Suchen

Anatomie eines DDoS-Angriffs - Teil 1 So gefährlich und erfolgreich sind DDoS-Angriffe

Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Distributed-Denial-of-Service (DDoS) Angriffe sind nicht neu, aber werden in letzter Zeit immer mehr und immer wirkungsvoller, denn der Ausfall von Servern und Diensten kostet Unternehmen inzwischen schnell viel Geld.

Firmen zum Thema

Bei DDoS-Attacken versuchen Angreifer die Serverdienste und Leitungskapazität eines Unternehmens zu überschwemmen und damit lahmzulegen.
Bei DDoS-Attacken versuchen Angreifer die Serverdienste und Leitungskapazität eines Unternehmens zu überschwemmen und damit lahmzulegen.
(Bild: VBM)

Zunächst soll eine Definition helfen, ein wenig Licht auf das Phänomen DDoS zu werfen, das wir in dieser Artikelserie in den kommenden Wochen genau betrachten wollen. Denial-of-Service (DoS) bedeutet, dass eine DoS-Attacke von einem PC aus gestartet wird, um den anvisierten Service zu überlasten und damit nicht verfügbar zu machen.

Distributed-Denial-of-Service (DDoS) bedeutet, dass eine DDoS-Attacke koordiniert und zur gleichen Zeit von vielen PCs aus gestartet wird, um den anvisierten Service zu überlasten und damit für ihre Nutzer nicht verfügbar zu machen.

Die hier involvierten PCs sind typischerweise Teil eines Botnetzes und können über eine Region oder sogar die ganze Welt verteilt sein. Solche Botnetze zeichnen sich dadurch aus, dass sie sehr dynamisch agieren können und es sehr schwer ist, sie zu identifizieren und den Angriff zu blocken.

Es handelt sich dabei also um ein Instrument, das verschiedentlich variiert eingesetzt werden kann, um Webseiten und im Internet angebotene Dienste lahmzulegen. Hacker nutzen dafür in der Regel verschiedene Instrumente, wie volumetrische Attacken, DNS Amplification Attacken, SYN Flood Attacken oder Applikation Layer Attacken um Netzwerke, die Internetverbindung, den Server und die Firewall und auch Anwendungen lahm zu legen.

Bei einem groß angelegten Angriff auf den US-Bankensektor im letzten Jahr konnte darüber hinaus das Zusammenspiel der verschiedenen Attacken verfolgt werden. Hacker verlassen sich also nicht mehr nur auf ein Instrument, um zum Erfolg zu gelangen, sondern auf einen Mix.

Immer mehr und gefährlichere Attacken

Obwohl schon wesentlich länger bekannt, erhalten DDoS-Angriffe derzeit so viel Aufmerksamkeit wie noch nie. Das liegt daran, dass immer mehr Unternehmen im Internet Dienstleistungen anbieten und hier für viel Geld investieren und künftig auch verdienen wollen.

Dieser wachsende Markt macht es attraktiv für Hacker, ihre Botnetze nun nicht mehr für das Geschäftsmodell Spam zu nutzen, sondern für DDoS-Attacken zur Verfügung zu stellen.

DDoS-Angriffe erhalten viel Aufmerksamkeit, weil immer mehr Unternehmen im Internet Dienstleistungen anbieten, viel Geld investieren und noch mehr Geld verdienen wollen.
DDoS-Angriffe erhalten viel Aufmerksamkeit, weil immer mehr Unternehmen im Internet Dienstleistungen anbieten, viel Geld investieren und noch mehr Geld verdienen wollen.
(Bild: Check Point Software Technologies)
Das Marktforschungsunternehmen Ponemon Institute hat im letzten Jahr eine Studie unter dem Titel „The Impact of Cybercrime on Business“ veröffentlicht. Darin wurde festgestellt, dass sich 32 Prozent der Befragten IT-Sicherheitsexperten (aus den USA, Brasilien, Deutschland, Hongkong und Großbritannien) in den letzten beiden Jahren mit gefährlichen DDoS-Attacken auseinandersetzen mussten.

Aktuell lässt sich eine Zunahme vor allem in Europa feststellen; hatten es die Hacker bislang noch auf die USA abgesehen, scheinen nun auch europäische Unternehmen und Organisationen ins Visier geraten zu sein. In den letzten sechs Monaten gab es eine Vielzahl von Angriffen in Norwegen, Dänemark, Schweden, den Niederlanden und Belgien.

Wer nutzt eigentlich DDoS-Angriffe?

Sogenannte Hacktivisten nutzen das Instrument für politische Ziele, zum Beispiel bei den Blockupy-Protesten in Frankfurt 2012, als die Webseite der Stadt Frankfurt zeitweise nicht erreichbar war.

Eine ganz andere Intention verfolgen Geheimdienste und Regierungen, wenn sie auf dieses Mittel zurückgreifen. Hier steht vor allem die Spionage im Vordergrund, für die DDoS-Angriffe als Ablenkungsmanöver verwendet werden.

Eine dritte Gruppe, die diese Angriffe nutzt, sind Cyberkriminelle, die entweder auf eigene Rechnung oder aber im Auftrag anderer arbeiten. Ziele dieser Gruppierung sind entweder der Diebstahl von Daten, um diese zu verkaufen oder Services lahmzulegen, um deren Betreiber damit zu erpressen.

Warum sind DDoS-Angriffe so erfolgreich?

Überall auf der Welt haben Unternehmen und Organisationen das gleiche Problem. Die bisher eingesetzten Sicherheitsmaßnahmen versagen gegen die neuen Formen der DDoS-Angriffe.

Firewalls, die eigentlich legitime von gefälschten Anfragen filtern sollen, werden einfach umgangen oder überschwemmt und brechen unter der Last zusammen. Sie sind sogar in diesen Fällen der Flaschenhals, da sie Ressourcen binden, die für den Betrieb der Webseite bzw. der Services notwendig sind. Daher bedarf es neuer Technologien aber vor allem auch dezidierter Abwehrstrategien, um einen wirksamen DDoS-Schutz zu erreichen.

In den folgenden vier Teilen dieser Artikelserie werden wir vier unterschiedliche Arten von DDoS-Angriffen vorstellen und zeigen, wie sich IT-Abteilungen dagegen wehren können.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42250956)