Was ist ein DDOS-Angriff und wie kann er eine Website oder ein Spiel zum Absturz bringen?
Wenn Sie in den letzten Jahren überhaupt online waren, haben Sie wahrscheinlich gehört, dass Dienste während eines DDoS-Angriffs offline geschaltet werden. Ohne Vorwarnung ist Ihre Lieblingswebsite oder Ihr Lieblingsvideospiel nicht mehr online, weil jemand oder etwas es "DDoSing" ist.
Während der Begriff DDoS kryptisch erscheint, ist er jetzt Teil des allgemeinen Internetlexikons. Wenn Sie sich jedoch immer noch nicht sicher sind, was ein DDoS-Angriff ist und wie ein DDoS ein Videospiel zum Absturz bringen kann, lesen Sie weiter.
Was ist ein DDoS-Angriff?
DDoS steht für Distributed Denial of Service und ist der Name eines Angriffs, der einen Dienst mit Anforderungen überfordert und ihn offline schaltet.
Wenn Sie hören, dass eine Website oder ein Videospiel häufig von Hackern heruntergefahren wird, bedeutet dies, dass sie einen DDoS-Angriff erleiden. Angreifer zielen auf eine bestimmte Website, einen bestimmten Dienst oder ein bestimmtes Videospiel ab und überfluten die Server mit Datenanforderungen. Die Anzahl der Anforderungen kann die Serverinfrastruktur, auf der der Dienst gehostet wird, schnell überfordern und ihn offline schalten.
Ein DDoS-Angriff wird manchmal als DDoSing bezeichnet.
Wie funktioniert ein DDoS-Angriff?
Bei einem DDoS-Angriff müssen die Daten nicht aus mehreren großen Dateien bestehen, die zum Herunterladen angefordert werden. In der Tat ist es oft das Gegenteil, wo Tausende von Maschinen gleichzeitig kleine Datenanforderungen stellen. Obwohl jede einzelne Anforderung klein ist, verstärkt die Anzahl der Anforderungen den Effekt auf Tausenden von Geräten.
Wer steuert also Tausende von Computern, mit denen sie Anforderungen an einen einzelnen Server senden können?
DDoS-Angriffe stammen größtenteils von großen Botnetzen , Gruppen kompromittierter Computer, die von einem Angreifer kontrolliert werden. Der Angreifer kann die Leistung seines Botnetzes auf ein Ziel richten, die Website oder die Videospielserver mit Anfragen überfluten und sie offline schalten.
Wenn ein großes Verkehrsaufkommen auf das Opfer gerichtet wird, wird der reguläre Zugriff auf die Website oder das Videospiel gestoppt, was zu einem Denial-of-Service führt. Da der Datenverkehr aus zahlreichen Quellen stammt, wird der Angriff verteilt, sodass ein verteilter Denial-of-Service-Angriff erfolgt.
Es können jederzeit mehrere DDoS-Angriffe auf der ganzen Welt stattfinden. Es ist wahrscheinlicher, dass Sie davon erfahren, wenn sie einen wichtigen Dienst offline schalten. Sie können jedoch die digitale Angriffskarte als Annäherung an die Vorgänge verwenden.
Wie bei den meisten Arten von Cyberangriffen gibt es viele verschiedene Arten von DDoS-Angriffen. DDoS ist der Oberbegriff für den Angriffsstil, aber es gibt viele verschiedene Optionen für Angreifer .
Application Layer Attack
Ein DDoS-Angriff auf Anwendungsebene zielt auf Website-Anforderungen ab und stellt eine erhebliche Anzahl von Datenanforderungen gleichzeitig. Beispielsweise kann der Angreifer Tausende von Anforderungen zum Herunterladen einer bestimmten Datei stellen, wodurch der Server langsamer wird.
Diese Anforderungen sind kaum von den Anforderungen regulärer Benutzer zu unterscheiden, was die Abschwächung eines DDoS-Angriffs auf Anwendungsebene schwierig macht.
DDoS-Angriffe auf Anwendungsebene konzentrieren sich hauptsächlich auf die Störung des HTTP-Verkehrs. Ein gängiger DDoS-Angriffstyp auf Anwendungsebene ist das HTTP-Flood, bei dem ein Angreifer so schnell wie möglich so viele HTTP-Anforderungen erstellt. Stellen Sie sich vor, Sie drücken tausende Male auf die Schaltfläche zum Aktualisieren Ihres Browsers, aber Tausende anderer Browser werden gleichzeitig aktualisiert.
