Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DDoS-Angriff - was ist das?

Ein DDoS-Angriff ist ein cyberkrimineller Angriff auf IT-Infrastrukturen. Wir erklären Ihnen alles, was Sie dazu wissen sollten.

In Pocket speichern vorlesen Druckansicht

(Bild: Photon photo/Shutterstock.com)

Lesezeit: 5 Min.
tipps+tricks
Von
  • Lars Sandmann
Inhaltsverzeichnis

Der Abkürzung DDoS steht für "Distributed-Denial-of-Service", was so viel bedeutet wie "dezentralisierte Verweigerung des Dienstes". Bei einem DDoS-Angriff werden Schwachstellen in einer IT-Infrastruktur ausgenutzt, um das gesamte System durch Überlastung zum Zusammenbruch zu bringen. Was genau ein DDoS-Angriff ist und wie er funktioniert, erklären wir Ihnen im folgenden Beitrag.

Was ist ein DDoS-Angriff?

Wenn beispielsweise ein Server oder Webdienst mit einer Vielzahl von Anfragen so lange überflutetet wird, bis er mit der Beantwortung der Anfragen nicht mehr hinterherkommt und dadurch überlastet ist, spricht man von einer DDoS-Attacke. Um DDoS-Attacken auszuführen, bauen sich Hacker zuvor ein Botnetz im Internet auf. Dieses sendet dann für sie Anfragen an ein Zielsystem. Somit zielt ein DDoS-Angriff auf den Ausfall eines IT-Systems ab. Nach einer DDoS-Attacke ist ein Server für andere Nutzer nicht mehr erreichbar, weswegen für den Betreiber durch den Systemausfall ein erheblicher Schaden entsteht. Die Hacker, die hinter einem solchen Angriff stecken, fordern vom betroffenen Unternehmen meistens Lösegeld. Erst nach Zahlung des geforderten Geldes wird der Server oder der Webdienst von der Überlastung befreit und für die Kunden des Unternehmens wieder erreichbar.

Wie funktioniert ein DDoS-Angriff?

Im Allgemeinen gibt es drei Hauptarten von DDoS-Attacken. Daneben werden heutzutage auf immer öfter IoT-Geräte gehackt, um mit einer DDoS-Attacke ein IT-System anzugreifen.

  • Netzwerkzentrierte bzw. volumetrische Angriffe: Mit einem volumetrischen Angriff werden die Leitungen eines Servers oder Dienstes durch eine extrem groĂźe Traffic-Menge ĂĽberlastet. Damit wird die Bandbreite des IT-Systems extrem eingeschränkt und die Nutzer können diesen nicht mehr erreichen. Ein volumetrischer Angriff erzeugt demnach die Ăśberlastung eines Zielsystems durch Anfragen, deren Beantwortung eine unmöglich zu bewältigende Datenverkehrsmenge erfordert.
  • Protokollangriffe: Protokollangriffe agieren auf der Netzwerkebene eines Systems, das sie angreifen. Durch diesen Angriff werden die Tablespaces der zentralen Netzwerkdienste, der Firewall oder des Load-Balancers dahingehend ĂĽberlastet, dass Anfragen nicht weitergeleitet werden können. Netzwerkdienste arbeiten meistens mit Warteschlangen nach dem First-in-first-out-Prinzip. Das heiĂźt, dass der Rechner die Anfragen chronologisch nach Eingang abarbeitet. Dabei gibt es nur eine begrenzte Anzahl fĂĽr Anfragen in der Warteschlange. Bei einem Protokollangriff wird die Warteschlange so ĂĽberfĂĽllt, dass der Rechner nicht genug Kapazität hat, um die erste Anfrage bearbeiten zu können.
  • Angriffe auf Anwendungsebene: DDoS-Attacken auf der Anwendungsebene ĂĽberlasten die Ressourcen des Zielsystems, um den Zugriff auf die betroffene Webseite oder des betroffenen Dienstes zu stören. Dabei werden komplizierte Anfragen an ein IT-System gestellt, das bei dem Versuch der Beantwortung stark belastet wird. Erhält das Zielsystem mehrere Millionen Anfragen dieser Art in kĂĽrzester Zeit, tritt schnell eine Ăśberlastung ein und reagiert nur noch extrem langsam oder hängt sich auf.
  • DDoS-Angriffe und IoT-Geräte: Vernetzte Geräte wie Drucker oder intelligente Lautsprecher werden immer häufiger gehackt, um DDoS-Attacken durchzufĂĽhren. Computer verfĂĽgen in den meisten Fällen ĂĽber Firewalls und entsprechende Schutzsoftware, die vor einem fremden Zugriff schĂĽtzen. Geräte des Internet of Things (IoT) verfĂĽgen ĂĽber weitaus weniger Sicherheit und lassen sich viel leichter hacken und werden immer häufiger dafĂĽr zweckentfremden, schädliche Anfragen an Server zu stellen, also einen DDoS-Angriff durchzufĂĽhren. So infiltrieren Cyberkriminelle Drucker, Router oder Smartwatches, um sich die Rechenleitungen fĂĽr einen Angriff auf ausgewählte Server oder Webdienste zunutze zu machen.

Welchen Schutz gibt es vor DDoS-Angriffen?

Es gibt verschiedene Arten und Möglichkeiten, um sich vor einem DDoS-Angriff zu schützen. Meistens werden Server-Systeme zum Ziel von DDoS-Attacken. Auf diesen Servern laufen beispielsweise Webseiten oder Streaming-Dienste. Eine DDoS-Abwehr erkennt, filtert und blockiert den Traffic der Angreifer. Dabei werden lediglich die Datenanfragen der wirklichen Nutzer weitergeleitet. Ganz allgemein gibt es dafür zwei Lösungsansätze:

  • On-Premise: Direkt im Unternehmen wird eine Vorrichtung im Internetzugang angeschlossen, die unerwĂĽnschten Daten-Traffic herausfiltert. Dabei sind keine Veränderungen am Netzwerk nötig, jedoch eignet sich diese Methode nicht gegen volumetrische Angriffe.
  • In the Cloud: Während einer DDoS-Attacke werden die entsprechenden Daten an einen Cloud-basierten Server zur ĂśberprĂĽfung und Filterung geschickt. Dabei gibt es einmal die Möglichkeit, einen einzelnen Server zu schĂĽtzen, indem der DNS-Eintrag des Unternehmens in der Abteilung fĂĽr Datenbereinigung des Providers in eine virtuelle IP-Adresse konvertiert wird. Der Daten-Traffic wird dann dort geprĂĽft und nur ĂĽberprĂĽfter Traffic weitergeleitet. AuĂźerdem besteht die Möglichkeit, das Netzwerk insgesamt durch die Ăśbertragung von Daten-Traffic an die Abteilung fĂĽr Datenbereinigung des Providers ĂĽber ein sogenanntes BGP-Protokoll (Border Gateway Protocol) vor DDoS-Bedrohungen zu schĂĽtzen. Der ĂĽberprĂĽfte Traffic wird danach ĂĽber einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen zurĂĽckgegeben. Diese Methoden eignet sich auch als DDoS-Schutz vor groĂźen volumetrischen Angriffen. Allerdings mĂĽssen dafĂĽr manuelle Eingriffe in die Netzwerk-Konfiguration vorgenommen werden.
Mehr Infos

(lasa)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten