Eine DDoS Attacke ist eine Form von Angriff, bei der Angreifer einen an das Internet angeschlossenen Computer mit einer großen Menge an Anfragen überfluten, so dass der angegriffene Rechner diese Anfragen nicht mehr abarbeiten kann und als Folge dessen seine Dienste einstellt. Das Akronym DDoS steht für Distributed-Denial-of-Service und bedeutet übersetzt so viel wie „Verbreitete Verweigerung eines Dienstes“. Solche Dienste sind neben der Auslieferung einer Webseite, einem Shop, einem Marktplatz et cetera auch zum Abrufen von E-Mails oder auch über eine API z.B. zum Erstellen von Versandlabels notwendig.

Die Bandbreite bei einer DDoS Attacke

Bei einer DDoS Attacke ist das Verhältnis der verfügbaren Bandbreite des Rechenzentrums und der Bandbreite der angreifenden Seite entscheidend. Kann ein Angreifer mit einer höheren Bandbreite andauernd Anfragen an den Server stellen, so wird das Rechenzentrum die betroffenen Systeme abhängig vom Servicevertrag zuerst filtern und bei Überlastung null-routen, wodurch der Server dann komplett vom Netz genommen wird, wodurch alle Anfragen – auch nicht bösartige – abgelehnt werden und alle angebotenen Dienste außer Funktion gesetzt werden.
Um die benötigte Bandbreite zu erreichen, greifen die Angreifer bei DDoS-Attacken zu verschiedenen Mitteln.

Botnetze

In der Vergangenheit war die Verwendung von fremder Rechenleistung und Netzwerkkapazität eine von vielen Möglichkeiten zur Durchführung einer DDoS Attacken. Dies geschah häufig unbemerkt durch das Einschleusen von Schadcode als Computervirus oder durch Würmer et cetera. Je selbständiger eine Infizierung weiterer im Netz erreichbarer Rechner möglich war, umso größer wuchs das Botnetz, und somit auch die Bandbreite des durch diese Ressourcen ausführbaren Angriffs.

network of wifi internet gadgets

DDoS Attacken durch das Internet of Things

Eine zuletzt (Stand 2017) angewendete DDoS Methode ist die Zweckentfremdung von internetfähigen Gadgets, Kleingeräten, Wearables et cetera gewesen, die einen Teil des Internet of Things (IoT) darstellen. Diese Internet of Things wurden von den Angreifern übernommen, wodurch eine massive Steigerung der Bandbreite möglich wurde. Der geringe Grad der Absicherung konnte die Übernahme dieser Geräte in enormer Anzahl möglich machen. Weil diese Geräte Zugriff auf das Internet hatten, konnten die von dem Internet-of-Things (IoT) gestellten Anfragen an die betroffenen Server eine gewaltige Bandbreite zu erzeugen, ohne dass es die Benutzer dieser Gadgets vielleicht überhaupt bemerkten.

Maßnahmen gegen DDoS Attacken

Um einen DDoS Angriff gar nicht erst möglich zu machen, sollten Sie sichere Passwörter für WLAN und Internetzugriff Ihrer Geräte verwenden und die Software Ihrer Geräte auf einem möglichst aktuellen Stand halten, in dem Sie Updates einspielen. Um bei einem DDoS auf die eigenen Systeme nicht zu großen Schaden zu erleiden können die im Folgenden genannten Maßnahmen getroffen werden.

gezieltes Filtern von Traffic

Eine Möglichkeit zur Aufrechterhaltung von Webdiensten ist das gezielte Filtern von Traffic, der aus dem angreifenden IP-Bereich kommt. Hierbei ist zu beachten, dass diese Maßnahme die Bandbreite des betroffenen Rechenzentrums beansprucht. Sollten die Angriffe stark sein und längere Zeit über andauern, so werden auch andere im Nachbarnetz gelegene Bereiche in ihrer Bandbreite eingeschränkt. Der Vorteil ist, dass die Funktionalität weiterhin gegeben bleibt.
Auch wenn die Filter einen Großteil der bösartigen Anfragen wegfiltern können, so verschlechtert das die Performance des Dienstes dennoch. Aus Erfahrung kann man sagen, dass die Webdienste dann zeitweise mal funktionieren und einige Zeit später mal wieder nicht und/oder es zu spürbaren Performance Einbußen bei der Ladezeit der Webseite kommen kann.
Wenn die Bandbreite der Angreifer zu hoch ist und zu lange dauert, dann wird die angegriffene IP-Adresse null-geroutet. Durch das Null-Routing entlastet das Rechenzentrum seine eigene Bandbreite. Die Folge für den Server ist aber, dass dieser gar nicht mehr erreichbar ist und alle darauf eingerichteten Dienste nicht mehr funktionieren solange die Angriffe andauern.

