Was sind DDoS-Angriffe und wie lassen sie sich abwehren?

Die Cyberkriminalität stellt ein weltweit lukratives Geschäft für das organisierte Verbrechen dar - sein Umsatz überstieg 2020 denjenigen des internationalen Drogenhandels. Die Angriffsszenarien sind mittlerweile ausgesprochen hoch entwickelt und vielseitig. Zu ihnen gehört unter anderem Erpressung durch Ransomware, Diebstahl von sensiblen Daten, Industriespionage und Bereitstellung von Software sowie IT-Infrastruktur. Eine der häufigsten Methoden besteht in dem Distributed Denial of Service (DDoS) und richtet sich speziell gegen Server und Webhostings.

Was verbirgt sich hinter einem DDoS-Angriff?

Eine DDoS-Attacke hat das Ziel, einen Server oder Teile einer IT-Infrastruktur durch Überlastung dazu zu bringen, die eigentlich vorgesehenen Aufgaben nicht mehr richtig ausführen zu können.

Für diesen Zweck bieten sich unterschiedliche Strategien an:

• Physische Sabotage an kritischen Knoten wie Routern oder Gateways
• Gezieltes Eindringen in geschützte Bereiche einer IT-Infrastruktur
• Manipulation und Umleiten von Datenverkehr
• Gezielte Nutzung von Programmierfehlern in der Software
• Angriffe auf Betriebssysteme, um diese zum Absturz zu bringen
• Überlastung des Netzwerks und der Infrastruktur

Die meisten DoS-Attacken verwenden mittlerweile die letzte Methode. Der Distributed Denial of Service als verteilter Angriff stellt dabei eine Weiterentwicklung des frühen DoS-Angriffsmusters dar, das von einem einzigen Rechner ausging. Da die heutigen Bandbreiten selbst bei einem leichten vServer hohe Kapazitäten aufweisen, ist eine Vernetzung und Koordination zwischen zahlreichen Instanzen für einen erfolgreichen DDoS unverzichtbar. Ein Load Balancing kann auch hier helfen.

Wie erfolgt ein DDoS-Angriff?

Bei einem Denial of Service versuchen Kriminelle, ihre Opfer von der öffentlichen Infrastruktur zu trennen, indem sie diese durch eine möglichst hohe Menge von Anfragen fluten. Um effektiv zu sein, müssen diese zwangsläufig aus einer möglichst hohen Auswahl von unterschiedlichen Quellen stammen. Dieser Umstand erhöht nicht allein die Zahl der eingehenden Verbindungen, sondern erschwert zudem erheblich die Abwehr von DDoS, da die Verteilung eine Unterscheidung zwischen legitimen und künstlich erzeugten Paketen erschwert und zumindest teilweise unmöglich macht. Solche Angriffe gehen nicht selten von Bot-Netzen aus, die teilweise Millionen von Servern und privaten Computern umfassen, die von den Kriminellen durch Trojaner infiziert und über das Internet gesteuert werden.

Was ist der Ziel einer Attacke durch DDoS?

Wenn Cyberkriminelle eine Webseite mit DDoS angreifen, kommen politische, ideologische oder finanzielle Motive als Ursache in Betracht. Wie in vielen anderen Bereichen des organisierten Verbrechens zeigt sich in den meisten Fällen Geld als der entscheidende Beweggrund. Gewinne lassen sich durch unterschiedliche Aktivitäten erwirtschaften:

• Erpressung von Unternehmen für die Freigabe von Ressourcen oder Websites
• Ausschalten oder Behindern der Konkurrenz
• Anbieten von DDoS als illegale Dienstleistung auf dem Schwarzmarkt
• Temporäre Unterbindung des Zugriffs auf einzelne Bereiche etwa für Geoblocking
• Exklusiver Ankauf attraktiver Produkte zum Listenpreis (Scalping)

Neben den technischen Gegenmaßnahmen ist die Kenntnis der möglichen Motivation wichtig, um eine effiziente Abwehr für Server oder die gesamte IT-Infrastruktur zu organisieren. So können zum Beispiel kritische Segmente von dem weiteren Netzwerk isoliert und konkrete Schwachpunkte definiert werden, um einen optimalen Schutz gefährdeter Bereiche zu erreichen.

Informiere dich über Webhosting mit DDoS-Schutz oder sieh dir als Alternative auch die Angebote zu vServer mit DDoS-Schutz sowie Cloud Server mit DDoS-Schutz und Root Server mit DDoS-Schutz an.

Welche technische Abwehr existiert für DDoS?

Ein wesentliches Problem bei DDoS besteht darin, dass die effiziente Abwehr von Attacken auf jede Art von Server ein umfassendes Expertenwissen voraussetzt. Einzelne und vergleichsweise simple Maßnahmen lassen sich eigenständig durchsetzen, eine umfangreiche Abwehr benötigt jedoch die Einbindung von professionellen Experten. Die Techniken umfassen unter anderem:

• Analyse und Filterung der Anfagen durch Deep Packet Inspection
• Geoblocking und Begrenzung individueller und regionaler Verbindungen
• Captcha und andere manuelle Hürden bei Zugriffen
• Verteilung der Bandbreite auf spezielle High-Performance-Server für Analyse des Traffics
• Einbindung externer, spezialisierter Anbieter zur Abwehr von DDoS

Aufgrund des Umfangs der aktuellen Gefahren für Server empfiehlt es sich bei gewerblichen und kommerziellen Internetpräsenzen heute generell, für die Abwehr von DDoS einen zusätzlichen Schutz des Webhosters oder von professionellen Anbietern wie zum Beispiel Cloudflare oder Akamai einzusetzen. Diese verfügen sowohl über das erforderliche Fachwissen und die Infrastruktur, um solche Angriffe frühzeitig zu diagnostizieren und unverzüglich zu blockieren.

Foto: Iván Tamás von Pixabay