DDoS-Angriffe rechtzeitig erkennen

DDoS-Angriffe („Distributed Denial of Service“) sind Angriffe auf die Netzwerke und Systemen von Firmen, Institutionen und Behörden durch Cyberkriminelle und gehören leider mittlerweile zum Alltag. Wie Sie ein DDoS-Angriff erkennen können und auf welche Anzeichen Sie achten sollten, erläutern wir heute in unserem Blogbeitrag.

DDoS-Angriffe, so einfach können Sie diese erkennen

Wie in unserem letzten Beitrag zu DDoS-Attacken „DDoS-Attacken auf Webseiten, Shops & Netzwerke – einfach erklärt“ beschrieben, gibt es verschiedene DDoS-Angriffsszenarien: Dazu gehören DoS, DDoS und die Sonderform DRDoS.

Doch der Hauptaspekt dieser Angriffe liegt immer auf einer großen Anzahl von generierten Aufrufen oder Aktionen, die durch einen oder mehrere Rechner oder ein sogenanntes „Botnetzwerk“ erstellt worden sind.

Ausnahmen hierfür sind besonders nachgefragte Produkte, wie zum Beispiel in den letzten Jahren der Verkaufsstart des neuen Apple iPhones. Dort ging die erhöhte Nachfrage soweit, dass kurzfristig die Webseite nicht erreichbar war und das System neu gestartet werden musste.

Der Hintergrund für die Nutzung eines Botnetzwerks ist, dass ein Netzwerk von Computern für diese Attacke viel mehr Datenverkehr erzeugen kann als ein einzelnes System bei einem Denail of Service-Angriffen. Daher haben DDoS-Angriffe schwerwiegende Folgen für die Betroffenen, die in der Regel kaum die Möglichkeit haben, den wahren Ursprung des Angriffs zu ermitteln.

Dies liegt daran, dass Cyberkriminelle, die diese Art von Botnetzen erstellen, spezielle Software verwenden, die auf mit dem Internet verbundenen Computern mit unzureichenden Sicherheitsvorkehrungen installiert und ohne das Wissen dieser Personen zentral betrieben werden. Eine solche „Infektion“ von Privatrechnern sowie von Firmenrechnern erfolgt häufig schon Monate vor dem eigentlich geplanten DDoS-Angriff und „schlummern vor sich hin“ bis zu ihrem Einsatz. Die einzelnen Rechner fungieren bei einem Angriff als Angreifende auf das vom Cyberkriminellen geplante Ziel.

Ziel eines DDos-Angriffs

Zu den Zielen zählen für gewöhnlich folgende Unternehmen:

• Online Shops und Shopping-Seiten
• Online-Casinos
• Jedes andere Unternehmen und jede Organisation, welches einen Online-Services oder Dienstleistung in der Hinsicht anbietet

Taktiken eines DDoS-Angriffes

DDos-Angriffe, als auch DoS-Angriffe und DRDoS-Angriffe, haben im Gegensatz zu anderen Angriffen nicht das Ziel, ein System zu kompromittieren. Dennoch können sie in Kombination mit einem solchen Hacking-Versuch auftreten. Beispielsweise werden diese Angriffe als Ablenkung genutzt, um als Angreifende in das System einzudringen.

Die grundlegenden Taktiken dieser Angriffe lassen sich in drei Gruppen einteilen:

• die Ausnutzung von Softwarefehlern und Sicherheitslücken
• die Überlastung von Systemressourcen,
• und die Überlastung von Bandbreiten.

Ausnutzung von Softwarefehlern und Sicherheitslücken

Dabei nutzen die angreifenden Personen bestimmte und bekannte Sicherheitslücken oder Softwarefehler eines Betriebssystems oder Programms, um DoS- und DDoS-Attacken zu gestalten, dass die Anfragen die bekannten Softwarefehler bis hin zu Systemabstürzen auslösen.

