Glossar

DDoS-Attacke

Die Abkürzung DDoS steht für „Distributed Denial of Service“. Das bedeutet, dass bei einer DoS-Attacke Dienste im Internet durch eine gezielte Überlastung der Server gestört werden. Sind von einem solchen Ausfall mehrere Systeme betroffen, wird von einer DDoS-Attacke gesprochen. Eine Sonderform bei dieser Art der Störung der Funktionsweise des Internets stellt die DRDoS-Attace dar. Eine DDoS-Attacke kann durchgeführt werden, ohne dass sich die Angreifer Zugang zum System selbst durch das Ausspionieren oder maschinelle Testen von Passwörtern verschaffen müssen. Solche Angriffe haben auch nicht das Ziel, das System zu manipulieren oder Daten zu stehlen, sondern dienen ausschließlich dazu, einen im Internet angebotenen Dienst zu blockieren. Allerdings ist eine DDoS-Attacke häufig ein Hilfsmittel der Hacker, um von direkten Angriffen auf ein System abzulenken.

Wie funktioniert eine DDoS-Attacke?

Die am häufigsten genutzten Varianten einer DDoS-Attacke sind der Smurf-Angriff und das SYN-Flooding. Beim Smurf-Angriff werden unzählige Ping-Pakete an die Broadcast-Adresse von Netzwerken gesendet. Von da aus werden diese Pings an alle im Netzwerk angeschlossenen Clients verteilt. Als Absender der Pings wird der Server angegeben, dessen Dienste behindert werden sollen. Die Clients antworten daraufhin im optimalen Fall gleichzeitig. Das funktioniert überall dort, wo die Netzwerke mit einer gerichteten Broadcast-Adresse arbeiten. Netzwerke, die auf diese Weise eine DDoS-Attacke unterstützen, nennt der Fachmann Smurf-Amplifier. Unterbinden lässt sich eine solche DDoS-Attacke dadurch, dass der Host so eingestellt wird, dass derartige Broadcast-Pings nicht beantwortet und weitergeleitet werden.

Wie funktioniert das SYN-Flooding bei der DDoS-Attacke?

Beim SYN-Flooding zur Durchführung einer DDoS-Attacke werden die Schwachstellen des Aufbaus von TCP-Verbindungen zwischen Client und Server ausgenutzt. Dabei schicken die Angreifen Anfragen an den Server, die von diesem beantwortet werden. Bei TCP-Verbindungen muss der Client im Rahmen des Dreiwege-Handshakes die Antwort des Servers bestätigen. Genau das tun die Angreifer nicht. Der Server speichert die eingehenden Verbindungsanfragen über einige Zeit hinweg. So werden Systemressourcen blockiert. Erfolgen zahlreiche derartiger unbestätigter Anfragen, bleibt das Betriebssystem sozusagen stehen.

Die DDoS-Attacke mit WinNuke

Die Bezeichnung WinNuke legt zutreffend nahe, dass sich eine solche DDoS-Attacke gegen die Server richtet, die mit dem Betriebssystem Windows Dienste und Websites zur Verfügung stellen. Betroffen von dieser ausnutzbaren Schwachstelle waren Windows 95 in der Version A und Windows NT, die aber heute auf den Servern im Internet nicht mehr zum Einsatz kommen. Außerdem bietet die auf den modernen Routern verwendete NAT-Technologie einen guten Schutz gegen eine DDoS-Attacke mit WinNuke.

Welche weiteren Arten der DDoS-Attacke sind bekannt?

Erfolgt eine DDoS-Attacke mit dem Land-Tool, wird ein SYN-Paket erzeugt, in dem identische Angaben zur Adresse des Absenders und des Empfängers enthalten sind. Dabei wird die Adresse des anzugreifenden Servers verwendet. Dieser beantwortet dadurch die Anfragen an sich selbst. Mit dem Land-Tool sind Angriffe auf einzelne Ports möglich, während mit der Weiterentwicklung „Latiera“ bei einer DDoS-Attacke auch Angriffe parallel auf mehrere und sogar geschlossene Ports erfolgen können.

Bei einem Teardrop-Angriff im Rahmen einer DDoS-Attacke werden die Daten in den Headern der Datenpakete so verändert, dass es bei der Analyse durch den Zielrechner zu Überschneidungen kommt. Alternativ werden so große Datenpakete geschickt, dass sie vom Host nicht verarbeitet werden können. Dadurch lässt sich ein System komplett zum Absturz bringen oder es werden regelmäßige Neustarts wegen vermeintlicher Systemfehler erzwungen.

Eine weitere Form der DDoS-Attacke ist der so genannte Ping of Death. Dabei wird an den anzugreifenden Host ein ICPM-Datenpaket geschickt, das eine Schwachstelle der Integration des Internet Protocols in die Betriebssysteme ausnutzt. Dadurch wird ein Überlauf im Cache erzeugt, der das System zum Stillstand bringt. Diese Schwachstelle wurde bei vielen Betriebssystemen inzwischen durch spezielle Patches geschlossen.

Wie lassen sich DDoS-Attacken auf Websites und Server verhindern?

Wer sich bei der On-Page-Optimierung möglichst gut vor einer DDoS-Attacke schützen möchte, der arbeitet in der Firewall seines Servers mit Sperrlisten. Dort werden die IP-Adressen aufgenommen, die als Ausgangspunkte von Serverangriffen bekannt sind. Ungültige IP-Adressen, die von den Urhebern einer DDoS-Attacke verwendet werden, lassen sich auf der Grundlage des Standards RFC 2267 durch Grenzfilter blockieren. Um einen laufenden Angriff auf den Server zu unterbrechen, kann dessen IP-Adresse geändert werden. Eine weitere Schutzmöglichkeit wäre eine gezielte Verteilung der Serverlast. Das geschieht mit der Hilfe diverser Visualisierungstechniken, durch die die Leistung der Hardware eines Servers in mehrere virtuelle Server unterteilt wird.

Die DDoS-Attacke im Strafrecht

Die strengste Gesetzgebung zur DDoS-Attacke hat Großbritannien vorzuweisen. Wer sich das für die Angriffe häufig genutzte Programm LOIC herunter lädt, muss bereits mit einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Dabei ist es unerheblich, ob das Programm tatsächlich für einen Angriff genutzt wird. In Deutschland wird auf derartige Angriffe auf Dienste im Internet der Paragraf 303 des Strafgesetzbuchs angewendet. Dieser Paragraf macht es den Gerichten ebenfalls möglich, mehrjährige Freiheitsstrafen zu verhängen. In Österreich gehört die DDoS-Attacke zum Geltungsbereich des Paragrafen 126 des Strafgesetzbuchs. Wer von der Schweiz aus einen solchen Server- oder Diensteangriff startet, muss nach dem Paragrafen 144 des dort gültigen Strafgesetzbuchs je nach Umfang des verursachten Ausfalls mit einer Freiheitsstrafe von bis zu fünf Jahren rechnen.


Interessiert? Erfahren Sie mehr zum Thema "DDoS-Attacke" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen