DDoS-Angriffe (\u201eDistributed Denial of Service\u201c) sind Angriffe auf die Netzwerke und Systemen von Firmen, Institutionen und Beh\u00f6rden durch Cyberkriminelle und geh\u00f6ren leider mittlerweile zum Alltag. Wie Sie ein DDoS-Angriff erkennen k\u00f6nnen und auf welche Anzeichen Sie achten sollten, erl\u00e4utern wir heute in unserem Blogbeitrag.<\/p>\n
<\/p>\n
Wie in unserem letzten Beitrag zu DDoS-Attacken \u201eDDoS-Attacken auf Webseiten, Shops & Netzwerke \u2013 einfach erkl\u00e4rt<\/a>\u201c beschrieben, gibt es verschiedene DDoS-Angriffsszenarien: Dazu geh\u00f6ren DoS, DDoS und die Sonderform DRDoS.<\/p>\n Doch der Hauptaspekt dieser Angriffe liegt immer auf einer gro\u00dfen Anzahl von generierten Aufrufen oder Aktionen, die durch einen oder mehrere Rechner oder ein sogenanntes \u201eBotnetzwerk\u201c erstellt worden sind.<\/p>\n Ausnahmen hierf\u00fcr sind besonders nachgefragte Produkte, wie zum Beispiel in den letzten Jahren der Verkaufsstart des neuen Apple iPhones. Dort ging die erh\u00f6hte Nachfrage soweit, dass kurzfristig die Webseite nicht erreichbar war und das System neu gestartet werden musste.<\/em><\/p>\n Der Hintergrund f\u00fcr die Nutzung eines Botnetzwerks ist, dass ein Netzwerk von Computern f\u00fcr diese Attacke viel mehr Datenverkehr erzeugen kann als ein einzelnes System bei einem Denail of Service-Angriffen. Daher haben DDoS-Angriffe schwerwiegende Folgen f\u00fcr die Betroffenen, die in der Regel kaum die M\u00f6glichkeit haben, den wahren Ursprung des Angriffs zu ermitteln.<\/p>\n Dies liegt daran, dass Cyberkriminelle, die diese Art von Botnetzen erstellen, spezielle Software verwenden, die auf mit dem Internet verbundenen Computern mit unzureichenden Sicherheitsvorkehrungen installiert und ohne das Wissen dieser Personen zentral betrieben werden. Eine solche „Infektion“ von Privatrechnern sowie von Firmenrechnern erfolgt h\u00e4ufig schon Monate vor dem eigentlich geplanten DDoS-Angriff und \u201eschlummern vor sich hin\u201c bis zu ihrem Einsatz. Die einzelnen Rechner fungieren bei einem Angriff als Angreifende auf das vom Cyberkriminellen geplante Ziel.<\/p>\n Zu den Zielen z\u00e4hlen f\u00fcr gew\u00f6hnlich folgende Unternehmen:<\/p>\n <\/p>\n DDos-Angriffe, als auch DoS-Angriffe und DRDoS-Angriffe, haben im Gegensatz zu anderen Angriffen nicht das Ziel, ein System zu kompromittieren. Dennoch k\u00f6nnen sie in Kombination mit einem solchen Hacking-Versuch auftreten. Beispielsweise werden diese Angriffe als Ablenkung genutzt, um als Angreifende in das System einzudringen.<\/p>\n Die grundlegenden Taktiken dieser Angriffe lassen sich in drei Gruppen einteilen:<\/p>\n Dabei nutzen die angreifenden Personen bestimmte und bekannte Sicherheitsl\u00fccken oder Softwarefehler eines Betriebssystems oder Programms, um DoS- und DDoS-Attacken zu gestalten, dass die Anfragen die bekannten Softwarefehler bis hin zu Systemabst\u00fcrzen ausl\u00f6sen.<\/p>\n Beispiele f\u00fcr dieses Angriffsmuster:<\/p>\n Nat\u00fcrlich zielt ein DoS- oder DDoS-Angriff auf die Ressourcen eines Systems ab. Cyberkriminelle nutzen diese Tatsache f\u00fcr sich, da Webserver nur eine begrenzte Anzahl an Verbindungen herstellen k\u00f6nnen. Werden diese mit sinnlosen oder ung\u00fcltigen Anfragen belegt, lassen sich somit Serverdienste f\u00fcr regul\u00e4re Benutzer oder Webseitenbesucher effektiv blockieren. Man spricht in diesem Fall von Flooding (\u00dcberflutung).<\/p>\n Klassische DDoS-Angriffsmuster auf die Systemressourcen sind HTTP-Flood, Ping-Flood, SYN-Flood und UDP-Flood.<\/p>\n Bei einem solchen Szenario spricht man von einem sogenannten Smurf-Angriff<\/strong>: Dieser DDoS-Angriff nutzt das Internet Control Message Protocol (ICMP), welches zur \u00dcbermittlung von Daten und Fehlermeldungen in den Netzwerken verwendet wird. Dabei sendet die angreifende Person gef\u00e4lschte ICMP-Pakete vom Typ „Echo-Request“ (Ping) an die Broadcast-Adresse eines Computernetzwerks, wobei die IP des Angriffsziels als Absenderadresse verwendet wird. Die Broadcast-Anfrage wird vom Router des Netzwerks an alle angeschlossenen Ger\u00e4te gesendet und zwingt diese, eine Antwort an die Absenderadresse zu senden (ping). Die Bandbreite des Angriffsziels kann durch ein gro\u00dfes Netzwerk mit vielen angeschlossenen Ger\u00e4ten erheblich beeintr\u00e4chtigt werden und setzt das Ziel des Cyberkriminellen um.<\/p>\n <\/p>\n Wie Sie wahrscheinlich aus unserem Beitrag herauslesen, k\u00f6nnen Sie DDoS-Angriffe auf den ersten Blick nur schwer erkennen. Schlie\u00dflich \u00e4hneln diese Angriffe, rein oberfl\u00e4chlich betrachtet, einer Flut legitimer Nutzeranfragen auf Ihren Shop oder Webseite. Es gibt jedoch M\u00f6glichkeiten, den k\u00fcnstlich erzeugten Traffic eines Distributed-Denial-of-Service-Angriffs von dem organischen Datenverkehr zu unterscheiden.<\/p>\n Auf diese vier h\u00e4ufigen DDoS- Angriffs-Anzeichen sollten Sie dabei achten:<\/p>\n <\/p>\n Haben Sie R\u00fcckfragen zu IT-Security-Themen? Nehmen Sie gerne Kontakt<\/a> zu uns auf!<\/p>\nZiel eines DDos-Angriffs<\/h3>\n
\n
Taktiken eines DDoS-Angriffes<\/h2>\n
\n
Ausnutzung von Softwarefehlern und Sicherheitsl\u00fccken<\/h3>\n
\n
\u00dcberlastung der Systemressourcen durch einen DDoS-Angriff<\/h3>\n
\n
Zur \u00dcberlastung der Bandbreite durch einen DDoS-Angriff<\/h3>\n
Zusammenfassung: Achten Sie auf die Anzeichen eines DDoS-Angriffs!<\/h2>\n
\n