DDoS: Dis­tri­bu­ted Denial of Service

Die Nicht­ver­füg­bar­keit eines Dienstes wird in der In­for­ma­tik „Denial of Service“ (DoS) genannt. Solche Dienst­blo­cka­den sind in der Regel Be­gleit­erschei­nun­gen einer Über­las­tung einzelner Kom­po­nen­ten der IT-In­fra­struk­tur. Wird dieser Zustand durch externe Akteure mutwillig her­bei­ge­führt, spricht man von einer DoS-Attacke. Dabei richtet ein Angreifer gezielt mehr Anfragen an ein Ziel­sys­tem, als dieses be­ant­wor­ten kann. So lassen sich Netz­werk­ge­rä­te, Be­triebs­sys­te­me oder einzelne Ser­ver­diens­te derart be­an­spru­chen, dass diese auf reguläre Anfragen gar nicht oder nur noch verzögert reagieren können. Besonders effektiv ist ein solches Vorgehen, wenn ein System mit Anfragen diverser Rechner kon­fron­tiert wird. Anders als DoS-Attacken stützen sich solche DDoS-Angriffe auf um­fang­rei­che Bot-Netze.

Eine geläufige Form des DoS wird „Dis­tri­bu­ted Denial of Service“ (DDoS) genannt. Cy­ber­kri­mi­nel­le agieren bei dieser Variante nicht von einem einzelnen An­griffs­com­pu­ter aus, sondern belasten Ziel­sys­te­me durch Anfragen mehrerer Rechner, die zu gi­gan­ti­schen Bot-Netzen zu­sam­men­ge­schlos­sen sein können. Durch einen solchen Rech­ner­ver­bund lässt sich deutlich mehr Da­ten­ver­kehr ge­ne­rie­ren als bei einfachen DoS-Angriffen, die nur von einem einzigen System aus durch­ge­führt werden. DDoS-Attacken haben daher dras­ti­sche Aus­wir­kun­gen für Be­trof­fe­ne, die in der Regel nur geringe Aussicht haben, die ei­gent­li­che Quelle des Angriffs ausfindig zu machen. Denn Angreifer, die Bot-Netze dieser Art errichten, bedienen sich spe­zi­el­ler Software-Agenten, die ohne Kenntnis der Betreiber auf un­zu­rei­chend ge­schütz­ten Rechnern im Internet platziert und zentral gesteuert werden. Oft erfolgt eine solche „In­fi­zie­rung“ schon Monate vor dem ei­gent­li­chen DDoS-Angriff.

Grundlage jeder DDoS-Attacke ist ein größerer Rech­ner­ver­bund. In der Theorie kann sich dieser Verbund tat­säch­lich im Besitz des An­grei­fers befinden – in der Praxis handelt es sich aber beinahe aus­nahms­los um die bereits erwähnten Bot-Netzwerke, die oft aus hun­dert­tau­sen­den Computern bestehen. Ent­spre­chen­de Computer sind mit einer Malware infiziert, die Cy­ber­kri­mi­nel­len den un­be­merk­ten Fern­zu­griff er­mög­licht. In der jüngeren Ver­gan­gen­heit spielen dabei immer mehr auch IoT-Geräte (Internet of Things) wie Router, Über­wa­chungs­ka­me­ras oder digitale Video-Rekorder eine ent­schei­den­de Rolle, die sich ebenfalls als Bots miss­brau­chen lassen.

Mit dem passenden Rech­ner­ver­bund im Rücken, hat der Angreifer häufig leichtes Spiel, den geplanten DDoS zu rea­li­sie­ren. Denn zur Erfüllung seines Ziels – den ins Visier ge­nom­me­nen Dienst zum Erliegen zu bringen – benötigt er nun lediglich den passenden An­griffs­punkt im System bzw. Netzwerk des Opfers. Sobald er eine solche Backdoor (dt. Hintertür) gefunden hat, kann er die not­wen­di­gen Befehle an seine Bot-Armee senden, um die DDoS-An­griffs­wel­le zum ge­wünsch­ten Zeitpunkt zu starten. Welche ver­schie­den­ar­ti­gen Aktionen und An­griffs­mus­ter durch die fern­ge­steu­er­ten Bots dabei unter anderem zum Einsatz kommen können, erfahren Sie in den folgenden Ab­schnit­ten.

Im Un­ter­schied zuAnders als  anderen Über­grif­fen durch Cy­ber­kri­mi­nel­le zielen DoS- und DDoS-Attacken nicht darauf ab, ein System zu in­fil­trie­ren. Diese Sie können jedoch Be­stand­teil eines solches Hacking-Angriffs sein. Zum Beispiel, wenn ein System lahm­ge­legt wird, um von einem Angriff auf ein anderes System ab­zu­len­ken. Wird die Re­ak­ti­ons­fä­hig­keit eines Servers durch DDoS- oder und DDoS-Attacken verzögert, haben Hacker zudem die Mög­lich­keit, Anfragen an das über­las­te­te System durch ge­fälsch­te Antworten zu ma­ni­pu­lie­ren. Die Stra­te­gien, die solchen Angriffen zugrunde  liegen, lassen sich in drei Ka­te­go­rien einteilen:

• die Über­las­tung der Band­brei­te,
• die Über­las­tung der Sys­tem­res­sour­cen und
• die Aus­nut­zung von Soft­ware­feh­lern und Si­cher­heits­lü­cken

Eine Über­las­tung der Band­brei­te hat die Nicht­er­reich­bar­keit eines Rechners zum Ziel. DoS- und DDoS-Angriffen richten sich in diesem Fall direkt an das Netzwerk und die je­wei­li­gen Ver­bin­dungs­ge­rä­te. So kann ein Router bei­spiels­wei­se nur eine bestimmte Da­ten­men­ge gleich­zei­tig be­ar­bei­ten. Wird diese Kapazität durch einen Angriff komplett in Anspruch genommen, stehen die ent­spre­chen­den Dienste für andere Nutzer nicht mehr zur Verfügung. Eine klas­si­sche DDoS-Attacke mit dem Ziel der Breit­band­über­las­tung ist der Smurf-Angriff.

• Smurf-Angriff: Diese DDoS-Attacke macht sich das Internet Control Message Protocol (ICMP) zunutze, das dem Austausch von In­for­ma­ti­ons- und Feh­ler­mel­dun­gen in Rech­ner­net­zen dient. Dabei sendet ein Angreifer ge­fälsch­te ICMP-Pakete des Typs „Echo Request“ (Ping) an die Broadcast-Adresse eines Com­pu­ter­netz­werks und verwendet dabei die IP des An­griffs­ziels als Ab­sen­der­adres­se. Vom Router des Netzwerks wird die Broadcast-Anfrage an alle an­ge­schlos­se­nen Geräte wei­ter­ge­lei­tet, wodurch jedes dazu ver­an­lasst wird, eine Antwort an die Ab­sen­der­adres­se (Pong) zu senden. Ein großes Netzwerk mit vielen an­ge­schlos­se­nen Geräten kann die Band­brei­te des An­griffs­ziels massiv be­ein­träch­ti­gen.

Zielt eine DoS- oder DDoS-At­ta­ckeD­DoS-Angriff auf die Res­sour­cen eines Systems ab, nutzen Angreifer den Umstand aus, dass Webserver nur eine begrenzte Anzahl an Ver­bin­dun­gen her­stel­len können. Werden diese mit sinnlosen oder un­gül­ti­gen Anfragen belegt, lassen sich Ser­ver­diens­te für reguläre Benutzer effektiv blo­ckie­ren. Man spricht in diesem Fall von Flooding (Über­flu­tung). Klas­si­sche DDoS-An­griffs­mus­ter auf die Sys­tem­res­sour­cen sind HTTP-Flood, Ping-Flood, SYN-Flood und UDP-Flood.