Beispiele für dieses Angriffsmuster:

• Ping of Death: Der Ping of Death hat das Ziel, das betroffene System zum Absturz zu bringen. Daher auch übersetzt der Name „Ping des Todes“. Die angreifenden Personen machen sich die Implementierungsfehler des Internet Protocols (IP) zunutze. Dabei werden die IP-Pakete in der Regel als Fragmente versendet. Werden bei dem Versenden fehlerhafte Informationen für das Zusammensetzen der Pakete mitgeschickt, lassen sich manche Betriebssysteme so austricksen, dass sie IP-Pakete erzeugen, die größer sind als die maximal zulässigen 64 KB Größe. Dies kann zu dem bekannten Fehler „Buffer Overflow“ (Pufferüberlauf) führen, bei den zu großen Datenmengen dafür sorgen, dass im Ziel-Speicherbereich angrenzende Speicherstellen überschrieben werden.
• Land-Attacke: Ähnlich wie bei dem Szenario oben sendet der Angreifende bei einer Land-Attacke im Rahmen des TCP-Threeway-Handshakes ein SYN-Paket, dessen Ziel- und Absenderadresse dem Server entsprechen, der angegriffen werden soll. Dieses Paket verursacht, dass der Server die Antwort auf die Anfrage in Form eines SYN/ACK-Pakets an sich selbst sendet. Dies kann als neue Verbindungsanfrage interpretiert werden, die wiederum mit einem SYN/ACK-Paket beantwortet werden muss. So entsteht eine Situation, in der das System kontinuierlich eigene Anfragen beantwortet, was zu einer massiven Auslastung bis hin zum Absturz führen kann.

Überlastung der Systemressourcen durch einen DDoS-Angriff

Natürlich zielt ein DoS- oder DDoS-Angriff auf die Ressourcen eines Systems ab. Cyberkriminelle nutzen diese Tatsache für sich, da Webserver nur eine begrenzte Anzahl an Verbindungen herstellen können. Werden diese mit sinnlosen oder ungültigen Anfragen belegt, lassen sich somit Serverdienste für reguläre Benutzer oder Webseitenbesucher effektiv blockieren. Man spricht in diesem Fall von Flooding (Überflutung).

Klassische DDoS-Angriffsmuster auf die Systemressourcen sind HTTP-Flood, Ping-Flood, SYN-Flood und UDP-Flood.

• HTTP-Flood: Die HTTP-Flood ist die einfachste DDoS-Angriffsvariante zur Ressourcenüberlastung. Hierbei muss der Angreifende lediglich beliebige Seiten des Zielprojekts aufrufen, bis der Server unter der Last an Anfragen zusammenbricht. Dieser überschwemmt damit den Webserver mit einer Vielzahl von HTTP-Requests.
• Ping-Flood: Auch bei diesem Angriffsmuster bedienen nutzen sich Cyberkriminelle ICMP-Pakete des Typs „Echo Request“. Diese werden in der Regel durch Botnetze massenhaft an Abengriffsziele versendet. Da jede dieser Anfragen (Ping) vom Zielsystem mit einem Datenpaket beantwortet werden muss (Pong), lassen sich langsame Systeme durch Ping-Flood massiv ausbremsen.
• SYN-Flood: Dieses Angriffsmuster stellt einen Missbrauch des TCP-Threeway-Handshakes dar. TCP („Transmission Control Protocol“) ist ein Netzwerkprotokoll, das zusammen mit IP einen verlustfreien Datenverkehr über das Internet sicherstellt. Der Aufbau einer TCP-Verbindung erfolgt dabei stets in einer drei Schritte umfassenden Authentifizierung. Dazu sendet ein Client einem Server ein Synchronisationspaket (SYN). Dieses wird vom Server in Empfang genommen und ebenfalls mit einem Synchronisationspaket (SYN) sowie einer Bestätigung (ACK) beantwortet. Abgeschlossen wird der Verbindungsaufbau durch eine clientseitige Bestätigung (ACK). Bleibt diese aus, lassen sich Systeme effizient lahmlegen, da der Server nicht abschließend bestätigte Verbindungen im Arbeitsspeicher vorrätig hält. Kommt eine große Anzahl dieser sogenannten halboffenen Verbindungen durch SYN-Flooding zusammen, lassen sich die verfügbaren Serverressourcen unter Umständen komplett belegen.
• UDP-Flood: Bei dieser Attacke setzen Cyberkriminelle auf das verbindungslose User Datagram Protocol (UDP). Anders als bei einer Übertragung via TCP können Daten per UDP auch ohne Verbindungsaufbau übermittelt werden. Im Rahmen von DoS- und DDoS-Angriffen werden UDP-Pakete daher in großer Anzahl an zufällig ausgewählte Ports des Zielsystems gesendet. Dieses versucht erfolglos zu ermitteln, welche Anwendung auf die übermittelten Daten wartet und sendet daraufhin ein ICMP-Paket mit der Nachricht „Zieladresse nicht erreichbar“ an den Absender zurück. Wird ein System mit zahlreichen Anfragen dieser Art belastet, kann die Ressourcenauslastung dazu führen, dass die Verfügbarkeit für reguläre Benutzer stark eingeschränkt wird.

Zur Überlastung der Bandbreite durch einen DDoS-Angriff

Bei einem solchen Szenario spricht man von einem sogenannten Smurf-Angriff: Dieser DDoS-Angriff nutzt das Internet Control Message Protocol (ICMP), welches zur Übermittlung von Daten und Fehlermeldungen in den Netzwerken verwendet wird. Dabei sendet die angreifende Person gefälschte ICMP-Pakete vom Typ „Echo-Request“ (Ping) an die Broadcast-Adresse eines Computernetzwerks, wobei die IP des Angriffsziels als Absenderadresse verwendet wird. Die Broadcast-Anfrage wird vom Router des Netzwerks an alle angeschlossenen Geräte gesendet und zwingt diese, eine Antwort an die Absenderadresse zu senden (ping). Die Bandbreite des Angriffsziels kann durch ein großes Netzwerk mit vielen angeschlossenen Geräten erheblich beeinträchtigt werden und setzt das Ziel des Cyberkriminellen um.

Zusammenfassung: Achten Sie auf die Anzeichen eines DDoS-Angriffs!

Wie Sie wahrscheinlich aus unserem Beitrag herauslesen, können Sie DDoS-Angriffe auf den ersten Blick nur schwer erkennen. Schließlich ähneln diese Angriffe, rein oberflächlich betrachtet, einer Flut legitimer Nutzeranfragen auf Ihren Shop oder Webseite. Es gibt jedoch Möglichkeiten, den künstlich erzeugten Traffic eines Distributed-Denial-of-Service-Angriffs von dem organischen Datenverkehr zu unterscheiden.

Auf diese vier häufigen DDoS- Angriffs-Anzeichen sollten Sie dabei achten:

• Rückschlüsse auf einen geografischen Ursprung des DDoS-Angriffs: Trotz Spoofing- und Distribution-Techniken gehen viele DDoS-Angriffe von einer begrenzten IP-Range, einem einzelnen Land oder einer Region aus – vielleicht von einer, die normalerweise nicht viel Traffic erzeugt.
• Rückschlüsse auf eine Art oder desselben Geräts bei dem DDoS-Angriff: Ein weiteres, auffälliges Anzeichen für eine DDoS-Attacke ist es, wenn der gesamte Datenverkehr von demselben Client kommt, d.h. mit demselben Betriebssystem und Webbrowser. Normalen organischen Traffic würde sich in diesem Punkt durch eine „natürliche Vielfalt“ der verwendeten Geräte auszeichnen.
• DDoS-Angriff auf eine gezielte Seite: Datenverkehr, der auf einen einzigen Server, Netzwerkanschluss oder eine Webseite einstürzt, statt sich gleichmäßig über Ihre Website zu verteilen, ist ein weiterer Anhaltspunkt für einen DDoS-Angriff.
• Wiederkehrende Traffic-Muster: Ein weiteres Anzeichen für einen DDoS-Angriff sind stets in regelmäßigen, wiederkehrenden Wellen oder Mustern des Datenverkehrs oder Traffics auftritt. Dies kann ebenfalls auf eine Distributed-Denial-of-Service-Attacke hindeuten.

Haben Sie Rückfragen zu IT-Security-Themen? Nehmen Sie gerne Kontakt zu uns auf!