1. Hauptseite
  2. Blog
  3. Sicherheit
  4. Was ist ein verteilter Denial-of-Service-Angriff (DDoS) und welche Gefahr stellt er für den Server dar?
Was ist ein verteilter Denial-of-Service-Angriff (DDoS) und welche Gefahr stellt er für den Server dar?

Was ist ein verteilter Denial-of-Service-Angriff (DDoS) und welche Gefahr stellt er für den Server dar?

Nataliya Oteir Read 18 minutes
19 03 2021
Nataliya
Nataliya Oteir
Werbetexter

Es gibt immer mehr Berichte über Hackeraktivitäten und Software-Hacking-Versuche. DDoS-Angriffe kommen in diesen Berichten häufig vor. Leider werden sie oft erwähnt, ohne dass erklärt wird, was DDoS-Angriffe sind und wie sie Servern schaden können.

In diesem Artikel werden wir erörtern, was DDoS-Angriffe genau sind und warum sie bis heute ein großes Problem für Internet-Sicherheitsexperten darstellen. Außerdem erfahren Sie, wie DDoS-Angriffe funktionieren und wie man sie stoppen kann.

Was ist ein DDoS-Angriff?

Der Begriff DDoS-Attacke kommt von der Abkürzung "Distributed Denial of Service", was so viel bedeutet wie "verteilter Denial-of-Service-Angriff". Der Zweck eines DDoS-Angriffs besteht darin, den normalen Betrieb eines Servers, eines Dienstes oder eines lokalen Netzwerks zu stören. Der Hauptzweck eines solchen Angriffs besteht darin, Ihren Dienst zum Scheitern zu bringen oder den regulären Benutzern den Zugang zu Ihrem Dienst zu erschweren. Um dies zu erreichen, wird eine Flut von Internetverkehr erzeugt, die ein normales Computersystem nicht bewältigen kann.

Der Angriffsverkehr wird von mehreren Computern, lokalen Netzwerken und IoT-Geräten erzeugt. Die böswilligen Handlungen einer Einzelperson oder einer Gruppe erzeugen viele Anfragen an das angegriffene System, die es den Angreifern ermöglichen, unbefugten Zugriff auf wertvolle Informationen zu erhalten. Dabei kann es sich um eine sensible Datenbank, Programmcode oder eine Softwareversion handeln.

Im Alltag ist ein DDoS-Angriff mit einem Stau vergleichbar, der durch mehrere Fahrzeuge verursacht wird. Infolgedessen können normale Autofahrer nicht an ihr Ziel gelangen.

Wie wird ein verteilter Denial-of-Service-Angriff durchgeführt?

Nur Computersysteme, die über eine Internetverbindung verfügen, können einem DDoS-Angriff ausgesetzt werden. Ein globales Netzwerk besteht aus vielen Computern und anderen Geräten, die über eine Internetverbindung verfügen.

Es gibt viele Möglichkeiten, eine bösartige Software (Virus) in ein Computernetzwerk einzuschleusen. DDoS-Angriffe erreichen ihre Wirksamkeit, indem sie mehrere kompromittierte Computersysteme als Quellen für den Angriffsverkehr nutzen. Ausgenutzte Rechner werden in der Umgangssprache oft als "Zombies" bezeichnet, und ihre Gruppen werden entsprechend als Botnet bezeichnet.

Nach dem Aufbau eines Botnetzes hat ein Hacker die Möglichkeit, einen DDoS-Angriff zu organisieren, der auf folgende Weise durchgeführt wird.

  • Für jeden einzelnen Bot wird eine spezielle Anweisung entwickelt, die über das Netzwerk an ihn übermittelt wird.
  • Nach Erhalt der Anweisung beginnt der verwaltete Computer oder das System, Anfragen an die IP-Adressen des angegriffenen lokalen Netzwerks oder Servers zu stellen.
  • Dadurch wird die Verarbeitung des Datenverkehrs verlangsamt und ein überlastetes Gerät beginnt zu versagen. Infolgedessen wird der gesamte Datenverkehr unterbunden, auch der von normalen Benutzern.

