Überblick über DoS- und DDoS-Angriffe

Überblick über DoS- und DDoS-Angriffe

Je weiter die Digitalisierung und Nutzung von IT-Anwendungen fortschreitet, desto höher ist die Wahrscheinlichkeit, Opfer von Kriminalität zu werden. Über einen gezielten Angriff erhoffen sich die Täter Daten sowie Dateien auszuspionieren, diese zu verschlüsseln oder sogar die Kontrolle über das gesamte System zu erlangen.

Eine Angriffsmethode sind sogenannte DoS- oder DDoS-Attacken. Auf dieser Seite erklären wir Ihnen, wie diese Angriffe ablaufen, was die Angreifer damit bezwecken, welche Folgen DDoS-Angriffe haben und wie Sie sich davor schützen können. Außerdem geben wir Ihnen einen Überblick über die Schutzmaßnahmen, die wir für unsere Server implementiert haben.

1. DoS-, DDoS-, DRDoS-Angriffe kurz erklärt

DoS – Denial of Service

DoS steht für "Denial of Service" (Dienstverweigerung) bei dem ganz gezielt eine Überlastung der IT-Infrastruktur über eine einzige Quelle herbeigeführt wird, bis der Dienst funktionsunfähig wird. Für die Angriffe können sowohl Schwachstellen und Sicherheitslücken in Programmen, Protokollen, Netzwerken oder Betriebssystemen als auch eine zielgerichtete Überlastung des Servers genutzt werden, der mit so vielen Anfragen konfrontiert wird, dass er diese nicht mehr verarbeiten kann.

DDoS – Distributed Denial of Service

Im Gegensatz zu DoS-Angriffen wird bei DDoS-Angriffen ("Distributed Denial of Service", verteilte Dienstverweigerung) nicht mit einem einzelnen System operiert, sondern es kommen viele unterschiedliche Rechner zum Einsatz. Ziel ist es, einen Serverausfall zu provozieren.

Eine DDoS-Attacke wird häufig über ein sogenanntes Botnetz durchgeführt.

Dafür wird im Vorfeld eines Angriffs eine Vielzahl an Rechnern mit einer Schadsoftware bzw. Malware (ein Backdoor-Programm, das meist über Trojaner eingeschleust wird) infiziert, sodass der oder die Täter die (unbemerkte) Kontrolle über das System erhalten. Einen infizierten Rechner bezeichnet man auch als Zombie Bot.

Von dem infizierten Rechnernetz wird dann ein Teil der Rechenleistung für den Angriff genutzt, indem ferngesteuert Befehle ausgeführt werden, die das Angriffsziel bzw. den Zielserver mit einer großen Masse an Anfragen konfrontieren und so die mutwillige Dienstblockade hervorrufen.

DDoS-Angriff über ein Botnetz

Oft werden auch von außen ungeschützte und mit Malware infizierte IoT-Geräte (Internet of Things, Internet der Dinge), wie zum Beispiel Smart-Home-Systeme (Saugroboter, Smart-TV), Router, Drucker, etc., für DDoS-Attacken missbraucht, da diese Systeme ohne Firewall eine Serveranfrage generieren können.

DRDoS -  Distributed Reflected Denial of Service

Bei einem DoS-Angriff stammen die Anfragen von einem Rechner und bei einer DDoS-Attacke von einem Rechnernetz; bei einem reflektierten Dienstverweigerungsangriff (DRDoS) hingegen von regulär arbeitenden Internetdiensten. Der Zielserver wird also nicht direkt über einen Rechner oder ein Botnetz attackiert, sondern dem Angriff wird eine weitere Ebene – unbeteiligte Rechner – hinzugefügt. Dadurch kann das Opfer nicht nachvollziehen, woher die Attacke tatsächlich kommt.

Im Falle einer DRDoS-Attacke simuliert der Angreifer den eigentlich außenstehenden Diensten (beispielsweise DNS-Diensten), dass die Anfragen von dem angegriffenen Server gestellt werden, indem er die IP-Adresse fälscht. Dieses Vorgehen wird IP-Spoofing genannt. Die Internetdienste dienen dann als sogenannte Reflektoren und antworten auf die (vermeintlichen) Anfragen wodurch sie die eigentliche DDoS-Attacke generieren und den Traffic auf dem Zielserver erhöhen.

2. Angriffsformen

Bei DoS- bzw. DDoS-Angriffen versuchen die Angreifer über die Protokoll- oder Netzwerkebene (protocol attack), die Anwendungsschicht (application attack) oder den Datenstrom (volumetric attack) die Systemressourcen bzw. die Bandbreite zu überlasten oder Sicherheitslücken und Software-Fehler auszunutzen.

