Was ist eine DDoS-Attacke?

Was ist DDOS?

DDOS (Distributed Denial of Service) ist eine Form eines Cyberangriffes. Dieser hat das Ziel, dafür zu sorgen, dass Webserver oder Netzwerke mit sehr vielen gleichzeitig getätigten Anfragen überlastet werden. Das Ziel solcher Angriffe ist es, den Server oder das Netzwerk so schnell wie möglich nicht mehr erreichbar zu machen.

Unterschied zwischen DOS und DDOS

Eine DDOS Attacke hat im Gegensatz zu einer einfachen DOS-Attacke eine immensere Wirkung. Bei DOS-Angriffen werden die Anfragen, die das System überlasten sollen, meist von nur einem Rechner aus getätigt.

Wenn man diesen Rechner ausfindig macht, kann man dessen IP-Adresse sperren und somit weitere Anfragen verhindern. DOS-Attacken können aber auch ohne Anfragen verrichtet werden. Einfache Programmierfehler im Quelltext können es Angreifern leicht machen, den Server oder das Netzwerk zum Abstürzen zu bringen.

Wie funktioniert eine DDOS-Attacke?

Gehen Anfragen von mehreren Rechnern aus, spricht man von einer DDOS-Attacke. Der Angreifer verwendet hierzu entweder gehackte oder gekaperte Systeme. Eine weitverbreitete Methode, um Systeme zu hacken, ist das Versenden von sogenannten Phishingmails. Somit verschaffen sich Angreifer (ggf. auch unbemerkt) Zugriff auf verschiedene Rechner, welche dann für DDOS-Angriffe missbraucht werden.

Hat sich nun der Angreifer Kontrolle über mehrere Rechner verschafft, spricht man von einem Botnetz. Dieses Botnetz verwendet der Angreifer, um zig Anfragen an einen Server zu senden und diesen zum Abstürzen zu bringen. Im Vergleich zu einfachen DOS-Angriffen sind die Auswirkungen eines DDOS-Angriffes weitaus verheerender. Da der Traffic (Datenaustausch zwischen Client und Server in der Sekunde) von verschiedenen Systemen ausgeht, ist es leider nur sehr schwer zu erkennen, welcher Netzwerkverkehr Teil des Angriffes ist und welcher zum regulären Netzwerkverkehr gehört. Entsprechende Filter-Kriterien festzulegen, ist in einem solchen Fall äußerst kompliziert.

Historische DDOS-Attacken

Im Jahr 2000 verrichtete ein 15-jähriger Junge namens Michael Calce einen riesigen DDOS-Angriff, welchen CNN, DELL, E-Trade, eBay und Yahoo betraf. Dies hatte immense Folgen für die Börse mit sich gebracht. Geschafft hatte der junge Highschool-Schüler den Angriff, indem er sich in diverse Universitäten hackte und die Server für seinen Angriff missbrauchte.

Der weitaus bedeutendste DDOS-Angriff fand im September 2017 statt. Betroffen waren dabei die Google-Dienste mit einem Traffic von 2,54 Tbit/s. Sogenannte Spoofing-Pakete wurden an 180.000 Webserver gesendet, wobei dies kein Einzelfall war. Die Angreifer hatten schon mehrere Male DDOS-Attacken auf Google verübt. Um das Ausmaß zu verdeutlichen: Der durchschnittliche Traffic an einem der größten Internetknotenpunkte in Frankfurt (DE-CIX) betrug im September 2017 knapp 5,80 Tbit/s.

Exkurs Spoofing

Bei Spoofing nutzen Angreifer Bots, welche überdurchschnittlich viele Anfragen an einen Dienst senden. Bei jeder Anfrage ist eine Absender-IP hinterlegt, damit der Server des Dienstes genau weiß, welcher IP er zu antworten hat. Beim Spoofing werden die Absender-IPs bei der Anfrage manipuliert und bekommen andere IP-Adressen zugewiesen, diese gehören dann oft unbeteiligten Personen. Somit antwortet der Server auf die manipulierte IP und die unbeteiligte Person erhält unzählige antworten, was zur Überlastung des Netzwerkes führt.