Das Hauptproblem bei der Abwehr von verteilten DDoS-Angriffen besteht darin, dass es äußerst schwierig ist, den angreifenden Verkehr vom normalen Verkehr zu unterscheiden. Jeder der von Hackern verwendeten Bots ist ein legitimes Internetgerät, und es ist äußerst schwierig, bösartige Anfragen von normalen zu unterscheiden.

Die wichtigsten Anzeichen für einen DDoS-Angriff auf den Server

Eine plötzliche Verlangsamung des Servers, fehlender Zugang zum Dienst oder zu einer separaten Website kann auf illegale Aktionen von Hackern hinweisen. Gleichzeitig können Schwierigkeiten auch durch natürliche Ursachen entstehen, z. B. durch einen starken Anstieg des normalen Verkehrsaufkommens. 

Öffentlich verfügbare Analysedienste ermöglichen es, einen DDoS-Angriff anhand einer Reihe charakteristischer Merkmale zu erkennen:

  • Signifikante Menge an Datenverkehr von einer oder mehreren IP-Adressen, die zum selben Bereich gehören.
  • Eine große Anzahl von Nutzern, die Zugriffsanfragen auf die analysierten Webseiten erhalten, haben die gleichen Verhaltensprofile (Geolokalisierung, Browserversion oder Gerätetyp).
  • Ein starker Anstieg des Datenverkehrs in bestimmten Intervallen, z. B. alle zwei oder drei Stunden oder nach einem anderen Zeitplan.
  • Ein explosionsartiger Anstieg der Zahl der Anfragen an einen der Internetdienste oder eine der Webseiten.

Neben diesen Merkmalen gibt es weitere Anzeichen, die für bestimmte Arten von verteilten DDoS-Angriffen typisch sind. In solchen Fällen reichen die Fähigkeiten herkömmlicher Internet-Analyse-Tools möglicherweise nicht aus, und es wird spezielle Software benötigt, um sie zu identifizieren.

Klassifizierung von DDoS-Angriffen: die häufigsten Arten

Hacker verwenden eine Vielzahl von Tools, um in Websites einzubrechen. Einige Arten von DDoS-Angriffen zielen auf bestimmte Komponenten von Internet-Ressourcen, Server, oder Computer. Um zu verstehen, wie ihre Algorithmen funktionieren, muss man wissen, wie eine bestimmte Netzwerkverbindung funktioniert.

Die Internetverbindung wird durch spezielle Software bereitgestellt und besteht aus vielen Komponenten, die als "Schichten" bezeichnet werden. Jede Komponente dient einem bestimmten Zweck, und zusammen können sie das Modell bilden. Sie stützen, tragen und umschließen z. B. die im Bau befindlichen Strukturen.

Das siebenstufige OSI-Modell wird verwendet, um die Netzverbindungsstruktur zu beschreiben:

  • Die Anwendungsschicht Diese Ebene wird von E-Mail-Clients, Messengern und Browsern genutzt, um Daten direkt zu verarbeiten.
  • Die Ebene der Ansichten Der Zweck der Datenaufbereitung (Komprimierung, Übersetzung und Verschlüsselung) besteht darin, Daten für die Verwendung in Anwendungen vorzubereiten.
  • Sitzungsebene Baut einen Kommunikationskanal zwischen zwei Geräten im Netz auf und schließt ihn am Ende der Sitzungszeit.
  • Transportebene Sie ist für die Verwaltung des Datenflusses und die Fehlerkontrolle zwischen bestimmten Geräten sowie für die Sicherstellung der End-to-End-Kommunikation zwischen bestimmten Geräten zuständig.
  • Die Netzwerkschicht Erleichtert die Übertragung von Daten zwischen Geräten, die zu verschiedenen Netzen gehören. Diese Schicht sorgt für optimales Routing, die Aufteilung von Informationen in Pakete mit anschließender Zusammenstellung am Zielpunkt.
  • Die Ebene des Datenübertragungskanals Gleich der Netzwerkschicht erleichtert sie den Datenaustausch zwischen Geräten innerhalb eines Netzwerks.
  • Die physikalische Ebene Sie umfasst die für den Datenaustausch zwischen den Geräten verwendeten Geräte (Kabel, Switches usw.). Auf dieser Ebene werden die Informationspakete in einen Bitstrom umgewandelt, und die Signale werden angepasst.