Zur Durchführung eines DDoS-Angriffs verwenden die Täter verschiedene Techniken, die einzeln genutzt oder kombiniert werden können. Die wichtigsten sind:

IP-Spoofing (IP-Manipulation)
Es wird gezielt die IP-Adresse in der Header-Information des Datenpaketes verändert oder manipuliert, sodass die Quelle nicht erkennbar ist. Dadurch verschleiert der Täter seine Identität und der Angriff kann nicht abgewehrt werden.

Reflection (Reflexion)
Die Täter setzen im Datenpaket die IP-Adresse des Opfers ein und senden es an ein drittes System, das daraufhin dem Opfer antwortet und die eigentliche Attacke erzeugt.

Amplification (Verstärkung)
Dabei werden Onlineservices ausgenutzt, die auf kurze Anfragepakete mit sehr großen oder sehr vielen Paketen antworten und so den Datenstrom vervielfachen bzw. verstärken.

Nachfolgend stellen wir Ihnen eine Auswahl an DDoS-Angriffen kurz vor:

a) SYN-Flood

Für den Austausch von Daten im Internet kommen verschiedene Protokolle zum Einsatz. Das Transmission Control Protocol (TCP) ist eines der wichtigsten und zentralen Standards dieser Protokollfamilie. Es ist Teil der Transportprotokolle denen auch UDP (User Datagram Protocol) und SCTP (Stream Control Transmission Protocol) angehören. Laut dem OSI-Modell, das die Netzwerkarchitektur in 7 Schichten (Layer) einteilt, arbeiten diese Protokolle auf der Transportschicht (Transport Layer).

Das TCP sorgt für eine gesicherte Ende-zu-Ende-Verschlüsselung sowie den Datenaustausch zwischen den Teilnehmern (Client und Server) eines IP-Netzes. Für die Übertragung werden Pakete genutzt. Als verbindungsorientiertes und transparentes Protokoll sorgt TCP dafür, dass die Anwendungsdaten aufgeteilt und die Datenpakete in der richtigen Reihenfolge wieder zusammengefügt werden. Außerdem stellt es sicher, dass keine Daten verloren gehen. Die Übergabe und Aufnahme der Datenpakete erfolgt im TCP/IP-Stack. Über Ports werden Anwendungen und Protokolle höherer Schichten (zum Beispiel Anwendungsschicht für HTTP, SMTP oder DNS) adressiert.

Um eine TCP-Verbindung von einem Client zu einem Server aufzubauen, wird zur Einrichtung der Verbindung ein Threeway-Handshake durchgeführt. Der Drei-Wege-Handschlag ist ein Verfahren zum Aufbau verlustfreier Datenübertragungen bei dem die Datenpakete SYN, SYN-ACK und ACK wie folgt ausgetauscht werden:

  1. SYN (synchronize)
    Der Client sendet zum Abgleich an den Server eine Synchronisationsanfrage.

  2. SYN-ACK (synchronize acknowledge)
    Nach dem Abgleich antwortet der Server dem Client mit einer Bestätigung des SYN-Abgleichs.

  3. ACK (acknowledge)
    Diesen Vorgang bestätigt wiederum der Client an den Server und die Verbindung wird hergestellt.
Ablauf des Drei-Wege-Handschlags

Diesen Prozess nutzt der Angreifer bei einem SYN-Flood-Angriff (DoS-Angriff auf Protokollebene) aus:

  1. Der Angreifer überhäuft den Server mit SYN-Anfragen, die häufig eine gefälschte (gespoofte) IP-Adresse enthalten.
  2. Auf jede Anfrage antwortet der Server mit SYN-ACK und lässt dafür einen Port offen, um das ACK zu erhalten.
  3. Allerdings unterschlägt der Client die letzte ACK-Bestätigung, was der Server aber nur als Verzögerung in der Paketübermittlung einstuft und die Anfrage nicht abbricht. Dadurch bleibt der Port für die Antwort eine gewisse Zeit offen, sodass Speicher- und Rechenressourcen belegt werden.
  4. Wird der Server weiter mit Anfragen geflutet, sind ab einem gewissen Punkt keine Ports und Ressourcen mehr frei bzw. verfügbar. Es kommt zu einer Überlastung des Servers und der Dienst ist nicht mehr erreichbar.
Ablauf eines SYN-Flood-Angriffs

Werden hingegen viele unbeteiligte Server als Reflektoren für die Attacke genutzt, spricht man von einem SYN-Flood-Reflection-Angriff (DRDoS). Dafür setzt der Angreifer diese Server einer schwachen SYN-Flood aus, die das SYN-ACK-Paket als Antwort zurücksenden. Diese Datenpakete leitet der Angreifer an seinen Zielserver weiter. Dafür kann er auch eine gefälschte IP-Adresse (IP-Spoofing) verwenden. Für die eigentlich unbeteiligten Server sieht es dann so aus, als würde der Server des Opfers diese Anfragen senden. Entscheidend ist, dass jeder dieser Server nicht nur ein SYN-ACK-Paket sendet, sondern dieser Vorgang circa fünf bis sieben Mal wiederholt wird. Bei der Fülle an Servern kommt es so zu einer Vielzahl an Anfragen und einem Verstärkungseffekt, um so auch hier ganz gezielt das Netzwerk zu überlasten.

