Ein Webserver mit eigener Domain ist heutzutage schon für wenige Euro zu haben. Bei den günstigen Preisen muss man allerdings mit vielen Einschränkungen leben, sei es beim zustehenden RAM oder dem Trafficlimit. Bei zu vielen gleichzeitigen Zugriffen können schnell die Dienste des Servers lahm gelegt werden. Root-Server mit ausreichend RAM-Kapazitäten können dagegen mit sehr viel mehr Anfragen umgehen und diese zeitgerecht abarbeiten. Bei einer DDOS-Attacke kann aber auch der stärkste Root-Server nicht mehr standhalten. Leider sind solche Attacken zu einem bedrohlichen Angriffsvektor in der heutigen Zeit geworden. Der Ausfall eines Online-Shop-Systems kann heutzutage die Existenz eines Unternehmens gefährden. Viele E-Commerce Firmen unterschätzen diese Gefahr und ergreifen keine geeigneten Maßnahmen um erfolgreich gegen DDOS-Angriffe vorzubeugen.
Was ist DDOS
DDoS ist die Kurzbezeichnung für distributed denial of service. Immer wenn ein Dienst (meist Webdienst) mutwillig überlastet wird, so dass dieser nicht mehr erreichbar ist, spricht man von einer DDoS-Attacke. Die häufigsten Attacken finden im World Wide Web statt. Das Ziel solcher Angriffe sind Webauftritte, E-Mail-Server oder sonstige Onlineservices. Das Motiv für einen DDOS-Angriff kann vielfältig sein, bspw. Erpressung oder politische Gründe. In der Hackingszene versuchen sich Kriminelle durch DDoS-Angriffe auf namhafte Unternehmen einen Namen zu machen. Deshalb bekennen sich auch manchmal die Täter, indem sie ihre Tat auf öffentlichen Kanälen ankündigen oder im Nachgang davon berichten. Verteilte Angriffe (distributed) sind besonders gefährlich, da diese Überlastung durch den gleichzeitigen Zugriff unterschiedlicher Systeme (Clients / IP-Adressen) durchgeführt werden. Bei den Clients handelt es sich in der Regel um kompromittierte Systeme, d.h. durch Malware konnte die Kontrolle über diese Systeme übernommen werden.
DDoS via Botnetz
Hat sich die Malware erst einmal auf einem fremden System eingenistet, können verschiedene Funktion nachgeladen werden. Die kompromittierten Systeme bilden ein gemeinsames Botnetzwerk, dass für DDoS-Attacken eingesetzt werden kann. Die Anwender der infizierten Systeme merken davon relativ wenig. Die Bots nehmen von einer Steuerzentrale (Command and Controlserver) die Befehle entgegen.
Angriffsarten
Während früher DDoS-Angriffe auf Layer 2-4 Ebene stattgefunden haben, werden heutzutage auch vermehrt Angriffe auf Layer 7, also auf Applikationsebene, durchgeführt.
Flooding-Attacken
Eine der bekanntesten Flooding-Attacken sind Syn-Floods. Zu dem Zielsystem werden unzählige Verbindungen initiiert, aber nicht abgeschlossen. Der Dienst ist ab einer gewissen Anzahl an Verbindungen überfordert und antwortet nicht mehr. Die Syn-Flood-Attacke wird via den TCP-Handshake durchgeführt.
TCP-Handshake
Bevor eine TCP-Verbindung hergestellt wird, wird ein sogenannter Handshake durchgeführt. Der Client sendet dem Zielsystem ein SYN-Paket zu. Der Client erhält daraufhin ein SYN-ACK-Paket zurück. Zum Abschluss des Handshakes sendet der Client ein ACK-Paket an das Zielsystem zurück.
Bei einer SYN-Flood-Attacke wird der letzte Schritt des TCP-Handshakes ausgelassen. Dadurch, dass der Client den Handshake mit dem ACK-Paket nicht abschließt, bleibt der Versuch, eine Verbindung aufzubauen offen. Der Server wartet auf das abschließende ACK-Paket des Client und kann deshalb nicht sofort den Handshake abbrechen.
Im Schaubild links werden durch den Angreifer (grün) so viele SYN-Pakete verschickt und unbeantwortet gelassen, so dass eine Anfrage von einem anderen User (lila) nicht mehr bearbeitet werden kann.
DNS-Attacken
DNS-Server übersetzen Domainnamen zu IP-Adressen. Ohne DNS-Server müsste jeder Onlineuser die IP-Adresse der Zielwebseite kennen, die er besuchen möchte. Bei DDoS-Attacken werden sehr gerne DNS Amplification Attacken eingesetzt. Bei dieser Angriffsart wird besonders die Paketgröße der Antwort ausgenutzt, die um das vielfache größer ist als die Anfrage. Wird nun die anfragende IP-Adresse mit der des anzugreifenden Rechners (gespooft), so wird das Zielsystem mit unzähligen Antwortpaketen überflutet.
Die infizierten Systeme agieren nun als Bot in einem gemeinsamen System.
Weitere Angriffsarten
Die Liste von möglichen Angriffsvektoren ist sehr lang. Durch den stetigen Fortschritt der Technik wird die Liste von Angriffsarten auch weiterhin steigen. Solange ältere Systeme nicht korrekt gewartet werden und mit Updates versorgt werden, stellen diese auch in Zukunft ein Risiko im Internet da und fungieren als Werkzeug zu DDoS-Attacken. Weitere nennenswerte Angriffsvektoren sind beispielsweise NTP-Attacken (Network Time Protocol) oder ICMP-Attacken (Internet Control Message Protocol).
Schutz vor DDoS
Wie kann man sich sicher vor DDoS-Attacken schützen? Ein sicherer Schutz vor DDoS-Attacken gibt es nicht! Man kann aber auf jedenfall die Angriffsfläche für ein solches Szenario verkleinern.
- Tip 1: Sofern Dienste auf einem Server nicht benötigt werden, sollte man diese auch deinstallieren und den dafür vorgesehenen Port sperren (beispielsweise FTP)
- Tip2: Wird sowohl TCP als auch UDP benötigt, oder kann auf UDP verzichtet werden? Dann sollten Anfragen über das verbindungslose Protokoll UDP unterbunden werden
- Tip3: Halboffene Verbindungen (Syn-Flood) sollten nicht mehr zum Überlauf führen (beispielsweise mit Hilfe von TCP SYN cookie protection)
- Tip4: CDNs (Content Delivery Networks) schwächen DDoS-Attacken erheblich ab