Die Hintergründe hinter einem DDoS Angriff. Was passiert da genau?

Webseite ist down und “DDoS” ist Schuld? DDoS-Angriffe gibt es schon so lange, wie es das Internet gibt. Aber warum sind sie noch Heute ein Problem, wie genau sehen diese überhaupt aus und wie kann man sich dagegen schützen?

Diskussion zum Thema (Audio)

Definition und Formen

Ein sogenannter Denial of Service (DoS) beschreibt in der Informatik das Verweigern und Stören eines Dienstes. Als Dienst ist hierbei jede Form von Zwischenstelle und Endpunkt im Internet gemeint. So kann ein als Teil eines gezielten Angriffs der Firmenrouter, eine einzelne Webseite, oder die komplette Serverflotte betroffen sein. Bei einer erfolgreichen Attacke ist die Servicequalität entweder nur noch eingeschränkt verfügbar oder restlos unerreichbar.

Das Ganze ist vergleichbar mit 147.000 Menschen, die zeitgleich im Sekundentakt eine bestimmte Telefonnummer anrufen, um ein Telefonnetz einer Stadt, eines Unternehmens oder einer Behörde strukturell lahmzulegen. — mailbox.org (23.10.2021)1

Schlussendlich läuft es hierbei auf eine enorme Ressourcenverschwendung hinaus, die abhängig von der Ausführung, Unmengen an Geld kosten und Schaden anrichten kann. Dabei ist egal, ob Arbeitszeit verloren geht, weil der übliche Kommunikationsweg gestört ist, große Mengen Server-Computing-Ressourcen, auch im Kontext von dynamischer Skalierbarkeit , verschwendet werden, oder Kunden schlichtweg überhaupt nicht mehr mit Ihrer Online-Präsenz interagieren können.

Illustration eines DoS mit einem Angreifer und normalen Nutzern
Illustration eines DoS mit einem Angreifer und normalen Nutzern

In der Illustration schickt der Angreifer ein Vielfaches der Bandbreitenkapazitäten an den Webserver. Der Webserver ist davon überfordert und kann durch das Überfluten die verhältnismäßig kleinen und legitimen Anfragen der vertrauenswürdigen Nutzer nicht mehr bearbeiten. Aus Sicht der Nutzer verweigert der Webserver seinen Dienst - ein Denial of Service.

Distributed (DDoS) - der verteilte Angriff

Der Distributed Denial of Service (DDoS) ist eine Form von DoS-Angriffen.

Im Vergleich zu der Rohform, bei der nur ein einziger Endpunkt, also etwa ein einzelner böswiller Server das Ziel eingreift, ist diese Form distributed, also verteilt. Riesige Bot-Netze, bestehend aus hunderttausenden von kompromittierten Servern, Computer und IoT-Geräten greifen gemeinsam dasselbe Ziel an.

Amplifikation - aus 1 Gbit/s mach 200 Gbit/s

Häufig werden Bot-Netze zusätzlich, zu den sonst schon riesigen Bandbreitenmengen weiter mit sogenannten Amplification-Attacks2 verstärkt. Hierbei greift das Bot-Netz nicht direkt das Ziel an, sondern die Attacke wird über einen Umweg amplifiziert. Die Verstärkung erstreckt sich dabei von einer vermeintlich hohen Verzehnfachung, über Faktor 2063, bis hin zum theoretischen Faktor 650 mit SNMP4 der ursprünglichen Anfrage.

Ein Angreifer kann also eine, im Gesamtbild des Angriffs, einzelne kleine 1 Gbit/s Internetanbindung auslasten, und durch fremde, schlecht oder falsch konfigurierte Server im Internet leiten, um dann indirekt sein Ziel mit 200 Gbit/s anzugreifen.

Ein üblicher Internetanschluss in Deutschland hat eine Bandbreite zwischen 50 Mbit/s und 100 Mbit/s. Das entspricht 0,05 Gbit/s, beziehungsweise respektive 0,1 Gbit/s.

Das Internet funktioniert mit Paketen, grob vergleichbar mit jenen von DHL. Auf jedem Paket steht ein Absender, und die Zieladresse. Beides sind hier aber nicht Straßen mit Hausnummern und Postleitzahl, sondern IP-Adressen.

Und Absenderadressen lassen sich unter Umständen fälschen. Für den üblichen Gebrauch ist dies aber weder sinnvoll noch praktikabel. Beim Aufruf einer Webseite schicken Sie ein Paket an den Webserver, mit der Bitte, den Seiteninhalt zurückzuschicken. Der Webserver folgt dieser Bitte und schickt ein neues Paket, gefüllt mit Bildern, Text und co. an Ihre Absenderadresse zurück.

Angreifer, die sich an der Amplification-Attack betätigen, wissen, dass das Paket mit der Antwort vom Webserver größer sein wird, als die ursprüngliche Anfrage. Und durch ein Fälschen der Absenderadresse landet die Antwort an einem völlig anderen, beliebigen Ort - dem Opfer.

Köpfchen, statt rohe Gewalt

Aber nicht immer benötigt es Unmengen an roher Bandbreite. Fast jede Software hat Abschnitte oder Bereiche, die besonders Rechen- und Zeitintensiv sind. Bei einer weniger gut abgesicherten Webseite kann ein Angreifer einen solchen Endpunkt selbst mit kleinen Mitteln auch ohne Bot-Netz oder Amplification missbrauchen.

Wie häufig kommt ein DoS vor?

Mutwillige DoS-Angriffe fallen unter Computersabotage und sind illegal.

Kleine Webseiten und Unternehmen sind von DoS-Angriffen grundsätzlich sehr selten betroffen. Erst mit höherer Bekanntheit, steigt auch die Wahrscheinlichkeit auf einen Angriff.

Absichten des Angreifers sind dann häufig Erpressungsgelder, Reputationsverlust bei Kunden, oder das Verursachen hoher Kosten beim Opfer.

Wie kann man sich vor DoS-Angriffen schützen?

Zentral gilt: Bei dem Kampf gegen DDoS-Angriffe handelt es sich um ein endloses Wettrüsten zwischen Serverbetreiber und Angreifer.

Gute Skalierungsstrategien helfen besonders bei Angriffen auf die Applikation selbst. Aber auch rohe Bandbreitenangriffe können damit geringfügig abgefedert werden.

Für alles Größere gibt es Dienstleister wie Cloudflare , die ein gigantisches Netzwerk zum Abfedern auch enormer Angriffe pflegen, gekoppelt mit dedizierten Teams und Algorithmen zur Bekämpfung von solchen Angriffen.

Solche Dienstleister stellen sich mit zwischen Nutzer und Ihrer Webseite. Jede Anfrage läuft dann über den Dienstleister. Die Angriffe werden so herausgefiltert, noch bevor sie bei Ihnen ankommen.

Eine Einschätzung der Firma MyKNS

Wir als Hoster im Endkunden- und Geschäftskundenbereich haben auch vermehrt Probleme mit DDoS Angriffen. Häufig werden wir von Kunden angeschrieben, die eben genau unter den genannten Problemen leiden. Wir versuchen dann für die Kunden Lösungen zu finden und die Angriff abzuwehren, doch eine pauschale Lösung gibt es leider nicht.

Wie auch hier im Artikel bereits beschrieben, gibt es zahlreiche Arten von DDoS Angriffen. Es ist auch nicht immer die Stärke, also die Bandbreite, ausschlaggebend.

Ja, wir gehen mit Filterlösungen dagegen vor und können kurzfristig auf Angriffe reagieren. Vor allem im E-Commerce Sektor sind DDoS Angriffe leider auch immer unter Konkurrenten ein Problem. Das heißt, ein Kunde betreibt einen Onlineshop für Sportsachen und ein zweiter Shop verkauft ähnliche Produkte. Das ist natürlich ein Dorn im Auge. Also greift der zweite Betreiber unseren Kunde an oder lässt ihn angreifen. Auch das ist leider im Internet keine Seltenheit mehr, doch dafür sind wir da.

Es gibt eine Vielzahl an Providern, die sich mittlerweile darauf spezialisieren, Filter Lösungen zu entwickeln, die eine relativ hohe Durchfluss Menge filtern können, relativ effizient und innerhalb von unter einer Sekunde auf Angriffe reagieren können.

Noah Kemm — MyKNS (Am 04.11.2021 aus Audio transkribiert)

Noch etwas Hintergrund: MyKNS betreibt zur Filterung der Anfragen eine eigene Infrastruktur basierend auf den Lösungen der Firma Arbor Networks . Dies bietet den Vorteil, besonders individuell auf Angriffe eingehen zu können und so auch mit untypischeren Situationen der Kunden umzugehen.

Versehentliche DoS-Angriffe

DoS-Angriffe können aber auch ungewollt und versehentlich passieren. Ein Beispiel war besonders zum Auftakt des zwangsläufigen Online-Unterrichts vergangen Jahres in einigen Bundesländern medial zu sehen.

Die Infrastruktur einiger Schulplattformen verkrafteten die Anfragen hunderter legitimer Schüler nicht, die pünktlich zum Beginn der ersten Stunde den Online-Unterricht betreten wollten.

Dahinter steckte also kein böswilliger Angreifer, sondern einfach das unerwartete Überschreiten zuvor falsch gesetzter Randbedingungen.

Daher ist ausgiebige Planung und die Möglichkeit dynamisch zu skalieren ein zentraler und wichtiger Bestandteil von Softwareentwicklung und Hosting.


  1. mailbox.org: Erpresserische DDoS-Angriffe auf mailbox.org  ↩︎

  2. Wikipedia: DNS Amplification Attack  ↩︎

  3. NTP erlaubt durch den MONLIST Befehl eine maximale Vervielfachung um den Faktor 206 der initialen Anfrage ↩︎

  4. SNMP erlaubt theoretisch eine maximale Vervielfachung um den Faktor 650 der initialen Anfrage. SNMP ist aber für interne Netzwerke, LANs ausgelegt und hat keine erwähnenswerte Verbreitung im offenen WAN, dem Internet. ↩︎