DDoS
DDoS (Distributed Denial of Service) ist ein Cyberangriff, bei dem ein Zielsystem – typischerweise ein Webserver oder eine Netzwerkinfrastruktur – durch massenhaft koordinierte Anfragen von vielen verteilten Quellen überlastet wird. Das Ziel ist es, den Dienst für legitime Nutzer unerreichbar zu machen. Im Gegensatz zu einem einfachen DoS-Angriff, der von einer einzelnen Quelle ausgeht, nutzt ein DDoS-Angriff ein Botnetz aus tausenden oder sogar millionen kompromittierten Geräten.
Wie funktioniert ein DDoS-Angriff?
Ein DDoS-Angriff läuft typischerweise in mehreren Phasen ab:
-
Aufbau eines Botnetzes: Der Angreifer infiziert tausende Geräte mit Malware. Besonders anfällig sind IoT-Geräte wie IP-Kameras, Router oder Smart-Home-Geräte mit Standard-Passwörtern.
-
Koordination über Command & Control (C2): Alle infizierten Geräte ("Bots" oder "Zombies") werden von einem zentralen Server gesteuert und warten auf Befehle.
-
Angriff starten: Auf Befehl senden alle Bots gleichzeitig Anfragen an das Ziel. Die kumulative Last übersteigt die Kapazität des Zielsystems.
-
Überlastung: Der Zielserver kann keine legitimen Anfragen mehr verarbeiten – der Dienst ist nicht mehr erreichbar.
Eine wichtige Technik bei vielen DDoS-Angriffen ist IP-Spoofing: Die Angreifer fälschen die Absender-IP-Adresse ihrer Pakete. Dadurch ist die wahre Quelle des Angriffs schwer nachzuverfolgen, und bei Amplifikationsangriffen werden die verstärkten Antworten an das Opfer geleitet.
Arten von DDoS-Angriffen
DDoS-Angriffe werden nach der OSI-Schicht klassifiziert, auf der sie operieren:
Volumetrische Angriffe (Layer 3/4)
Diese Angriffe zielen darauf ab, die gesamte verfügbare Bandbreite zu verbrauchen. Sie nutzen oft Amplifikation: Der Angreifer sendet kleine Anfragen an öffentliche Server (z.B. DNS oder NTP) mit der gefälschten IP-Adresse des Opfers. Die Server antworten mit deutlich größeren Datenpaketen – direkt an das Opfer.
| Angriffstyp | Verstärkungsfaktor | Beschreibung |
|---|---|---|
| DNS Amplification | bis zu 70x | Ausnutzung offener DNS-Resolver |
| NTP Amplification | bis zu 206x | Missbrauch des Monlist-Befehls älterer NTP-Server |
| Memcached Amplification | bis zu 51.000x | Höchster bekannter Verstärkungsfaktor |
| SSDP Amplification | bis zu 30x | Ausnutzung von UPnP-Geräten |
| UDP Flood | 1x | Massive Mengen von UDP-Paketen |
Protokoll-Angriffe (Layer 3/4)
Diese Angriffe nutzen Schwachstellen in Netzwerkprotokollen aus, um Serverressourcen zu erschöpfen:
-
SYN Flood: Ausnutzung des TCP-Handshakes. Der Angreifer sendet massenhaft SYN-Pakete mit gefälschten IP-Adressen. Der Server reserviert Ressourcen für halboffene Verbindungen, die nie abgeschlossen werden.
-
ACK Flood: Überschwemmung des Ziels mit TCP-ACK-Paketen.
-
ICMP Flood (Ping Flood): Massive Mengen von ICMP-Echo-Requests überlasten das Netzwerk.
Anwendungsschicht-Angriffe (Layer 7)
Diese Angriffe sind besonders tückisch, da sie legitimen Traffic imitieren und schwerer zu erkennen sind:
-
HTTP Flood: Massive Mengen scheinbar legitimer HTTP-Anfragen. Jede Anfrage erfordert serverseitig Datenbankabfragen und Seitenaufbau.
-
Slowloris: Hält viele HTTP-Verbindungen offen, indem partielle Anfragen sehr langsam gesendet werden. Benötigt wenig Bandbreite, ist aber sehr effektiv gegen Apache-Server.
-
HTTP POST Flood: Sendet große Datenmengen in POST-Requests, die der Server verarbeiten muss.