b) Ping-Flood

Ein Ping ist ein Diagnose-Werkzeug mit dem die Servererreichbarkeit (der Zeitraum, den ein Datenpaket vom Client zum Server und wieder zurück benötigt) in Millisekunden gemessen wird. Technisch basiert der Ping auf dem ICMP (Internet Control Message Protocol), das verschiedene (Daten-)Pakettypen, wie zum Beispiel den Netzwerk-Ping, nutzt.

Beim Netzwerk-Ping wird die Servererreichbarkeit über die Kommandozeile eines Betriebssystems überprüft:

  1. Ping versendet ein IP-Paket inklusive ICMP "Echo Request".
  2. Nach dem Erhalt wird dies seitens des Empfängers mit einem Datenpaket, das den ICMP-Eintrag "Echo Reply" enthält, beantwortet.

Bei einer Ping-Flut (DoS-Attacke) wird der Netzwerk-Ping missbraucht, indem der Angreifer eine Flut an Echo Requests an das Opfer sendet. Im IP-Header hat der Angreifer eine nicht-existente IP-Adresse eingetragen. Die Vielzahl an Requests belastet die Bandbreite. Werden diese vom Empfänger jeweils mit Echo Reply-Datenpaketen beantwortet, braucht dies weitere Bandbreite beim Opfer auf, was zum Systemabsturz führen kann.

Besonders effektiv sind diese Angriffe, wenn der Angreifer über eine hohe oder höhere Bandbreite als das Opfer verfügt. Ziele können nicht nur Server, sondern auch Rechner von Privatpersonen oder Router sein.

Beispiel: Smurf-Angriff
Eine Variante des Ping-Floodings ist der Smurf-Angriff, bei dem Schwachstellen im ICMP und IP (Internet Protocol) ausgenutzt werden. Diese Art der DDoS-Attacke läuft wie folgt ab:

  1. Mittels Malware wird ein Netzwerkpaket erstellt. Darin befindet sich eine ICMP-Ping-Nachricht (Echo Request), die Netzwerk-Nodes zu einer Antwort auffordert nachdem sie das Paket erhalten haben.
  2. Dieses ICMP-Paket wird an eine falsche IP-Adresse angehängt, denn im IP-Header wird als Source Address die IP des Opfers eingetragen (IP-Spoofing), und an den Empfänger gesendet.
  3. Die Antworten (Echos) werden an den Angegriffenen zurück gesendet, da dessen IP im Netzwerkpaket eingetragen ist.

Ein Smurf-Angriff kann mit IP-Broadcasting kombiniert werden. Bei dieser Variante, die als Smurf-Amplifier bezeichnet wird, wird das bösartige Netzwerkpaket an die Broadcast-Adresse eines Computernetzwerks gesendet. Der Router leitet im Zielnetz die Broadcast-Anfrage an alle Geräte im lokalen Netz weiter, wodurch alle an das Netzwerk angeschlossenen Computer antworten und sich das Paket vervielfacht. Ist eine große Anzahl an Clients an das Netzwerk angeschlossen, führt dies zu einer massiven Bandbreiten-Beeinträchtigung beim Opfer.

Smurf-Angriffe sind selten geworden, da Hosts in der Standardkonfiguration nicht mehr auf Pings antworten und Router diese nicht mehr weiterleiten.

c) UDP-Flood

UDP steht für User Datagram Protocol und ermöglicht den verbindungslosen Datenversand in IP-basierten Netzwerken. Als Alternative zum Transmission Protocol (TCP) ist es schneller und einfacher. Damit die Datenpakete an das jeweilige Zielsystem bzw. die gewünschte Anwendung gelangen, nutzt UDP (wie auch TCP) Ports. Die hohe Übertragungsrate von UDP wird erzielt, da für den Datentransport keine bestehende Verbindung zwischen Absender und Empfänger nötig ist und zwischen beiden keine Authentifizierung erfolgt. UDP wird häufig bei DNS-Anfragen, VPN-Verbindungen sowie Audio- und Video-Streaming verwendet. Da Sicherheitsaspekte, wie der Drei-Wege-Handschlag, fehlen, gilt UDP als unsicher. Außerdem ist bei diesem Protokoll nicht gewährleistet, dass die Datenpakete in der korrekten Reihenfolge und vollständig übertragen werden.