• HTTP-Flood: Bei dieser ein­fachs­ten DDoS-An­griffs­va­ri­an­te zur Res­sour­cen­über­las­tung über­schwemmt der Angreifer den Webserver des Ziels mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss er lediglich beliebige Seiten des Ziel­pro­jekts aufrufen, bis der Server unter der Last an Anfragen zu­sam­men­bricht.
   
• Ping-Flood: Auch bei diesem An­griffs­mus­ter bedienen nut­zen­sich  Cy­ber­kri­mi­nel­le ICMP-Pakete des Typs „Echo Request“. Diese werden in der Regel durch Bot-Netze mas­sen­haft an An­griffs­zie­le versendet. Da jede dieser Anfragen (Ping) vom Ziel­sys­tem mit einem Da­ten­pa­ket be­ant­wor­tet werden muss (Pong), lassen sich langsame Systeme durch Ping-Flood massiv aus­brem­sen.
   
• SYN-Flood: Dieses An­griffs­mus­ter stellt einen Miss­brauch des TCP-Threeway-Hand­shakes dar. TCP („Trans­mis­si­on Control Protocol“) ist ein Netz­werk­pro­to­koll, das zusammen mit IP einen ver­lust­frei­en Da­ten­ver­kehr über das Internet si­cher­stellt. Der Aufbau einer TCP-Ver­bin­dung erfolgt dabei stets in einer drei Schritte um­fas­sen­den Au­then­ti­fi­zie­rung. Dazu sendet ein Client einem Server ein Syn­chro­ni­sa­ti­ons­pa­ket (SYN). Dieses wird vom Server in Empfang genommen und ebenfalls mit einem Syn­chro­ni­sa­ti­ons­pa­ket (SYN) sowie einer Be­stä­ti­gung (ACK) be­ant­wor­tet. Ab­ge­schlos­sen wird der Ver­bin­dungs­auf­bau durch eine cli­ent­sei­ti­ge Be­stä­ti­gung (ACK). Bleibt diese aus, lassen sich Systeme effizient lahmlegen, da der Server nicht ab­schlie­ßend be­stä­tig­te Ver­bin­dun­gen im Ar­beits­spei­cher vorrätig hält. Kommt eine große Anzahl dieser so­ge­nann­ten halb­of­fe­nen Ver­bin­dun­gen durch SYN-Flooding zusammen, lassen sich die ver­füg­ba­ren Ser­ver­res­sour­cen unter Umständen komplett belegen.
   
• UDP-Flood: Bei dieser Attacke setzen Cy­ber­kri­mi­nel­le auf das ver­bin­dungs­lo­se User Datagram Protocol (UDP). Anders als bei einer Über­tra­gung via TCP können Daten per UDP auch ohne Ver­bin­dungs­auf­bau über­mit­telt werden. Im Rahmen von DoS- und DDoS-Angriffen werden UDP-Pakete daher in großer Anzahl an zufällig aus­ge­wähl­te Ports des Ziel­sys­tems gesendet. Dieses versucht erfolglos zu ermitteln, welche Anwendung auf die über­mit­tel­ten Daten wartet und sendet daraufhin ein ICMP-Paket mit der Nachricht „Ziel­adres­se nicht er­reich­bar“ an den Absender zurück. Wird ein System mit zahl­rei­chen Anfragen dieser Art belastet, kann die Res­sour­cen­aus­las­tung dazu führen, dass die Ver­füg­bar­keit für reguläre Benutzer stark ein­ge­schränkt wird.

Sind einem Angreifer bestimmte Si­cher­heits­lü­cken eines Be­triebs­sys­tems oder Programms bekannt, lassen sich DoS- und DDoS-Attacken so gestalten, dass Anfragen Soft­ware­feh­ler bis hin zu Sys­tem­ab­stür­zen auslösen. Beispiele für An­griffs­mus­ter dieser Art sind der Ping of Death und Land-Attacken.

