivitäten von Hackern und über Versuche, Software zu hacken. DDoS-Angriffe kommen in diesen Berichten häufig vor. Leider werden sie oft erwähnt, ohne zu erklären, was DDoS-Angriffe sind und wie sie Servern schaden können.

In diesem Artikel werden wir erörtern, was genau DDoS-Angriffe sind und warum sie bis heute ein großes Problem für Internet-Sicherheitsexperten darstellen. Außerdem erfahren Sie, wie DDoS-Angriffe funktionieren und wie man sie stoppen kann.

Was ist ein DDoS-Angriff?

Der Begriff DDoS-Angriff kommt von der Abkürzung "Distributed Denial of Service", was so viel bedeutet wie verteilter Denial-of-Service-Angriff. Der Zweck eines DDoS-Angriffs besteht darin, den normalen Betrieb eines Servers, eines Dienstes oder eines lokalen Netzwerks zu stören. Der Hauptzweck eines solchen Angriffs besteht darin, Ihren Dienst zum Scheitern zu bringen oder den regulären Benutzern den Zugang zu Ihrem Dienst zu erschweren. Zu diesem Zweck wird eine Flut von Internetverkehr erzeugt, die ein normales Computersystem nicht bewältigen kann.

Der Angriffsverkehr wird von mehreren Computern, lokalen Netzwerken und IoT-Geräten erzeugt. Die böswilligen Handlungen eines Einzelnen oder einer Gruppe generieren viele Anfragen an das angegriffene System, wodurch die Angreifer unbefugten Zugang zu wertvollen Informationen erlangen können. Dabei kann es sich um eine sensible Datenbank, Programmcode oder eine Softwareversion handeln.

Im Alltag ist ein DDoS-Angriff mit einem Stau vergleichbar, der durch mehrere Fahrzeuge verursacht wird. Infolgedessen können normale Autofahrer nicht an ihr Ziel gelangen.

Wie wird ein verteilter Denial-of-Service-Angriff durchgeführt?

Nur Computersysteme, die über eine Internetverbindung verfügen, können einem DDoS-Angriff ausgesetzt werden. Ein globales Netzwerk besteht aus vielen Computern und anderen Geräten, die über eine Internetverbindung verfügen.

Es gibt viele Möglichkeiten, eine bösartige Software (einen Virus) in ein Computernetzwerk einzuschleusen. DDoS-Angriffe erreichen ihre Wirksamkeit, indem sie mehrere kompromittierte Computersysteme als Quellen für den Angriffsverkehr nutzen. Ausgenutzte Rechner werden in der Umgangssprache oft als "Zombies" bezeichnet, und ihre Gruppen werden entsprechend als Botnet bezeichnet.

Unmittelbar nach dem Aufbau eines Botnetzes hat ein Hacker die Möglichkeit, einen DDoS-Angriff zu organisieren, der auf folgende Weise durchgeführt wird.

  • Für jeden einzelnen Bot wird eine spezielle Anweisung entwickelt, die über das Netzwerk an ihn übermittelt wird.
  • Nach Erhalt dieser Anweisung beginnt der verwaltete Computer oder das verwaltete System damit, Anfragen an die IP-Adressen des angegriffenen lokalen Netzwerks oder Servers zu stellen und zu senden.
  • Dadurch wird die Verarbeitung des Datenverkehrs verlangsamt, und die überlasteten Geräte fallen aus. Infolgedessen wird der gesamte Datenverkehr unterbunden, auch der von normalen Benutzern.

Das Hauptproblem bei der Abwehr verteilter DDoS-Angriffe besteht darin, dass es äußerst schwierig ist, den angreifenden Verkehr vom normalen Verkehr zu unterscheiden. Jeder der von den Hackern eingesetzten Bots ist ein legitimes Internet-Gerät, und es ist äußerst schwierig, bösartige Anfragen von normalen Anfragen zu unterscheiden.

Die wichtigsten Anzeichen für einen DDoS-Angriff auf den Server

Eine plötzliche Verlangsamung des Servers, ein fehlender Zugang zum Dienst oder zu einer anderen Website kann auf illegale Aktionen von Hackern hinweisen. Gleichzeitig können die Schwierigkeiten auch auf natürliche Ursachen zurückzuführen sein, z. B. auf einen starken Anstieg des normalen Datenverkehrs.

Öffentlich zugängliche Analysedienste ermöglichen es Ihnen, einen DDoS-Angriff anhand einer Reihe von Merkmalen zu erkennen:

  • Erhebliche Menge an Datenverkehr von einer oder mehreren IP-Adressen, die zum selben Bereich gehören.
  • Eine große Anzahl von Nutzern, die Zugriffsanfragen auf die analysierten Webseiten erhalten, weisen die gleichen Verhaltensprofile auf (Geolokalisierung, Browserversion oder Gerätetyp).
  • Ein starker Anstieg des Datenverkehrs in bestimmten Abständen, z. B. alle zwei oder drei Stunden oder nach einem anderen Zeitplan.
  • Ein explosionsartiger Anstieg der Zahl der Anfragen an einen der Internetdienste oder eine der Webseiten.

Darüber hinaus gibt es weitere Anzeichen, die für bestimmte Arten von verteilten DDoS-Angriffen typisch sind. In solchen Fällen reichen die Fähigkeiten herkömmlicher Internet-Analyse-Tools möglicherweise nicht aus, und es ist spezielle Software erforderlich, um sie zu erkennen.

Klassifizierung von DDoS-Angriffen: die häufigsten Arten

Hacker verwenden eine Vielzahl von Tools, um in Websites einzudringen. Einige Arten von DDoS-Angriffen zielen auf bestimmte Komponenten von Internetressourcen, Servern oder Computern ab. Um zu verstehen, wie ihre Algorithmen funktionieren, muss man wissen, wie eine bestimmte Netzwerkverbindung funktioniert.

Spezielle Software stellt die Internetverbindung bereit, die aus vielen Komponenten besteht, die als "Schichten" bezeichnet werden. Jede Komponente dient einem bestimmten Zweck, und zusammen bilden sie das Modell. Zum Beispiel stützende, tragende und umschließende Strukturen im Bau.

Das siebenstufige OSI-Modell wird zur Beschreibung der Netzverbindungsstruktur verwendet:

  • Die AnwendungsschichtDieseEbene wird von E-Mail-Clients, Messengern und Browsern genutzt, um Daten direkt zu verarbeiten.
  • Die Ebene der Ansichten Der Zweck der Datenaufbereitung (Komprimierung, Übersetzung und Verschlüsselung) besteht darin, Daten für die Verwendung in Anwendungen vorzubereiten.
  • Sitzungsebene Stellt einen Kommunikationskanal zwischen zwei Geräten im Netz her und schließt ihn am Ende der Sitzungszeit.
  • Transportebene Sie ist für die Verwaltung des Datenflusses und die Fehlerkontrolle zwischen bestimmten Geräten sowie für die Sicherstellung der Ende-zu-Ende-Kommunikation zwischen bestimmten Geräten zuständig.
  • Die Netzebene Erleichtert die Übertragung von Daten zwischen Geräten, die zu verschiedenen Netzen gehören. Diese Schicht sorgt für ein optimales Routing, die Aufteilung von Informationen in Pakete mit anschließender Zusammenstellung am Zielpunkt.
  • Die Ebene des Datenübertragungskanals Ähnlich wie die Netzschicht erleichtert sie den Datenaustausch zwischen Geräten innerhalb eines Netzes.
  • Die physikalische Ebene Sie umfasst die für den Datenaustausch zwischen den Geräten verwendeten Geräte (Kabel, Schalter usw.). Auf dieser Ebene werden die Informationspakete in einen Bitstrom umgewandelt, und die Signale werden angepasst.

