DDoS-Angriff

Was ist ein DDoS-Angriff?

Bei einem DDoS-Angriff werden Server einer Webseite mit möglichst vielen Anfragen belästigt. Ziel dabei ist es, dass der Server kapitulieren muss und die Webseite nicht mehr erreichbar ist. Bei einem der größten Angriffe überhaupt wurden dazu nicht mehr, wie üblich, manipulierte Rechner verwendet, sondern Alltagsgegenstände. Dabei handelte es sich beispielsweise um über das Internet verbundene Kameras oder Toaster.

Am Freitag, den 21. Oktober wurden mehrere Webdienste durch einen DDoS-Angriff lahmgelegt. Betroffen waren unter anderem Dienste wie Twitter, Spotify und Reddit. Vor allem im Osten der USA kam es auf Grund der Attacke zu Aussetzern. Besonders an diesem Angriff waren mehrere Faktoren. Eine solche Attacke richtet in der Regel Schaden an den Servern an, gegen die sie gerichtet ist. In diesem Fall traf es mit Dyn einen Internetdienstleister. Das eigentliche Ziel, waren aber die Kunden von Dyn. Und so traf es Spotify, Twitter, Reddit sowie einige Nachrichtenplattformen.

Doch was passiert bei einem solchen Angriff? Wie funktioniert er? DoS steht für Denial of Service. Das ist übersetzbar mit dem Wort Dienstverweigerung. Es geht also um die Nichtverfügbarkeit eines Dienstes, was zum Beispiel durch die Überlastung eines Servers erreicht wird. Hierfür kann es verschiedene Gründe geben. Einer davon ist ein gezielter Angriff auf den Server.

Der DDoS-Angriff entsteht

Jede Anfrage bei einer Webseite führt zu einem Server, der diese Webseite im Hintergrund betreibt. Für jeden Seiten-Besucher, hält der Server einen kleinen Teil des Arbeitsspeichers reserviert. Und dies für eine gewisse Zeit, bevor diese Anfrage wieder gelöscht wird. Die Nutzer können dann schnell von einer Unterseite zu nächsten gelangen. Für jede Anfrage reserviert der Server ungefähr 40MB des Arbeitsspeichers. Irgendwann, wenn zu viele Anfragen parallel kommen, ist der Arbeitsspeicher voll und der Server verweigert den Dienst. Der Nutzer erhält eine Fehlermeldung. Und das ist das Ziel einer Attacke: Einen Server dazu zu bringen, dass der eigentliche Dienst nicht mehr erreichbar ist.

Da ein normaler Server aber eine Menge Anfragen braucht, damit er in die Knie geht, werden bei solchen Angriffen gezielt sehr viele Anfragen an den Server gerichtet. Nur weil gerade ein paar hundert Anfragen parallel kommen, wird kein Server den Dienst verweigern. Daher kommen bei einem Angriff die Anfragen von vielen Rechner parallel. Hier spricht man von Botnetzen. Der Angriff wird also verteilt, es ist ein Distributed Denial of Service, kurz eine DDoS-Angriff. Die Anfragen in diesem Botnetz sind nicht mehr nur normale Anfrage. Jeder einzelne Bot (=Rechner) sendet tausende, zum Teil auch sehr komplizierte Anfragen an den Server. Beispielsweise werden die URLs dazu unnötig verkompliziert. Der Server muss mehr rechnen, damit er die Anfragen bearbeiten kann. Irgendwann schafft er dies nicht mehr und der Angriff war erfolgreich.

Die Botnetze für den DDoS-Angriff

Wie kommen die Angreifer an die vielen Bots? Bots, auch Zombies genannt, sind die Rechner, die den Angriff durchführen. Die Zombies werden fremdgesteuert, die meisten Besitzer dieser Rechner sind sich noch nicht einmal bewusst, dass sie Teil eines Botnetzes sind. Durch falsch konfigurierte Firewalls, fehlende Virensoftware oder Sicherheitslücken in Software werden diese Rechner mit Hilfe von Würmern, Trojaner und Viren erobert und kontrolliert. Experten gehen davon aus, dass in Deutschland mehr als ein Drittel aller Rechner infiziert sind.

Der aktuelle Fall um den Dienst Dyn gilt als einer der größten Angriffe dieser Art. Besonders ist dabei , dass nicht die stationären Rechner genutzt wurden. Bei diesem DDoS-Angriff wurden vor allem Alltags-Geräte, die mit dem Internet verbunden sind, genutzt. Dabei kann es sich um Überwachungskameras, Thermostate oder Kühlschränke, anders gesagt dem Internet der Dinge, handeln. Brian Krebs, IT-Sicherheitsexperte aus den USA, hat in seinem Blog erklärt, wie das Internet of Thinks (IoT) zu einem Botnetz wird. Ein solcher Angriff wird die Spezialisten mit Sicherheit nicht zum letzten Mal beschäftigen. Einige Experten stellen sogar die Überlegung an, ob dieser Angriff vom 21.10. nicht nur ein Test für einen viel größeren Angriff war.

Wer steckte hinter dem DDoS-Angriff? (Update)

Wie heise Security einen Monat später berichtete, handelte es sich bei dem Angriff auf den DNS Anbieter Dyn allerdings nicht um die Vorbereitung eines großes Angriffs. Der Angreifer war möglicherweise ein frustrierter Gamer. und sein Ziel war unter Umständen gar nicht Dyn, sondern vielmehr Sony, dem Hersteller der Playstation. Die Attacke selbst soll relativ einfach gestaltet gewesen sein, so berichten Sicherheitsexperten. Dennoch besteht die Gefahr weiterhin, dass IoT-Geräte für einen weiteren Angriff genutzt werden. Waren es beim Angriff im Oktober nur 150.000 Geräte, dann ist vorstellbar, was eine deutlich größere Zahl an Geräten anrichten könnte.

Wie denken Sie über die aktuellen Entwicklungen? Haben Sie weitere Fragen zum Thema DDoS-Angriff? Schreiben Sie uns doch einfach oder kommentieren Sie den Beitrag!

Stefan Joussen

IT Leiter / Teamleiter System Engineering

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.