Die meisten DDoS-Angriffe zielen auf die Überlastung eines bestimmten Servers oder Netzes ab. Je nach Anzahl und Art der Angriffsvektoren können diese Aktionen in drei Kategorien eingeteilt werden:

  • Einzelner;
  • Mehrere;
  • zyklisch.

Der letztere wird hauptsächlich als Reaktion auf Gegenmaßnahmen zum Schutz einer Internetressource eingesetzt.

DDoS-Angriffe, die auf Anwendungsebene durchgeführt werden

Basierend auf dem obigen Modell werden solche Angriffe als DDoS-Angriffe der siebten Ebene bezeichnet. Ihr Ziel ist es, die Website zu überlasten und Bedingungen zu schaffen, unter denen die Abwicklung des normalen Datenverkehrs unmöglich wird.

Hackerangriffe dieser Art werden auf der Ebene durchgeführt, auf der die Webseite auf dem Server erstellt wird. Die Angriffe werden als Antwort auf HTTP-Anfragen übertragen. Auf der Client-Seite erfordern solche Anfragen keine großen Ressourcen für die Erstellung und Verarbeitung von Informationen. Gleichzeitig muss der Server erhebliche Rechenressourcen einsetzen. Im Laufe dieses Prozesses können auf dem Zielserver viele Datenbankanfragen verarbeitet und mehrere Dateien heruntergeladen werden, um die angeforderte Webseite zu erstellen.
Der Schutz vor verteilten Angriffen der Stufe 7 ist schwierig, da es nicht einfach ist, bösartigen Datenverkehr von normalem Verkehr zu unterscheiden.

HTTP-Flut

Ein Angriff dieser Art simuliert mehrere Aktualisierungen eines Webbrowsers, die gleichzeitig auf mehreren Computern durchgeführt werden. Es ist, als ob viele Benutzer ständig den Reset-Knopf drücken würden, was zu einer großen Anzahl von HTTP-Anfragen führt. Dadurch wird der Server überlastet, was zu Dienstausfällen führt.

Abhängig vom Grad der Angriffskomplexität können DDoS-Angriffe vom Typ HTTP-Flood wie folgt klassifiziert werden:

  • Einfache Angriffe. Bei einem solchen DDoS-Angriff werden koordinierte Aktionen von IP-Adressen desselben Bereichs aus genutzt, um unerlaubte Zugriffe auf dieselbe URL zu ermöglichen, die mit denselben Benutzeragenten und Übergangsquellen durchgeführt werden.
  • Komplexe. Um mehrere Webseiten gleichzeitig zu hacken, nutzt der Angreifer sowohl IP-Adressen, die aus zufälligen Verkehrsquellen stammen, als auch User Agents.

Die Bewältigung komplexer DDoS-Angriffe erfordert Computer mit entsprechenden Eigenschaften sowie ressourcenintensive Software.

Protokollangriff

Fachleute bezeichnen diese Art von Hacks als Angriffe und Erschöpfung. Indem sie zu viele Server-Ressourcen oder bestimmte Netzwerkgeräte beanspruchen, können Protokollangriffe die Arbeit verschiedener Dienste stören. In solchen Fällen zielen die Angreifer meist auf Load Balancer oder Firewalls ab.

Um die Ziel-Webseite unzugänglich zu machen, nutzt der Protokollangriff Schwachstellen auf Schicht 3 und Schicht 4 (Protokollstapel) aus.

SYN-flood

Bei einem solchen Angriff werden von Bots eine Vielzahl von TCP-Paketen mit gefälschten IP-Adressen verschickt. Die erwähnten SYN-Pakete sind dazu gedacht, Netzwerkverbindungen zu initiieren. Der Zielrechner antwortet auf diese Anfragen und wartet auf deren Bestätigung, die er nicht erhält. Dementsprechend sind die Ressourcen der angegriffenen Webseite erschöpft und sie reagiert nicht mehr auf eingehende Anfragen.

