Suchen

Anatomie eines DDoS-Angriffs - Teil 3: Volumetrische Attacken Angreifer verstopfen das Netzwerk

| Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Volumetrische Attacken bestehen aus einem Mix von berechtigten und sogenannten gespooften (also das Vortäuschen einer anderen IP-Adresse) Anfragen. Hacker setzen diese ein, um das Netzwerk des auserwählten Opfers mit gefälschten Anfragen zu überfluten.

Firma zum Thema

Hacker nutzen eine volumetrische DDoS-Attacke, um das Netzwerk und die Bandbreite des ausgewählten Opfers mit gefälschten Anfragen zu verstopfen.
Hacker nutzen eine volumetrische DDoS-Attacke, um das Netzwerk und die Bandbreite des ausgewählten Opfers mit gefälschten Anfragen zu verstopfen.
(Bild: Markus Haack - Fotolia.com)

Bei einer volumetrische Attacke handelt es sich um eine sehr einfache Technik, bei große Datenpakete so lange geschickt werden, bis die vom Provider zur Verfügung gestellte Bandbreite der Internetverbindung aufgezehrt wurde, die Verbindung quasi verstopft.

Die Folge: Legitime Anfragen kommen nicht mehr zum Server durch und können dadurch nicht mehr beantwortet werden und die Webseite bzw. der Webservice ist nicht mehr erreichbar.

Im ersten Quartal 2013 konnte Check Point in Europa vor allem kleinere Angriffe mit weniger als 1 Gbps feststellen. Betroffen waren Unternehmen und Organisationen aus allen Bereichen.

Diese kleinen Attacken sind ebenso einfach wie wirkungsvoll, da sie auf Angreifer-Seite nicht viel Bandbreite benötigen und von relativ unerfahrenen Hackern mit Tools wie PHP booters und einer Handvoll von privaten virtuellen Servern durchgeführt werden können.

Durch die zunehmende Verbreitung von dynamischen webbasierten Anwendungen wie Word Press können Hacker eine ganze Reihe von schlecht gesicherten Webservern infizieren und für ihre Zwecke nutzen.

Dabei wird ein PHP booter eingesetzt. Es handelt sich hier um eine kleine Datei mit einem PHP Script, die auf einem Webserver platziert wird und darauf wartet, dass sie über HTTP gestartet wird. Danach beginnt es mit der Ausführung einer Anwendungsüberflutung wie HTTP GET oder POST auf ein Ziel, dass der Angreifer vorher festlegt.

(ID:42266903)