Die meisten DDoS-Angriffe zielen auf die Überlastung eines bestimmten Servers oder Netzes ab. Je nach Anzahl und Art der Angriffsvektoren können diese Aktionen in drei Kategorien eingeteilt werden:

  • ein einziger;
  • mehrere;
  • zyklisch.

Letztere werden hauptsächlich als Reaktion auf Gegenmaßnahmen zum Schutz einer Internetressource eingesetzt.

DDoS-Angriffe, die auf Anwendungsebene durchgeführt werden

Auf der Grundlage des oben beschriebenen Modells werden solche Angriffe als DDoS-Angriffe der siebten Ebene bezeichnet. Ihr Ziel ist es, die Website zu überlasten und Bedingungen zu schaffen, unter denen die Abwicklung des normalen Datenverkehrs unmöglich wird.

Hackerangriffe dieser Art werden auf der Ebene durchgeführt, auf der die Webseite auf dem Server erstellt wird. Die Angriffe werden als Antwort auf HTTP-Anfragen übertragen. Auf der Client-Seite erfordern solche Anfragen keine großen Ressourcen für die Erstellung und Verarbeitung von Informationen. Gleichzeitig muss der Server erhebliche Rechenressourcen einsetzen. Im Laufe dieses Prozesses können auf dem Zielserver viele Datenbankanfragen verarbeitet und mehrere Dateien heruntergeladen werden, um die angeforderte Webseite zu erstellen.
Der Schutz vor verteilten Angriffen der Stufe 7 ist schwierig, da es nicht einfach ist, den bösartigen Verkehr vom normalen Verkehr zu unterscheiden.

HTTP-Flood

Ein Angriff dieser Art simuliert mehrere Aktualisierungen eines Webbrowsers, die gleichzeitig auf mehreren Computern durchgeführt werden. Es ist, als ob viele Benutzer ständig den Reset-Knopf drücken würden, was zu einer großen Anzahl von HTTP-Anfragen führt. Dadurch wird der Server überlastet, was zu Serviceausfällen führt. Je nach Komplexität des Angriffs können DDoS-Angriffe vom Typ HTTP-Flood wie folgt klassifiziert werden:

  • Einfache Angriffe. Bei einem solchen DDoS-Angriff werden koordinierte Aktionen von IP-Adressen aus dem gleichen Umkreis genutzt, um unbefugten Zugriff auf dieselbe URL zu ermöglichen, wobei dieselben Benutzeragenten und Übergangsquellen verwendet werden.
  • Komplexe Angriffe. Um mehrere Webseiten gleichzeitig zu hacken, verwendet der Angreifer sowohl IP-Adressen, die aus zufälligen Verkehrsquellen stammen, als auch Benutzeragenten.

Die Bewältigung komplexer DDoS-Angriffe erfordert Computer mit entsprechenden Eigenschaften sowie ressourcenintensive Software.

Protokoll-Angriff

Fachleute bezeichnen diese Art von Hacks als Angriffe und Erschöpfung. Protokollangriffe können die Arbeit verschiedener Dienste stören, indem sie zu viele Serverressourcen oder bestimmte Netzwerkgeräte beanspruchen. In solchen Fällen zielen die Angreifer in der Regel auf Load Balancer oder Firewalls ab.

Um die Ziel-Webseite unzugänglich zu machen, nutzt der Protokollangriff Schwachstellen auf Schicht 3 und Schicht 4 (Protokollstapel) aus.

SYN-Flut

Bei einem solchen Angriff werden von Bots eine Vielzahl von TCP-Paketen mit gefälschten IP-Adressen gesendet. Die erwähnten SYN-Pakete dienen der Initiierung von Netzwerkverbindungen. Der Zielrechner antwortet auf diese Anfragen und wartet auf deren Bestätigung, die er nicht erhält. Folglich sind die Ressourcen der angegriffenen Webseite erschöpft und sie reagiert nicht mehr auf eingehende Anfragen.

SYN-Flood kann mit der Arbeit eines großen Geschäfts verglichen werden, in dem die Mitarbeiter der Lieferabteilung vom Handel Anweisungen für die Lieferung eines bestimmten Produkts erhalten. Sie gehen zum Lager, finden, was sie brauchen, aber ohne eine Auftragsbestätigung zu erhalten, wissen sie nicht, was sie als nächstes tun sollen. Das führt dazu, dass sie ihre Arbeit einstellen, bis die Umstände geklärt sind.

DDoS-Angriffe des Massentyps

Die Aktionen der Hacker zielen in diesen Fällen darauf ab, eine solche Last zu erzeugen, dass die gesamte verfügbare Bandbreite der Internetverbindung genutzt wird. Bei der Durchführung groß angelegter DDoS-Angriffe werden große Datenpakete an die Zielressource gesendet, wobei verschiedene Mittel zur Erzeugung großen Datenverkehrs oder andere Mittel zur Verstärkung eingesetzt werden. Während des Angriffs werden sowohl einzelne Bots als auch ganze Botnetze eingesetzt, von denen viele Anfragen an die Ziel-Webseite oder einzelne Server generiert werden.

DNS-Verstärkung

Bei einem Hackerangriff werden Anfragen an öffentliche DNS-Server gesendet, die die IP-Adresse des Zielgeräts enthalten. Es antwortet mit einem Paket, das angeblich große Daten enthält. Infolgedessen werden viele dieser gefälschten Anfragen generiert, was zu einer Überlastung des Zielgeräts und einer Dienstverweigerung führt.

Ein Beispiel für DNS-Verstärkung ist, wenn eine Person in einem Restaurant oder Supermarkt anruft und um die Lieferung von Lebensmitteln oder Waren bittet und um einen Rückruf bittet. In der Zwischenzeit erhält er oder sie die Telefonnummer des Nachbarn. Eine große Anzahl von Nutzern tätigt solche Anrufe an das Ziel, wodurch der Lieferdienst endgültig überlastet wird.

Methoden zur Verhinderung von DDoS-Angriffen

Um sich vor Hackerangriffen zu schützen, ist es wichtig, zwischen dem Angreifer und dem normalen Verkehr zu unterscheiden. Bei Werbekampagnen für neue Produkte können viele Nutzer die Website des Entwicklers besuchen. Dies kann zu einer Notabschaltung des Datenverkehrs und zu Fehlern führen. Wenn diese Webressource einen starken Anstieg des Datenverkehrs von bekannten Hackergruppen aufweist, müssen Maßnahmen ergriffen werden, um die Auswirkungen eines verteilten DDoS-Angriffs zu verringern.

Hacking-Versuche können verschiedene Formen annehmen, von der einfachsten mit einer einzigen Quelle verdächtigen Datenverkehrs bis zur komplexeren mit Multi-Vektor-Effekten. Im letzteren Fall werden mehrere verschiedene Arten von DDoS-Angriffen gleichzeitig eingesetzt, um die verteidigende Seite zu zwingen, ihre Kräfte und Mittel zu verstreuen.

Ein Beispiel für eine solche Multi-Vektor-Wirkung ist ein gleichzeitiger DDoS-Angriff, der auf mehreren Ebenen stattfindet. Eine solche Wirkung wird durch DNS-Verstärkung in Kombination mit einer großen Anzahl von HTTP-Anfragen erzielt. Um solche Angriffe zu verhindern, müssen Sie mehrere Gegenstrategien gleichzeitig anwenden.

Wenn Angreifer verteilte Denial-of-Service-Angriffe mit einer Kombination aus verschiedenen Angriffsmethoden einsetzen, erhöht sich die Komplexität der Gegenmaßnahmen erheblich.

Hacker neigen dazu, den angreifenden Datenverkehr so weit wie möglich mit dem normalen Datenverkehr zu vermischen, um die Wirksamkeit von Schutzmaßnahmen auf nahezu null Indikatoren zu reduzieren.

Versuche, den Datenverkehr einfach zu deaktivieren oder einzuschränken, ohne ihn zu filtern, führen selten zu einem positiven Ergebnis. Gleichzeitig passt sich der DDoS-Angriff an und sucht nach Möglichkeiten, die getroffenen Gegenmaßnahmen zu umgehen. In solchen Fällen ist die beste Lösung die Verwendung einer mehrstufigen Schutzstrategie.

Blackhole-Routing

Eine der für Netzwerkadministratoren am einfachsten zugänglichen Methoden zum Schutz vor DDoS besteht darin, ein "schwarzes Loch" für verdächtigen Datenverkehr zu schaffen. In seiner einfachsten Form sorgt das Blackhole-Routing dafür, dass alle Anfragen, ohne sie in normale und bösartige zu unterteilen, auf eine Nullroute umgeleitet werden, gefolgt von der Entfernung dieser Anfragen aus dem Netz. Wenn ein DDoS-Angriff auf eine bestimmte Website festgestellt wird, hat der Provider die Möglichkeit, den gesamten Datenverkehr als Schutzmaßnahme zu streichen. Diese Lösung ist nicht die beste, da der Angreifer sein Ziel erreicht und alle Ressourcen unzugänglich macht.

Begrenzung der Geschwindigkeit eines DDoS-Angriffs

Jeder Server kann eine bestimmte Anzahl von Anfragen über einen bestimmten Zeitraum hinweg empfangen und verarbeiten. Wenn Sie die Geschwindigkeit eines DDoS-Angriffs begrenzen, können Sie seine Effektivität deutlich verringern. Gleichzeitig sollte man sich darüber im Klaren sein, dass diese Methode eine erhebliche Verlangsamung des Diebstahls von Inhalten und Programmcode durch Web-Parser bewirkt und Anmeldeversuche durch Brute-Force blockiert. Gegen komplexe kombinierte Denial-of-Service-Angriffe ist sie jedoch nicht wirksam genug.

Merkmale der Verwendung von Web Application Firewalls

Der Einsatz spezieller Softwareprodukte kann DDoS-Angriffe der siebten Stufe erheblich abschwächen. Zwischen dem Internet und dem geschützten Server befindet sich eine Firewall (WAF), die als Reverse Proxy arbeitet. Sie wird eingesetzt, um bösartigen Datenverkehr bestimmter Arten zu blockieren. Eingehende Anfragen werden gemäß den festgelegten Regeln gefiltert, wodurch DDoS-Tools identifiziert und Angriffe der siebten Stufe verhindert werden können. Einer der Hauptvorteile dieser Methode ist die Möglichkeit, eigene Regeln zur Abwehr eines Angriffs aufzustellen.

Grundsätze der Anycast-Verteilung über das Netzwerk

Diese Methode reduziert die schädlichen Folgen von DDoS-Angriffen, indem sie den Datenverkehr über das Servernetzwerk umverteilt.

Wenn ein und derselbe Server viele Anfragen zur gleichen Zeit erhält, ist er mit dem Datenverkehr überlastet und nicht in der Lage, effektiv auf zusätzliche eingehende Anfragen zu reagieren. Im Anycast-Netz übernimmt nicht ein einziger Quellserver die Hauptlast des Datenverkehrs, sondern die Last wird auf andere verfügbare Datenzentren verteilt, von denen jedes über Server verfügt, die in der Lage sind, eine eingehende Anfrage zu verarbeiten und zu beantworten. Mit dieser Routing-Methode kann eine Kapazitätsausweitung des Quellenservers verhindert und eine Unterbrechung des Dienstes der Kunden, die Inhalte von ihm anfordern, vermieden werden.

Die beste Analogie für die Anycast-Verteilungsmethode im Netz ist die Aufteilung des Flusses eines großen Flusses mit starker Strömung auf einzelne Arme. Durch die Umverteilung des Datenverkehrs eines DDoS-Angriffs wird dessen Zerstörungskraft auf ein Minimum reduziert und er wird vollständig beherrschbar.


DedicServerEN