SYN-flood lässt sich mit der Arbeit eines großen Kaufhauses vergleichen, in dem die Mitarbeiter der Lieferabteilung vom Handel Anweisungen für die Lieferung eines bestimmten Produkts erhalten. Sie gehen zum Lager, finden, was sie brauchen, aber ohne eine Auftragsbestätigung zu erhalten, wissen sie nicht, was sie als nächstes tun sollen. Die Folge ist, dass sie die Arbeit einstellen, bis die Umstände geklärt sind.

DDoS-Angriffe der Massenart

Die Aktionen der Hacker zielen in diesen Fällen darauf ab, eine solche Last zu erzeugen, dass die gesamte verfügbare Bandbreite der Internetverbindung genutzt wird. Bei der Durchführung groß angelegter DDoS-Angriffe werden große Datenpakete an die Zielressource gesendet, wobei verschiedene Mittel zur Erzeugung großen Datenverkehrs oder andere Mittel zur Verstärkung eingesetzt werden. Während des Angriffs werden sowohl einzelne Bots als auch ganze Botnetze eingesetzt, von denen viele Anfragen an die Ziel-Webseite oder einzelne Server generiert werden.

DNS-Verstärkung

Bei einem Hackerangriff werden Anfragen an öffentliche DNS-Server gesendet, die die IP-Adresse des Zielgeräts enthalten. Es antwortet mit einem Paket, das angeblich große Daten enthält. Dadurch werden viele dieser gefälschten Anfragen generiert, was zu einer Überlastung des Zielgeräts und einer Dienstverweigerung führt.

Ein Beispiel für DNS-Verstärkung ist, wenn eine Person in einem Restaurant oder Supermarkt anruft und um die Lieferung von Lebensmitteln oder Waren bittet und um einen Rückruf bittet. In der Zwischenzeit erhält er oder sie die Telefonnummer des Nachbarn. Eine große Zahl von Nutzern tätigt solche Anrufe bei dem Ziel, was den Lieferdienst endgültig überlastet.

Methoden zur Verhinderung von DDoS-Angriffen

Um sich vor Hackerangriffen zu schützen, ist es wichtig, zwischen Angreifern und normalem Verkehr zu unterscheiden. Bei Werbekampagnen für neue Produkte können viele Benutzer die Website des Entwicklers besuchen. Dies kann zu einer Notabschaltung des Datenverkehrs und zu Fehlern führen. Wenn diese Web-Ressource von bekannten Hackergruppen stark frequentiert wird, müssen Maßnahmen getroffen werden, um die Auswirkungen eines verteilten DDoS-Angriffs zu verringern.

Hacking-Versuche können verschiedene Formen annehmen, von der einfachsten mit einer einzigen Quelle verdächtigen Datenverkehrs bis hin zur komplexeren mit Multi-Vektor-Effekten. Im letzteren Fall werden mehrere verschiedene Arten von DDoS-Angriffen gleichzeitig eingesetzt, um die verteidigende Seite zu zwingen, ihre Kräfte und Mittel zu zerstreuen.

Ein Beispiel für eine solche Multi-Vektor-Wirkung ist ein gleichzeitiger DDoS-Angriff, der auf mehreren Ebenen stattfindet. Eine solche Wirkung wird durch DNS-Verstärkung in Kombination mit einer großen Anzahl von HTTP-Anfragen erzielt. Um solche Angriffe zu verhindern, müssen Sie mehrere Gegenstrategien gleichzeitig anwenden.

Wenn Angreifer verteilte Denial-of-Service-Angriffe mit einer Kombination verschiedener Angriffsmethoden einsetzen, erhöht sich die Komplexität der Gegenmaßnahmen erheblich.

Hacker neigen dazu, den Angriffsverkehr so weit wie möglich mit normalem Verkehr zu vermischen, um die Wirksamkeit von Schutzmaßnahmen auf Indikatoren nahe Null zu reduzieren.

Versuche, den Datenverkehr ohne Filterung einfach zu deaktivieren oder einzuschränken, führen selten zu einem positiven Ergebnis. Gleichzeitig passt sich der DDoS-Angriff an und sucht nach Möglichkeiten, die getroffenen Gegenmaßnahmen zu umgehen. In solchen Fällen ist die beste Lösung die Verwendung einer mehrstufigen Schutzstrategie.