Änderung der IP-Adresse

Sofern ein DDoS Angriff auf die IP-Adresse eines Servers ausgeführt wird, so ist der Wechsel der Server IP-Adresse eine denkbare Maßnahme. Findet der Angriff auf den im Domain Name System (DNS) hinterlegten Eintrag statt, dann wird die genannte Maßnahme nicht funktionieren.

Lastverteilung / Load-Balancer zur Vermeidung von SYN flood

Load-Balancer können durch die Lastverteilung auf mehrere Geräte zwar nicht vor einem generellen DDoS Angriff auf das DNS schützen, jedoch können sie die Erreichbarkeit der Webseite verbessern. Besonders die Auswirkungen von „SYN floods“ können durch Lastverteilung deutlich abgemildert werden. Ein Syn Flood entsteht durch eine Vielzahl von Anfragen eines Clients (Benutzer, Gerät aus einem Botnetz/IoT) im Rahmen eines TCP 3-way handshakes.
Der TCP 3-way handshake besteht aus den drei Schritten:

  • SYN
  • SYN-ACK
  • ACK

Schema des three way handshakes mit user icon server und drei pfeilen syn, syn-ack und ack

So sollte der 3-way-handshake grundsätzlich ablaufen. Der Benutzer sendet mit dem Aufrufen einer Webseite ein Signal an den Server namens „Syn“. Der Server beantwortet das Signal mit einem „Syn-Ack“. Jetzt wartet der Server, bis der Benutzer das Signal mit einem Ack bestätigt. Kommt das SIgnal „Ack“, dann ist der Handshake abgeschlossen und der Verbindungsprozess ist komplett.

Beim TCP 3-way handshake sendet ein Client (Benutzer) eine Anfrage (1.) an einen Server. Der Server antwortet dem Benutzer (2.) und erwartet wiederum, dass vom Benutzer erneut ein bestätigendes Signal kommt. Falls dieser dritte Schritt ausbleibt, dann wird die TCP Verbindung nicht vollständig aufgebaut und es bildet sich eine Warteschlange (Backlog-Queue), was wiederum dazu führt, dass für neue Anfragen keine Verbindung aufgebaut werden kann, weil diese Anfragen erst einmal ganz hinten in die Queue eingereiht werden. Der Server ist also damit beschäftigt, eine Vielzahl an Verbindungen aufzubauen, deren Gegenseite gar keine Verbindung zulassen wird, anstatt Verbindungen mit den eigentlichen Benutzern aufzubauen./p>

scheme of synflood attack

Die massenweisen „Syn“ Anfragen im Rahmen der DDoS Attacke werden vom Server mit „Ack“ beantwortet. Der Server wartet auf den Syn-Ack des Angreifers, der aber ausbleibt. Aus dem Grund können sind keine Kapazitäten mehr für die Verbindung von normalen Benutzers frei.

Mithilfe des Einsatzes von Syn-Cookies zeigte Bernstein, wie sich das Problem der sich füllenden Backlog-Queue umgehen lässt. Dabei speichert der Server nach dem SYN-ACK keinerlei Daten auf dem Server in der Queue, sondern sendet diese Information über ein Cookie direkt mit den SYN-ACK Paket an den Client zurück. Meldet sich der Client, dann wird die Verbindung vollständig aufgebaut. Sollte sich der Benutzer nicht mehr melden, dann bleibt die Backlog-Queue zumindest frei, um neue Verbindung aufbauen zu können.

Anti-DDoS Dienstleistungen

Verschiedene Dienstleister / Anti-DDoS Prevention Services bieten Ihre Leistungen an, um Webprojekte vor einem Angriff zu schützen.
Wie heise berichtete musste bei einem DDoS Angriff auf den Sicherheitsexperten und freien Journalisten Brian Krebs auch der Big Player in dieser Branche Akami kapitulieren. Ein Aufrechterhalten der benötigten Bandbreite hätte Kosten im sechsstelligen Betrag verursacht.
Google übernahm den Schutz der Webseite von Krebs anschließend mit einem eigenen neuen DDoS Prevention Service namens Project Shield und sagte, wie Winfuture berichteten, dass „solche Webseiten notfalls mit der ganzen Kraft der Google-Infrastruktur online gehalten“ würden.

Rechtslage

Eine Verwicklung in einen DDoS Angriff mit der Absicht, „einem anderen Nachteil zuzufügen“, ist laut § 303b dem StGB der „Computersabotage“ zugeordnet und wird mit bis einer Geldstrafe oder bis zu drei Jahren Freiheitsstrafe bestraft.
In besonders schwerwiegenden Fällen, bei denen ein „Vermögensverlust großen Ausmaßes herbeiführt“ wird, liegt das Strafmaß bei mindestens 6 Monaten und im Falle einer ausgesprochenen Höchststrafe bei bis zu 10 Jahren Freiheitsstrafe.