Unterschied zwischen DoS und DDoS
| Merkmal | DoS | DDoS |
|---|---|---|
| Quelle | Eine einzelne Maschine | Viele verteilte Maschinen (Botnetz) |
| Rückverfolgbarkeit | Relativ einfach | Sehr schwierig |
| Traffic-Volumen | Begrenzt | Potenziell enorm (Terabits/s) |
| Abwehr | IP-Sperre oft ausreichend | Komplexe Mitigationsstrategien nötig |
| Aufwand für Angreifer | Gering | Erfordert Botnetz-Infrastruktur |
Bekannte DDoS-Angriffe
Diese historischen Angriffe zeigen die Dimension und Auswirkungen von DDoS:
| Jahr | Ziel | Volumen | Besonderheit |
|---|---|---|---|
| 2016 | Dyn (DNS-Anbieter) | ~1,2 Tbps | Mirai-Botnetz; Twitter, Netflix, Reddit offline |
| 2018 | GitHub | 1,35 Tbps | Memcached Amplification; größter Angriff seiner Zeit |
| 2023 | Google Cloud | 398 Mio. RPS | HTTP/2 Rapid Reset; Rekord bei Anfragen pro Sekunde |
| 2024 | Cloudflare | 5,6 Tbps | Bisher größter gemessener DDoS-Angriff |
Der Dyn-Angriff 2016 war besonders bedeutsam: Das Mirai-Botnetz nutzte hunderttausende IoT-Geräte mit Standard-Passwörtern. Der Angriff zeigte erstmals, wie verwundbar die Internet-Infrastruktur durch unsichere IoT-Geräte ist.
Schutzmaßnahmen gegen DDoS
Eine effektive DDoS-Abwehr erfordert mehrere Schutzebenen:
Netzwerkebene
- Rate Limiting: Begrenzung der Anfragen pro IP-Adresse
- Blackhole Routing (RTBH): Angriffsverkehr wird auf Routing-Ebene verworfen
- BGP Flowspec: Granulare Filterregeln auf Router-Ebene
- Überdimensionierte Bandbreite: Mehr Kapazität als der Angreifer aufbringen kann
Cloud-basierte Mitigation
Dienste wie Cloudflare, Akamai oder AWS Shield leiten den Traffic durch ihre global verteilten Netzwerke. Diese können selbst Angriffe mit mehreren Terabit pro Sekunde absorbieren. Das Anycast-Routing verteilt den Angriffsverkehr automatisch auf viele Rechenzentren.
Anwendungsebene
- Web Application Firewall (WAF): Erkennt und blockiert bösartige HTTP-Anfragen
- CAPTCHA: Unterscheidet Menschen von Bots bei verdächtigen Anfragen
- Verhaltensanalyse: Machine Learning erkennt Anomalien im Traffic-Muster
Das Mirai-Botnetz
Mirai ist eines der berüchtigtsten DDoS-Botnetze und demonstriert das Risiko unsicherer IoT-Geräte:
Funktionsweise von Mirai:
1. Scannt das Internet nach IoT-Geräten (Kameras, Router, etc.)
2. Versucht Login mit bekannten Standard-Passwörtern (admin/admin, root/12345...)
3. Infiziert das Gerät und löscht die Malware-Binärdatei zur Tarnung
4. Wartet auf Befehle vom Command & Control Server
5. Führt auf Befehl koordinierte DDoS-Angriffe durchNach der Veröffentlichung des Mirai-Quellcodes entstanden zahlreiche Varianten wie GorillaBot (2024), das bis zu 51.000 Angriffe pro Tag durchführte. Die wichtigste Lektion: Standard-Passwörter bei IoT-Geräten immer ändern!
DDoS in der IT-Ausbildung
Als Fachinformatiker für Systemintegration wirst du mit DDoS-Schutzmaßnahmen in Kontakt kommen – etwa bei der Konfiguration von Firewalls, Load Balancern oder der Integration von CDN-Diensten. Für Fachinformatiker für Anwendungsentwicklung ist das Verständnis von Rate Limiting und der sichere Umgang mit HTTP-Anfragen relevant.
In der IHK-Prüfung können DDoS-Angriffe im Kontext von IT-Sicherheit, Netzwerktechnik oder Notfallmanagement abgefragt werden. Wichtig ist das Verständnis der Grundprinzipien: Wie funktioniert die Verteilung des Angriffs? Welche Schichten sind betroffen? Welche Schutzmaßnahmen gibt es?