Blackhole-Routing

Eine der für Netzwerkadministratoren am leichtesten zugänglichen Methoden zum Schutz vor DDoS besteht darin, ein "schwarzes Loch" für verdächtigen Verkehr zu schaffen. In seiner einfachsten Form sorgt das Blackhole-Routing dafür, dass alle Anfragen, ohne sie in normale und bösartige zu unterteilen, auf eine Nullroute umgeleitet werden, gefolgt von der Entfernung dieser Anfragen aus dem Netz. Wird ein DDoS-Angriff auf einer bestimmten Website festgestellt, hat der Provider die Möglichkeit, den gesamten Datenverkehr als Schutzmaßnahme zu unterbinden. Diese Lösung ist nicht die beste, da der Angreifer sein Ziel erreicht und alle Ressourcen nicht mehr verfügbar sind.

Beschränkung der Geschwindigkeit eines DDoS-Angriffs

Jeder Server kann eine bestimmte Anzahl von Anfragen für einen bestimmten Zeitraum empfangen und verarbeiten. Wenn Sie die Geschwindigkeit eines DDoS-Angriffs begrenzen, können Sie seine Wirksamkeit erheblich verringern. Gleichzeitig sollte man sich darüber im Klaren sein, dass diese Methode eine erhebliche Verlangsamung des Diebstahls von Inhalten und Programmcode durch Web-Parser bewirkt und Login-Versuche durch Brute-Force blockiert. Gegen komplexe kombinierte Denial-of-Service-Angriffe ist sie jedoch nicht wirksam genug.

Merkmale des Einsatzes von Web Application Firewalls

Der Einsatz spezieller Softwareprodukte kann DDoS-Angriffe der siebten Stufe deutlich abschwächen. Zwischen dem Internet und dem geschützten Server befindet sich eine Firewall (WAF), die als Reverse Proxy arbeitet. Eingehende Anfragen werden gemäß den festgelegten Regeln gefiltert, wodurch DDoS-Tools identifiziert und Angriffe der siebten Stufe verhindert werden können. Einer der Hauptvorteile dieser Methode ist die Möglichkeit, eigene Regeln zur Abwehr eines Angriffs aufzustellen.

Prinzipien der Anycast-Verteilung über das Netz

Diese Methode reduziert die schädlichen Folgen von DDoS-Angriffen, indem der Datenverkehr über das Servernetzwerk umverteilt wird.

Wenn ein und derselbe Server viele Anfragen zur gleichen Zeit erhält, ist er mit dem Datenverkehr überlastet und nicht in der Lage, effektiv auf zusätzliche eingehende Anfragen zu reagieren. Im Anycast-Netz übernimmt nicht ein einziger Quellserver die Hauptlast des Datenverkehrs, sondern die Last wird auf andere verfügbare Datenzentren verteilt, von denen jedes über Server verfügt, die eine eingehende Anfrage bearbeiten und beantworten können. Mit dieser Routing-Methode kann eine Kapazitätsausweitung des Quellenservers verhindert und eine Unterbrechung des Dienstes von Kunden, die Inhalte von ihm anfordern, vermieden werden.

Die beste Analogie für die Anycast-Verteilungsmethode über das Netz ist die Aufteilung des Flusses eines großen Flusses mit einer starken Strömung auf verschiedene Arme. Durch die Umverteilung des Datenverkehrs eines DDoS-Angriffs wird dessen Zerstörungskraft auf ein Minimum reduziert und er wird vollständig beherrschbar.

facebook Path telegram telegram-1 linkedin Shape

Wie nützlich war dieser Beitrag?

Klicken Sie auf einen Stern, um ihn zu bewerten!
Рейтинг: 0/5 - 0 голосов
Nataliya
Nataliya Oteir
Werbetexter

Nataliya ist eine erfahrene Content-Vermarkterin und Autorin mit großer Erfahrung in einer Vielzahl von Nischen.
Sie liefert prompt das beste Ergebnis mit der Essenz der Einzigartigkeit. Neben der Erstellung von Website-Texten und Blog-Inhalten für unsere Website beschäftigt sich Nataliya leidenschaftlich mit der Lösung von Problemen. In ihrer vorherigen Position bei INTROSERV war sie Kommunikationsmanagerin.

