Was ist ein verteilter Denial-of-Service-Angriff (DDoS)?

Ein Überblick über DDoS-Angriffe

Ein Distributed Denial-of-Service(DDoS)-Angriff ist eine Variante eines DoS-Angriffs, bei dem eine sehr große Anzahl von angreifenden Computern eingesetzt wird, um das Ziel mit gefälschtem Datenverkehr zu überwältigen. Um den nötigen Umfang zu erreichen, werden DDoS häufig von Botnetzen ausgeführt, die Millionen von infizierten Rechnern kooptieren können, um unwissentlich an dem Angriff teilzunehmen, auch wenn sie nicht das eigentliche Ziel des Angriffs sind. Stattdessen nutzt der Angreifer die große Anzahl infizierter Rechner, um das entfernte Ziel mit Datenverkehr zu überfluten und ein DoS zu verursachen.

Obwohl der DDoS-Angriff eine Art von DoS-Angriff ist, wird er aufgrund der Merkmale, die ihn von anderen Arten von DoS-Angriffen unterscheiden und verstärken, wesentlich häufiger eingesetzt:

• Die Angreifer können aufgrund des großen Netzwerks an infizierten Computern - einer Zombie-Armee - unter ihrem Kommando einen Angriff von zerstörerischem Ausmaß durchführen .
• Die (oft weltweite) Verteilung der angreifenden Systeme macht es sehr schwierig zu erkennen, wo sich der eigentliche Angreifer befindet .
• Aufgrund der scheinbar zufälligen Verteilung der angreifenden Systeme ist es für den Zielserver schwierig, den Datenverkehr als illegitim zu erkennen und einen Eintrag abzulehnen.
• DDoS-Angriffe sind viel schwieriger abzuschalten als andere DoS-Angriffe, da eine Vielzahl von Rechnern abgeschaltet werden muss, im Gegensatz zu nur einem.

DDoS-Angriffe zielen oft auf bestimmte Organisationen (Unternehmen oder öffentliche Einrichtungen) aus persönlichen oder politischen Gründen ab oder um von der Zielperson eine Zahlung als Gegenleistung für die Beendigung des DDoS-Angriffs zu erpressen. Der Schaden eines DDoS-Angriffs besteht in der Regel in Zeit- und Geldverlusten durch die daraus resultierenden Ausfallzeiten und Produktivitätsverluste.

Beispiele für DDoS-Angriffe gibt es zuhauf. Im Januar 2012 führte die Hacktivisten-Cybergruppe Anonymous einen Angriff auf mehrere wichtige Befürworter des Stop Online Piracy Act (SOPA) durch. Um gegen SOPA zu protestieren, führte Anonymous DDoS-Angriffe durch, die die Websites des US-Justizministeriums, des Federal Bureau of Investigations (FBI), des Weißen Hauses, der Motion Picture Association of America (MPAA), der Recording Industry Association of America (RIAA), der Universal Music Group und der Broadcast Music, Inc (BMI) lahmlegten. Um den Angriff zu erleichtern, baute Anonymous sein Botnetz mit einem unkonventionellen Modell auf, das es Benutzern, die die Organisation unterstützen wollten, erlaubte, ihre Computer als Bot für die Angriffe anzubieten. Benutzer, die ihre Unterstützung anbieten wollten, konnten dem Anonymous-Botnet beitreten, indem sie auf Links klickten, die die Organisation an verschiedenen Stellen im Internet, z. B. auf Twitter, veröffentlichte.

Der DDoS-Angriff wird auch als Waffe der Cyber-Kriegsführung eingesetzt. So wurden beispielsweise 2008 während des Südossetien-Krieges georgische Regierungswebsites von vermutlich russischen kriminellen Banden unter der Schirmherrschaft der russischen Sicherheitsdienste lahmgelegt. Der Angriff erfolgte kurz vor den ersten Angriffen Russlands auf georgischem Boden.

Es gibt eine Reihe von Techniken zur DDoS-Abwehr, die Organisationen implementieren können, um die Wahrscheinlichkeit eines Angriffs zu minimieren. Die Infrastruktur der Netzwerksicherheit sollte DDoS-Erkennungstools enthalten, die sowohl Exploits als auch Tools, die Angreifer zum Starten eines Angriffs verwenden, identifizieren und blockieren können. Darüber hinaus können Netzwerkadministratoren Profile erstellen, um bestimmte Verkehrsfluten zu beobachten und zu kontrollieren (d.h. SYN-Flows, UDP- und ICMP-Flows). Durch die Betrachtung des gesamten Datenverkehrs können Schwellenwerte festgelegt werden, um Verhaltensweisen zu überwachen und zu unterbinden, die auf einen möglichen DDoS-Angriff hindeuten.