Protokollangriff
Ein Protokoll-DDoS-Angriff zielt auf das Netzwerk des Opfers ab und auf Serverressourcen anderer Art. Beispielsweise kann ein Protokollangriff eine Firewall oder einen Load Balancer überlasten und den Betrieb einstellen.
Ein nützliches Beispiel ist ein SYN Flood DDoS-Angriff. Wenn Sie im Internet eine Anfrage stellen, passieren drei Dinge. Erstens die Anforderung von Daten, bekannt als SYN (kurz für Synchronisation). Zweitens die Antwort auf die Datenanforderung, die als ACK (kurz für Acknowledgement) bezeichnet wird. Schließlich ist der SYN-ACK eingetroffen, der im Wesentlichen der Anforderer ist, der die Daten bestätigt. Es klingt verwirrend, findet aber im Handumdrehen statt.
Die SYN-Flut sendet im Grunde genommen Haufen gefälschter SYN-Pakete von gefälschten IP-Adressen, was bedeutet, dass die ACK auf eine gefälschte Adresse antwortet, die wiederum niemals antwortet. Die Anfrage befindet sich dort, während sich mehr anhäufen, was zu einem Denial-of-Service führt.
Volumenangriff
Ein volumetrischer DDoS-Angriff kann ähnlich wie ein Angriff auf Anwendungsebene funktionieren und den Zielserver mit Anforderungen überfluten, jedoch mit einem Modifikator, der die Anzahl gleichzeitiger Anforderungen erhöhen kann.
Die DNS-Verstärkung ist eine der häufigsten Arten von DDoS-Angriffen und ein Paradebeispiel für einen volumetrischen Angriff. Wenn der Angreifer eine Anfrage an den Server stellt, enthält er eine gefälschte Adresse, häufig die IP-Adresse des Ziels. Jede Anforderung kehrt zur Ziel-IP-Adresse zurück und erhöht die Anzahl der Anforderungen.
Warum einen DDoS-Angriff verwenden?
Es gibt viele Gründe, warum sich ein Angreifer für DDoS als Ziel entscheidet, z. B. die Deckung eines anderen Angriffsvektors oder um dem Opfer finanziellen Schaden zuzufügen.
- Dienstunterbrechung: Die Wurzel des DDoS ist eine Dienstunterbrechung. Wenn Sie die Server mit Anforderungen überfluten, können reguläre Benutzer nicht auf den Dienst zugreifen. In einigen Fällen wurden DDoS-Angriffe verwendet, um Konkurrenten offline zu schalten, wodurch Servicebenutzer gezwungen wurden, sich an den Online-Konkurrenten zu wenden.
- Hacktivismus und Politik: Einige hacktivistische Gruppen wie Anonymous sind dafür bekannt, DDoS-Angriffe zu verwenden, um ihre Ziele für längere Zeit offline zu schalten. Ein DDoS-Angriff kann ein Unternehmen oder eine andere Organisation in Bezug auf Ausfallzeiten, Serverkosten, Datengebühren, Ingenieure und mehr erheblich kosten. In ähnlicher Weise kann das Offline-Schalten von Regierungsseiten mithilfe eines DDoS eine Regierung zum Handeln zwingen oder ist ein Zeichen des Protests.
- Deckung für größere Angriffe: Die DDoS-Aktivität kann tatsächlich Deckung für einen anderen Angriffsvektor sein, der Interferenzen ausführt, um ein IT- oder Cyber-Reaktionsteam zu beschäftigen. Gleichzeitig findet der eigentliche Angriff an anderer Stelle statt. Es gab mehrere Beispiele für kriminelle Unternehmen, die diese DDoS-Ablenkungstechnik verwenden, um andere Verbrechen zu begehen.
- Herumspielen / Erkunden / Testen: Manchmal passiert ein DDoS, weil jemand irgendwo eine neue Technik oder ein neues Skript testet und es schief geht (oder perfekt funktioniert!).
Dies sind nur vier Gründe, warum ein Angreifer ein Videospiel oder eine Website DDoS kann. Es gibt noch mehr Gründe.
Ist ein DDoS-Angriff illegal?
Ja, mit einem Wort. Ein DDoS-Angriff ist nach dem Computer Fraud and Abuse Act in den USA und dem Computer Misuse Act in Großbritannien illegal und in Kanada mit einer Freiheitsstrafe von maximal 10 Jahren belegt.
Gesetze und Interpretationen variieren weltweit, aber die meisten Länder mit funktionierenden Richtlinien für Cybersicherheit und Computermissbrauch definieren einen DDoS-Angriff als illegale Aktivität.
DDoS als Service
Sie haben von Software-as-a-Service (SaaS) und vielleicht von Infrastructure-as-a-Service (IaaS) gehört, aber was ist mit DDoSaaS? Richtig, Kits und Plattformen für "Distributed Denial of Service als Service" sind in dunklen Web-Hacking-Foren verfügbar.
Anstatt sich die Zeit zu nehmen, um ein Botnetz aufzubauen, kann ein potenzieller Angreifer den Besitzer eines vorhandenen Botnetzes dafür bezahlen, dass sein Netzwerk auf ein Ziel gerichtet ist. Diese Dienste tragen normalerweise den Namen "Stressor", was bedeutet, dass Sie sie verwenden können, um Ihr Netzwerk einem Stresstest gegen einen theoretischen Angreifer zu unterziehen.
Ohne Überprüfung der Kunden und ohne Maßnahmen zur Sicherstellung des Serverbesitzes sind diese DDoSaaS-Plattformen jedoch anfällig für Missbrauch.
Beispiele für DDoS-Angriffe
Zusammenfassend finden Sie hier einige Beispiele für DDoS-Angriffe der letzten Jahre. Laut Neustars Cyber Threats & Trends Report für Q1 / Q2 2020 [PDF, Anmeldung erforderlich] stieg die Anzahl der Angriffe mit einer anhaltenden Datenlast von über 100 Gbit / s innerhalb von 12 Monaten um über 250 Prozent.
Die folgende Liste veranschaulicht die unterschiedliche Größe zwischen DDoS-Angriffen und wie diese Größe in den letzten Jahren gewachsen ist.
- September 2016. Das neu entdeckte Mirai-Botnetz greift die Website des Sicherheitsjournalisten Brian Krebs mit 620 Gbit / s an, stört seine Website massiv, scheitert jedoch letztendlich am Akamai DDoS-Schutz. Das Mirai-Botnetz nutzt Internet of Things-Geräte , um seine Funktionen zu verbessern.
- September 2016. Das Mirai-Botnetz greift den französischen Webhost OVH an und verstärkt sich auf rund 1 TBit / s.
- Oktober 2016. Ein enormer Angriff hat die meisten Internetdienste an der Ostküste der USA zerstört. Der Angriff richtete sich gegen den DNS-Anbieter Dyn, dessen Dienste einen geschätzten Datenverkehr von 1,2 Tbit / s empfangen und Websites wie Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa und Xbox Live vorübergehend schließen.
- November 2016. Mirai schlägt ISPs und Mobilfunkanbieter in Liberia an und stört die meisten Kommunikationskanäle im ganzen Land.
- März 2018. GitHub ist mit dem derzeit größten aufgezeichneten DDoS betroffen und registriert bei anhaltendem Datenverkehr rund 1,35 TBit / s.
- März 2018. Das Netzwerksicherheitsunternehmen Arbor Networks behauptet, dass sein globales ATLAS-Verkehrs- und DDoS-Überwachungssystem 1,7 Tbit / s registriert.
- Februar 2020. Amazon Web Services (AWS) wurde von einem 2,3-Tbit / s-Angriff getroffen, obwohl Amazon das eigentliche Ziel des DDoS-Angriffs nicht bekannt gab.
Außerhalb dieser sieben Angriffe gab es viel mehr DDoS-Angriffe, und es werden noch viel mehr auftreten – höchstwahrscheinlich mit zunehmender Kapazität.
DDoS-Angriffe werden nicht gestoppt
Während DDoS-Angriffe weiterhin Videospielserver, Websites und Dienste erfolgreich ausschalten, sehen Angreifer dies als praktikable Option an.