Content

  1. Was ist ein DDoS-Angriff?
  2. Wie wird ein verteilter Denial-of-Service-Angriff durchgeführt?
  3. Die wichtigsten Anzeichen für einen DDoS-Angriff auf den Server
  4. DDoS-Angriffe, die auf Anwendungsebene durchgeführt werden
  5. HTTP-Flut
  6. Protokollangriff
  7. SYN-flood
  8. DDoS-Angriffe der Massenart
  9. DNS-Verstärkung
  10. Methoden zur Verhinderung von DDoS-Angriffen
  11. Blackhole-Routing
  12. Beschränkung der Geschwindigkeit eines DDoS-Angriffs
  13. Merkmale des Einsatzes von Web Application Firewalls
  14. Prinzipien der Anycast-Verteilung über das Netz
Neue Beiträge
Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur
29.02.2024
Fernzugriff - Home Office
13.09.2023
Die 10 größten Bedrohungen für die Cybersicherheit, denen kleine Unternehmen heute ausgesetzt sind
31.08.2023
TOP 30 Linux Sicherheits-Tools
30.08.2023
Alternativen zu VPN für Fernzugriff
28.08.2023
Was ist Cloud-Sicherheit und ihre Vorteile
20.07.2023
Die 5 besten Tools zur Verhinderung von Brute-Force-Angriffen
07.06.2023
SSH-Protokoll: Was ist es? Wie funktioniert es?
22.05.2023
Server-Ausfallzeiten: Was jedes Unternehmen wissen muss, um online zu bleiben
25.04.2023
Du wurdest gehackt: Was Sie tun können, um nicht wieder gehackt zu werden
29.03.2023
Mehr anzeigen
Was ist Cloud-Sicherheit und ihre Vorteile
Was ist Cloud-Sicherheit und ihre Vorteile
12 minutes
20.07.2023
Digitale Sicherheit und Einmal-Passwort-Algorithmen
Digitale Sicherheit und Einmal-Passwort-Algorithmen
21 minutes
14.03.2023
Die 10 größten Bedrohungen für die Cybersicherheit, denen kleine Unternehmen heute ausgesetzt sind
Die 10 größten Bedrohungen für die Cybersicherheit, denen kleine Unternehmen heute ausgesetzt sind
18 minutes
31.08.2023
Schlüsseltechnologien für die Datensicherung
Schlüsseltechnologien für die Datensicherung
7 minutes
06.03.2018
Fernzugriff - Home Office
Fernzugriff - Home Office
12 minutes
13.09.2023
Du wurdest gehackt: Was Sie tun können, um nicht wieder gehackt zu werden
Du wurdest gehackt: Was Sie tun können, um nicht wieder gehackt zu werden
25 minutes
29.03.2023
Wie unterscheiden sich Authentifizierung und Autorisierung?
Wie unterscheiden sich Authentifizierung und Autorisierung?
18 minutes
03.03.2023
Open-Source kann mehr. Router-OS-Alternative für dezentrale Infrastruktur
29.02.2024
Fernzugriff - Home Office
13.09.2023
Die 10 größten Bedrohungen für die Cybersicherheit, denen kleine Unternehmen heute ausgesetzt sind
31.08.2023
TOP 30 Linux Sicherheits-Tools
30.08.2023
Alternativen zu VPN für Fernzugriff
28.08.2023
Was ist Cloud-Sicherheit und ihre Vorteile
20.07.2023
Die 5 besten Tools zur Verhinderung von Brute-Force-Angriffen
07.06.2023
SSH-Protokoll: Was ist es? Wie funktioniert es?
22.05.2023
Server-Ausfallzeiten: Was jedes Unternehmen wissen muss, um online zu bleiben
25.04.2023
Du wurdest gehackt: Was Sie tun können, um nicht wieder gehackt zu werden
29.03.2023