Distributed Denial of Service – DDoS und was dahinter steckt

14.01.2013 | Tipps

Es kommt immer wieder vor und gehört leider zur Tagesordnung, dass einzelne Server gezielt durch Überlastung ausgeknipst werden (sollen). Eine solche Aktion wird in der Fachsprache „Denial of Service“ (DoS) genannt, wenn für die Sabotage nur ein Rechner benutzt wird bzw. „Distributed Denial of Service“, wenn dafür ein ganzes Netzwerk von Rechnern für den Angriff eingesetzt wird.

So eine DoS-Attacke kann beispielsweise eine Strafaktion sein, etwa weil eine Behörde, Firma oder Institution sich den Unbill von Hackern zugezogen hat. Oder weil ein Lösegeld erpresst werden sollte. Motto: Entweder ihr zahlt, oder wir legen Eure IT-Infrastruktur lahm. Wird nicht gezahlt, geht die DDoS-Attacke los. Jeden Tag werden unzählige Server auf diese Weise angegriffen, in der Regel, ohne dass die Öffentlichkeit etwas davon mitbekommt. In Deutschland sind solche Angriffe zwar als Computersabotage streng verboten, in der Praxis lassen sich die Urheber aber selten bis gar nicht ermitteln oder die Saboteure sitzen im Ausland.

Die IT-Techniker im Hintergrund sind solche DDoS-Attacken trotzdem gewohnt, sie gehören zu ihrem beruflichen Alltag. Um Attacken rechtzeitig abzuwehren, überwachen die von Experten entwickelten Systeme (also Hard- und Software) rund um die Uhr die Infrastruktur und erkennen DDoS-Angriffe in der Regel schnell und zuverlässig. Bei aller Mühe können Provider solche Angriffe jedoch weder vorhersehen, noch komplett die Folgen solcher Angriffe verhindern: Ein Angriff auf die Infrastruktur bleibt ein Angriff und kann deswegen auch nicht folgenlos bleiben. Zumindest kurzzeitige Ausfälle sind bei erfolgreichen DDoS-Attacken unvermeidbar. Verantwortlich dafür sind die Angreifer, nicht die Provider.

Mögliche Gegenmaßnamen können entspannen, selten verhindern

Es gibt verschiedene mögliche Gegenmaßnahmen. Kleinere Angriffe lassen sich durch Filtermaßnahmen eindämmen (Sperrlisten). Diese Filterlisten sind dynamisch und werden „trainiert“, wie die Experten sagen. Werden auffällige Traffic-Muster erkannt, ist von einem Angriff auszugehen und der betreffende Rechner (IP-Adresse) landet auf der Sperrliste.

Auf diese Weise werden angreifende Rechner früher oder später einfach ignoriert. Bei größeren Angriffen müssen Firewalls vor den betroffenen Servern eingerichtet werden. Firewalls können auch selbständig aktiv werden, etwa, indem „Rate Limiting“ angewandt wird. Auffallend häufige Anfragen einzelner Rechner werden dann automatisch erkannt und abgewehrt, sie erreichen dann die Server gar nicht mehr. Grenzrouter können zudem ungültige Absenderadressen erkennen und ebenfalls DDoS-Attacken abwehren helfen.

Keineswegs alle DDoS-Attacken sind erfolgreich

Ob sich eine DDoS-Attacke erfolgreich abwehren lässt oder nicht, hängt von vielen Faktoren ab. Unter anderem, wie viele Rechner im angreifenden Botnet zusammengeschlossen sind, wie schnell die Attacke erkannt werden kann und welche Gegenmaßnahmen eingeleitet werden. Manche DDoS-Attacken verlaufen im Sand – einige aber auch nicht, die sind erfolgreich. Vor allem, wenn die Zahl der Angreifer groß ist, kann es eine Weile dauern, bis der Schad-Traffic erfolgreich gefiltert werden kann.

Ist die Zahl der Angreifer zu groß, fällt der betroffene Server aus. Dadurch können auch Webangebote betroffen sein, die mit der Attacke selbst gar nichts zu tun haben, vor allem im „Shared Hosting“: Hier teilen sich mehrere Webpräsenzen einen Server. Wird eine Webpräsenz angegriffen, sind auch alle anderen auf diesem Server betroffen. Das lässt sich weder technisch noch organisatorisch vermeiden: Wird eine Bank überfallen, wird mit Sicherheit die ganze Straße gesperrt, bis alles vorbei ist. Ähnlich ist es bei DDoS-Attacken.

Allerdings dauern die wenigsten DDoS-Attacken lange. Wenn die eigentliche DDoS-Attacke nachlässt oder die dynamisch angepassten Filter erfolgreich arbeiten, kann der Server wieder normal arbeiten, die User können dann wieder erfolgreich darauf zugreifen. Die gute Nachricht: Eine DDoS-Attacke hat praktisch nie Datenverlust zur Folge, auch sind damit weder Datendiebstahl noch Manipulationen verbunden. Hackangriffe erfolgen möglichst lautlos, schließlich will man nicht entdeckt werden – eine DDoS-Attacke ist so ziemlich das Gegenteil: DDoS-Attacken sind lautes Getöse.

Warum jeder PC ein Problem sein kann

Wer nun glaubt: Ich betreibe keine Webseite, ich habe keine Onlineshop, ich schreibe nicht mal einen Blog und habe deswegen mit all dem rein gar nichts zu tun, der täuscht sich. Denn viele DDoS-Attacken werden über so genannte Botnetze realisiert. Da werden Hunderte, manchmal Tausende von infizierten PCs zu einem unsichtbaren, aber effektiven Netzwerk zusammengeschlossen, um zu einer bestimmten Zeit einen ganz bestimmten Server zu attackieren. Wenn Tausende von PCs den Befehl bekommen, mehrere Hundert Mal in der Sekunde einen Server anzusprechen, bricht der garantiert irgendwann zusammen.

Da kann auch der eigene PC zu Hause oder auf dem Schreibtisch mit von der Partie sein. Denn hat sich irgendwann ein Trojaner eingeschlichen, weil eine Sicherheitslücke im Browser oder in einer anderen Software nicht gestopft wurde, kann auf dem betroffenen PC eine „Backdoor“ geöffnet worden sein, eine Hintertür. Oft warten derart infizierte Systeme wochenlang auf einen Befehl. Mitunter werden sie zum illegalen Spam-Versand missbraucht, manchmal aber auch für eine DDoS-Attacke, um einen Server auszuschalten – oft genug, ohne dass der betroffene PC-Benutzer davon etwas mitbekommt. Darum ist es sinnvoll und empfehlenswert, seinen PC mit Antiviren-Software zu schützen, vor allem Windows-Rechner.