• Ping of Death: Dieses An­griffs­mus­ter hat das Ziel, das be­trof­fe­ne System zum Absturz zu bringen. Angreifer machen sich dazu Im­ple­men­tie­rungs­feh­ler des Internet Protocols (IP) zunutze. IP-Pakete werden in der Regel als Fragmente versendet. Werden dabei feh­ler­haf­te In­for­ma­tio­nen für das Zu­sam­men­set­zen der Pakete mit­ge­schickt, lassen sich manche Be­triebs­sys­te­me so aus­trick­sen, dass sie IP-Pakete erzeugen, die größer sind als die maximal zu­läs­si­gen 64 KB. Dies kann zu einem „Buffer Overflow“ (Puf­fer­über­lauf) führen, bei dem zu große Da­ten­men­gen dafür sorgen, dass im Ziel-Spei­cher­be­reich an­gren­zen­de Spei­cher­stel­len über­schrie­ben werden.
   
• Land-Attacke: Bei einer Land-Attacke sendet ein Angreifer im Rahmen des TCP-Threeway-Hand­shakes (siehe oben) ein SYN-Paket, dessen Ziel- und Ab­sen­der­adres­se dem Server ent­spre­chen, der an­ge­grif­fen werden soll. Dies hat die Folge, dass der Server die Antwort auf die Anfrage in Form eines SYN/ACK-Pakets an sich selbst sendet. Das kann als neue Ver­bin­dungs­an­fra­ge in­ter­pre­tiert werden, die wiederum mit einem SYN/ACK-Paket be­ant­wor­tet werden muss. So entsteht eine Situation, in der das System kon­ti­nu­ier­lich eigene Anfragen be­ant­wor­tet, was zu einer massiven Aus­las­tung bis hin zum Absturz führen kann.

Um einer Über­las­tung von IT-Systemen durch DoS- uns DDoS-Attacken ent­ge­gen­zu­wir­ken, wurden diverse Si­cher­heits­maß­nah­men ent­wi­ckelt. An­satz­punk­te bieten die Iden­ti­fi­zie­rung kri­ti­scher IP-Adressen sowie das Schließen bekannter Si­cher­heits­lü­cken. Zudem gilt es, Hardware- und Software-Res­sour­cen zur Verfügung zu stellen, mit denen sich kleinere Angriffe kom­pen­sie­ren lassen.

• IP-Sperr­lis­ten: Sperr­lis­ten er­mög­li­chen es, kritische IP-Adressen zu iden­ti­fi­zie­ren und Da­ten­pa­ke­te direkt zu verwerfen. Diese Si­cher­heits­maß­nah­me lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperr­lis­ten über die Firewall au­to­ma­ti­sie­ren.
   
• Filterung: Um auf­fäl­li­ge Da­ten­pa­ke­te her­aus­zu­fil­tern, ist es möglich, Grenz­wer­te für Da­ten­men­gen in einem be­stimm­ten Zeitraum zu de­fi­nie­ren. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server re­gis­triert und mög­li­cher­wei­se un­be­grün­det blockiert werden.
   
• SYN-Cookies: SYN-Cookies nehmen Si­cher­heits­lü­cken im TCP-Ver­bin­dungs­auf­bau ins Visier. Kommt diese Si­cher­heits­maß­nah­me zum Einsatz, werden In­for­ma­tio­nen über SYN-Pakete nicht mehr auf dem Server ge­spei­chert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe be­an­spru­chen so zwar Re­chen­ka­pa­zi­tät, belasten jedoch nicht den Speicher des Ziel­sys­tems.
   
• Load-Balancing: Eine effektive Ge­gen­maß­nah­me gegen Über­las­tung ist eine Las­ten­ver­tei­lung auf ver­schie­de­ne Systeme, wie sie durch Load-Balancing er­mög­licht wird. Dabei wird die Hardware-Aus­las­tung be­reit­ge­stell­ter Dienste auf mehrere physische Maschinen verteilt. So lassen sich DoS- und DDoS-Attacken bis zu einem be­stimm­ten Maß auffangen.