Bei einer UDP-Attacke werden UDP-Pakete mit gefälschter IP-Adresse (IP-Spoofing) wahllos auf Ports des angegriffenen Systems gesendet. Das Betriebssystem prüft auf dem Port, ob es eine passende Applikation gibt, was nicht der Fall ist. Dadurch muss der Server nun dem Absender antworten, dass das Paket nicht zugestellt werden konnte. Da das UDP-Protokoll verbindungslos ist, nutzt der Server für die Antwort das ICMP (Internet Control Message Protocol) an die Absender-IP. Wird das Opfer mit einer Flut an UDP-Paketen konfrontiert, führt dies so zu einem extrem hohen Datenstrom mit dem Ziel, die Ressourcen so stark auszulasten, dass das gesamte System zusammenbricht.

Beispiel: Fraggle-Angriff
Ein Beispiel für eine UDP-Attacke ist der Fraggle-Angriff, der einer Smurf-Attacke ähnelt. Anstatt ICMP-Echo-Requests werden hierbei gespoofte UDP-Pakete an die Broadcast-Adresse eines großen Netzwerks gesendet in der Hoffnung, dass diese an die Clients im Netzwerk weitergeleitet werden und diese dann darauf antworten. Wie auch Smurf-Angriffe gibt es heutzutage kaum noch Fraggle-Attacken, weil Router mittlerweile keine Datenpakete mehr weiterleiten, die an Broadcast-Adressen gerichtet sind.

Beispiel: NTP-Verstärker-Angriff
Eine NTP-Amplification-Attacke hat das Ziel, ein Netzwerk oder einen Server mit einem verstärkten UDP-Traffic-Volumen zu überfluten. Bei dieser DDoS-Attacke nutzt der Angreifer das öffentlich zugängliche Network Time Protocol (NTP) des Servers aus. Das NTP wird zur Uhrzeitsynchronisation von und mit dem Internet verbundenen Rechnern genutzt. Der Angreifer sendet wiederholt die Anfrage "get monlist" mit der IP-Adresse des Opferservers an den NTP-Server. Daraufhin antwortet der NTP-Server an die gefälschte IP mit den letzten 600 Quell-IP-Adressen von Anfragen, die an ihn gerichtet wurden, was den Datenverkehr an das Opfer verstärkt und den Dienst einschränkt.

d) DNS-Flood

Das Domain Name System (DNS) ist, vereinfacht gesagt, ein Verzeichnis, das Ihren Domainnamen (meine-website.de) in die IP-Adresse (123.4.5.67) bzw. Servernamen übersetzt, damit der Besucher Ihrer Website auf die Seiteninhalte zugreifen kann. Für die Datenübertragung wird meist das User Datagram Protocol (UDP) verwendet.

Bei einer DNS-Flut (DDoS-Angriff) auf eine Domain wird der zugehörige DNS-Server mit unzähligen DNS-Anfragen überhäuft. Ziel ist es, die DNS-Auflösung für die Domain zu unterbrechen, sodass die Website von legitimen Besuchern nicht mehr aufgerufen werden kann. Da die Anfragen von eindeutigen Standorten kommen, sind sie von echten Anfragen kaum zu unterscheiden.

Eine DNS-Amplification-Attacke unterscheidet sich von der DNS-Flood, weil ein Verstärkungsfaktor erzeugt wird, indem viele kurze Anfragepakete (zum Beispiel 50 Bytes) an ungesicherte DNS-Server gestellt werden, die eine lange Antwort (zum Beispiel 3000 Bytes) provozieren. Bei den Anfragen wurde die IP-Adresse des Opfers via IP-Spoofing als Antwortadresse eingefügt, sodass die extrem großen Antwortdatenströme auf die Opfer-IP gelenkt werden.

e) HTTP-Flood

Die HTTP-/HTTPS-Flood ist eine DDoS-Attacke, bei dem eine Ressourcenüberlastung des Webservers herbeigeführt werden soll. Diese Angriffsform ist auch unter dem Namen "Layer-7-Attack" (Ebene-7-Angriff) bekannt. Die Ebene 7 entstammt als Anwendungsebene dem OSI-Modell (Open Systems Interconnection), das den Aufbau des Internets in sieben Schichten unterteilt.

Wie der Name schon sagt, wird der Server gezielt mit HTTP-Anfragen geflutet, wobei es zwei verschiedene Varianten der HTTP-Flut gibt:

HTTP-GET-Angriff
Hierbei senden die Angreifer HTTP-Requests über einen Client (Browser) an beliebige Zielseiten, die, idealerweise, ein hohes Ladevolumen durch statische Inhalte wie Bilder, aufweisen. Der Webserver muss diese Daten für jede Anfrage versenden, was aber aufgrund der vielen Requests irgendwann nicht mehr möglich ist. Dadurch werden die Antworten nur noch sehr langsam generiert oder der Server bricht unter der Last komplett zusammen. Für eine besonders effektive Ausführung dieser Angriffsart kommen häufig Botnetze zum Einsatz.

HTTP-POST-Angriff
Bei dieser Variante sendet der Angreifer Daten an den Webserver, zum Beispiel über ein Formular. Der Server muss diese Anfrage bearbeiten, indem er beispielsweise die übermittelten Daten in eine Datenbank verschiebt. Dieser Vorgang benötigt Ressourcen. Wird der Server mit POST-Anfragen geflutet, erhöht dies den serverseitigen Ressourcenverbrauch auf ein Maximum, bis die Anfragen nicht mehr verarbeitet werden können und der Server zusammenbricht.


In beiden Fällen ist die Zielseite für reguläre Zugriffe nicht mehr erreichbar. Die Bekämpfung von HTTP-Angriffen ist schwierig und komplex, weil für das Opfer nur schwer ersichtlich ist, ob es sich um legitimen oder bösartigenTraffic handelt.

f) Mail-Bombing

Wie der Name schon erahnen lässt, wird bei dieser Angriffsart das Opfer mit E-Mails regelrecht bombardiert. Ziel bei diesem Denial-of-Service-Angriff ist es, einen Mailserver und einen Posteingang mit Mails zu überfluten und die Systeme zu überlasten. Es kann auch sein, dass eine sehr große Nachricht als E-Mail an die Zieladresse gesendet wird. Auch hier soll der Posteingang des Opfers gefüllt werden, sodass entweder keine "echten" E-Mails mehr zugestellt werden können, keine E-Mails mehr versendet werden können oder ein Zugriff überhaupt nicht mehr möglich ist.

3. Wie erkenne ich einen DDoS-Angriff und welche Folgen hat er?

Woran erkenne ich einen DDoS-Angriff?

Ziel der Kriminellen bei einer DoS- bzw. DDoS-Attacke ist es, die Erreichbarkeit des Dienstes stark einzuschränken oder einen kompletten Ausfall herbeizurufen.

Ein Angriff besteht aus einer Vielzahl an automatisierten Anfragen, mit denen Ihr System über einen bestimmten Zeitraum (Minuten oder auch Stunden) aus verschiedenen Quellen heraus geflutet wird.

Diese Anfragen sind keine regulären Anfragen, die beispielsweise durch Marketing-Kampagnen oder Aktionstage (Black Friday) ausgelöst werden.

Wenn Ihre Website keinen hohen Traffic aufweist, die Ladezeit aber dennoch sehr lang ist und der Server eine sehr hohe Last aufweist, könnte ein DDoS-Angriff dahinterstecken. Erkennbar ist schadhafter Datenverkehr beispielsweise an einer begrenzten IP-Range oder wenn er einem einzelnen Land bzw. einer einzelnen Region entstammt, von dem sonst kaum Traffic erzeugt wird. Kommen die Anfragen von einem ähnlichen Client mit gleichem Betriebssystem und Webbrowser ist dies ein weiterer Indikator für eine Attacke. Auch wenn sich bestimmte Muster abzeichnen oder der Traffic in regelmäßigen, wiederkehrenden Wellen auftritt, kann es sich um einen DDoS-Angriff handeln.

Schwieriger zu erkennen sind Angriffe, die auf die Anwendungsschicht abzielen, zum Beispiel eine HTTP-Flood. Zwar ist auch hier eine Ressourcenüberlastung die Folge, aber es ist schwer festzustellen, ob die Anfragen aus einer kompromittierten Quelle oder durch regulären Traffic generiert werden.

Grenzen Sie eine DDoS-Attacke außerdem von Bot-Traffic ab. Übermäßig hohem HTTP-Traffic liegen häufig Bots zugrunde, die Ihre Website durchaus ganz legitim besuchen, zum Beispiel Webcrawler. Gerade bei unseren Servern ist übermäßiger Bot-Traffic häufig der eigentliche Grund, da wir über eine automatisierte Sicherheitslösung zuverlässig gegen DDoS-Angriffe geschützt sind. Alles Wissenswerte rund um Bots haben wir Ihnen in unserem Beitrag "Bots - Was ist das und wie funktionieren sie?" zusammengestellt.

Verwechseln Sie DDoS-Attacken auch nicht mit einem Angriff, der darauf abzielt, Daten zu erbeuten oder sich Zugriff zu Ihrer Website oder Ihrem Onlineshop zu verschaffen. Bei DDoS wird durch eine extrem hohe Last ein Systemausfall provoziert. Natürlich schließt das eine das andere nicht aus und beide Angriffsformen können gekoppelt werden. So legt eine DoS-/DDoS-Attacke den Fokus auf dessen Bekämpfung und lässt dadurch den Angriff an einer anderen Stelle zu.

Was sind die Folgen eines DDoS-Angriffs?

Die Folgen eines Angriffs können unterschiedlich, aber weitreichend sein – je nachdem, wer den Angriff durchführt. Ziel ist es, die Erreichbarkeit eines Dienstes zu stören und einen Ausfall zu provozieren, der einen (hohen) finanziellen Schaden hervorruft. Dabei haben es die Täter beispielsweise abgesehen auf

  • die öffentliche Website bzw. den Onlineshop
  • Kundenportale oder geschützte Login-Bereiche
  • Kommunikations- und Transaktionsdienste
  • Datei-Server
  • operative Systeme

Es können also nicht nur Internetseiten wie Ihre Unternehmenswebsite oder Ihr Onlineshop von einer DDoS-Attacke betroffen sein. Da der Schaden möglichst groß sein soll, können auch die Energie- und Stromversorgung sowie Fertigungsanlagen und Produktionsprozesse mögliche Angriffsziele sein.

Die Motive für einen Angriff sind ganz unterschiedlich und reichen von ideologisch motivierten Tätern, die mit dem jeweiligen Unternehmen und eventuell dessen Werten nicht übereinstimmen über politische Gründe, gezielte Angriffe durch Wettbewerber bis hin zu Tätern, die aus Langeweile oder erpresserischem Anlass handeln.

Damit sind auch die Folgen vielfältig:

  • Vandalismus
  • Störung der Erreichbarkeit und der Betriebsprozesse
  • Sabotage
  • Erpressung mit Lösegeldforderungen

Das hat nicht nur wirtschaftliche Konsequenzen, sondern kann auch das Image eines Unternehmens belasten. Gerade dann, wenn bei einem Angriff sensible Daten in die Hände des oder der Kriminellen gelangt sind.

4. Kann ich mich vor einem DDoS-Angriff schützen?

Einen 100%-igen Schutz gegen DoS- und DDoS-Angriffe werden Sie nicht erreichen, gerade dann, wenn die Angreifer verschiedene Methoden kombinieren.
Aber: Sie können Maßnahmen implementieren, um DDoS-Angriffen vorzubeugen und zu erschweren, um im Ernstfall schnell zu reagieren und den Schaden möglichst gering zu halten.

Allgemeine Schutzmaßnahmen gegen DDoS-Angriffe

Analysieren Sie dafür im Vorfeld, welche Dienste als Angriffsziel missbraucht werden könnten. Diese Dienste sollten dann einem kontinuierlichen Monitoring unterliegen. Damit erkennen Sie, wenn die festgelegten Grenzwerte oder Raten überschritten werden. Verteilen Sie nach Möglichkeit die Dienste auf verschiedene Netzwerke, damit im Falle eines Angriffs "nur" ein Teil Ihrer Infrastruktur betroffen ist und sichern Sie diese Netzwerke gegen Überlastung bzw. mit genügend Bandbreite ab (Load Balancing).

Zusätzlich können Sie verschiedene Filter für Router & Firewalls implementieren:

  • Blackholing: Damit filtern Sie IP-Pakete, deren Quelladresse im Bereich der angreifenden IP-Adresse liegt. Der Router verwirft diese dann. Das Prinzip kann auf GEO-IP-Regionen ausgeweitet werden.
  • Sinkholing: Dafür wird ein DNS-Server von einer zuständigen Domain-Registrierungsstelle so konfiguriert, dass er für eine bestimmte Gruppe von Domänennamen nicht weiterleitbare Adressen vergibt. Über die Änderung im DNS-System werden alle Anfragen und Datenpakete aus dem Botnet an den Sinkholing-Server weitergeleitet. Wenn sich ein bestimmtes Angriffsziel herauskristallisiert, können Sie die Zombie Bots blockieren, indem IP-Pakete mit der IP des Angriffsziels am Router verworfen werden.
  • Individuelle Filterkriterien: Eventuell lassen sich nach einer Analyse des Angriffsverkehrs bestimmte Filterkriterien ablesen, die Sie dann über den Router oder eine Firewall filtern können. Bei einem HTTP-Angriff beispielsweise können Felder im Header eines HTTP-Paketes herangezogen werden.

Außerdem gibt es am Markt verschiedene Softwarelösungen und DDoS-Mitigation-Appliances, die implementiert werden können. Nutzen Sie auch die Sicherheitsmodule Ihres Servers, die zum Beispiel die IP-Verbindungsanzahl pro IP-Adresse beschränken.

SYN-Angriffe abwehren

Kapazität des SYN-Backlogs erhöhen
Allgemein gesagt, werden in einem Backlog Dinge, wie zum Beispiel Aufgaben, gesammelt, die noch nicht erledigt sind und abgearbeitet werden müssen. Teil eines jeden Betriebssystems ist das SYN-Backlog. Dort werden die halboffenen Verbindungen des Drei-Wege-Handschlags zwischengespeichert. Wenn die Verbindung erfolgreich hergestellt wurde, wird die SYN-Anfrage aus dem Backlog und damit aus dem Speicher gelöscht, sodass der Weg für eine neue Verbindungsanfrage frei wird.

Aufgrund des begrenzten Arbeitsspeichers ist auch die Anzahl der Einträge im SYN-Backlog begrenzt, sodass sich bei vielen Anfragen eine Warteschlange aufbaut, die bei einer SYN-Flood zum Absturz des Dienstes führen kann. Sie haben die Möglichkeit, den Wert für die maximale Anzahl an Einträgen anzupassen. So können zumindest kleinere SYN-Floods überbrückt werden.

Recycling von TCP-Verbindungen
SYN-Anfragen, also alle halboffenen TCP-Verbindungen, werden im Backlog chronologisch gespeichert. Sie können festlegen, dass die älteste halboffene Verbindung gelöscht wird, sobald das Backlog voll ist. Dadurch wird Platz für eine neue Anfrage. Auch das kann die Erreichbarkeit Ihres Systems aufrechterhalten, wenn das Angriffsvolumen vergleichsweise klein ist.

SYN-Cookies
SYN-Cookies kommen zum Einsatz, wenn der Angreifer gefälschte IP-Adressen in den SYN-Datenpaketen (IP-Spoofing) nutzt. Der Server gleicht die SYN-Anfrage ab, antwortet mit SYN-ACK und wartet dann auf die ACK-Antwort des Clients. Diese Antwort kommt bei einer SYN-Attacke mittels IP-Spoofing nicht, weil die Anfrage aus einer nicht legitimen Quelle stammt.

Die 1996 von Daniel J. Bernstein entwickelten SYN-Cookies, setzen bei der SYN-ACK-Antwort an. Sie kodieren die relevanten Verbindungsparameter nicht über den Transmission Control Block, sondern in einer Sequenznummer des SYN-ACK-Paketes und löschen dann die SYN-Anfrage aus dem Backlog. Dadurch kann eine neue Verbindungsanfrage eingehen. Handelt es sich um einen legitimen Client, der mit einem ACK-Paket antwortet, verifiziert der Server den Verbindungsaufbau über die Sequenznummer des Paketes und rekonstruiert den gelöschten Eintrag im SYN-Backlog.

SYN-Cache
Alle Aktivitäten während des Drei-Wege-Handshakes werden in einem Transmission Control Block (TCB) verwaltet, sodass es pro aktiver Verbindung einen TCB gibt. Der SYN-Cache speichert im SYN-Backlog nicht den kompletten, sondern einen minimalen TCB für halboffene Verbindungen. Antwortet ein legitimer Client mit ACK, wird der minimale in einen vollen TCB verschoben.

SYN-Cache und SYN-Cookies können in Kombination eingesetzt werden, um den Schutz gegen eine SYN-Flood zu verbessern.

Ping-Angriffe abwehren

Bei einer Ping-Flut missbraucht der Angreifer das Internet Control Message Protocol (ICMP) und sendet massenhaft Echo Requests an den Server. Als vorbeugende Maßnahmen können Filter für Firewalls und Router konfiguriert werden, die dieses Angriffsmuster erkennen. Stellen Sie fest, dass Ihr Server mit Netzwerk-Pings attackiert wird, können Sie diese Funktion deaktivieren – wobei dies auch generell möglich ist.

Falls Sie über ein großes IT-Netzwerk verfügen, können Sie durch ergänzende Hardware, wie Load Balancer, Firewall und Rate Limiter, sicherstellen, dass durch eine Verteilung und Begrenzung der Last genügend Bandbreite zur Verfügung steht.

UDP-Angriffe abwehren

Das User Datagram Protocol (UDP) ist ein verbindungsloses Netzwerkprotokoll bei dem der Server als Antwort an den Client das Internet Control Message Protocol (ICMP) nutzt. Beim Fluten des Servers mit UDP-Anfragen kann der Server die Antworten nicht mehr bearbeiten.

Über eine Firewall auf Server- und Netzwerkebene können Sie verdächtige UDP-Pakete herausfiltern, damit sie verworfen werden. Diese Option sollte allerdings nicht für DNS-Anfragen gelten, die meist über UDP generiert werden. Das eine Serverantwort nötig ist, weil keine Applikation für die UDP-Anfrage gefunden wird, wird über das Betriebssystem festgestellt. Dort können Sie ein Limit für ICMP-Antworten innerhalb einer bestimmten Zeitspanne festlegen.

DNS-Attacken abwehren

Bei einer DNS-Flut ist Ihre Website "nur" indirekt betroffen, weil sich der Angriff gegen den DNS-Server richtet. Daher können Sie dagegen kaum etwas tun. Auch die Abwehr eines DNS-Amplification-Angriffs ist schwierig. In den Anfragepaketen an die DNS-Server ist die IP-Adresse des Opfers enthalten, sodass die Antworten an diese zurückgesendet werden. Das Opfer der Attacke sieht im Gegenzug aber "nur" die IP-Adresse der DNS-Server und nicht die IP des Angreifers.

Wie auch bei anderen Attacken, können Sie aber über ein kontinuierliches Monitoring und das Filtern nach Angriffsmustern ein Verwerfen der Anfragen über die Firewall erzielen.

HTTP-Angriffe abwehren

Wie bereits unter Punkt 2 festgestellt, ist es sehr schwierig eine HTTP-/HTTPS-Flut zu erkennen, weil der kompromittierte Traffic im ersten Moment legitim aussieht. Anhand Ihres Monitorings können Sie erkennen, ob die festgelegten Grenzwerte überschritten wurden. Falls die Lastspitzen nicht durch etwaige Marketing-Kampagnen oder Aktionstage hervorgerufen werden, sollten Sie prüfen, über welche IP-Adressen die Anfragen eintreffen. Die Analyse können Sie zum Beispiel über Ihre Firewall durchführen lassen, die verdächtige IPs dann blockiert und dauerhaft auf eine Blacklist setzt.

Zum Bestimmen und Blockieren von IP-Adressen auf unseren Servern nutzen wir beispielsweise fail2ban, das standardmäßig installiert ist. Black- und Whitelisteinträge können Sie über Ihr Kundencenter bzw. Server Control Panel verwalten. In unserem Blog IP-Adressen dauerhaft sperren haben wir fail2ban kurz erklärt.

Mail-Bombing abwehren

Mittlerweile hat fast jedes E-Mail-Programm eingebaute Spam-Filter, die einen Mail-Bombing-Angriff verhindern, indem Sie Massenmails als Spam klassifizieren und automatisch im Junk-Ordner ablegen. Außerdem sind am Markt zahlreiche zusätzliche Programme verfügbar, die mit verschiedenen Filtern arbeiten und Ihr System schützen können.



Grundsätzlich kann jedes Unternehmen Opfer eines DoS- oder DDoS-Angriffs werden, wobei die Angriffe fast ausschließlich auf Server abzielen, um die Dienste zum Absturz zu bringen. Nutzen Sie Managed Hosting, sorgt Ihr Hosting-Anbieter dafür, dass die Server ausreichend geschützt sind.

Unabhängig davon, ob Sie Ihre eigene IT-Infrastruktur betreiben oder nicht, sollten Sie grundlegende IT-Security-Maßnahmen implementieren, um sich gegen Angriffe zu schützen. Stellen Sie sicher, dass auf Ihren Rechnern eine Antivirus-Software aktiviert ist, die Passwörter regelmäßig aktualisiert werden, Firewalls korrekt eingestellt sind und immer die aktuelle Systemversion genutzt wird, gerade wenn webbasierte Anwendungen zum Einsatz kommen.


5. Wie schützt sich Timme Hosting vor DDoS-Angriffen?

Als Managed Hoster tragen wir dafür Sorge, dass unsere Server bestmöglich vor Angriffen geschützt sind. Neben einem kontinuierlichen Monitoring setzen wir auf eine automatisierte Sicherheitslösung, in der die Software-Komponenten auf einer intelligenten, hintereinander geschalteten Filtertechnik basieren. Damit wird geprüft, ob der Traffic von einer legitimen oder schädlichen Quelle stammt.

Die Filter decken dabei drei verschiedene Ebenen ab:

1. Automatisierte Erkennung von Angriffsmustern
Auf Basis der Traffic- und Paketmenge sowie des Angriffsmusters wird der Angriff erkannt und eingegrenzt. So kann beispielsweise eine UDP- von einer SYN-Flood oder eine harmlose von einer gefährlichen UDP-Flut unterschieden werden.

2. Filtern nach bekannten Mustern
Einige Angriffe nutzen geläufige Angriffsmuster, die vom System über Traffic-Begrenzungsfilter erkannt und im Filternetzwerk verworfen werden. Dies ist sehr effektiv, wenn es sich um DNS-Reflection- und NTP-Reflection-Angriffe sowie UDP-Floods handelt.

3. CRAM-Authentifizierung und dynamisches Filtern
Zuletzt werden Angriffe über den Challenge Response Authentication Mechanism (CRAM, Aufforderungs-Antwort-Verfahren) sowie eine dynamische Traffic-Filterung ausfindig gemacht.
CRAM ist ein sicheres Authentifizierungsverfahren, bei dem Client-Anfragen durch den Server mit einer Challenge (Aufforderung) beantwortet werden. Diese Aufgabe muss der Client lösen und mit dem errechneten Hashwert bzw. privaten Schlüssel antworten. Erst bei Übereinstimmung wird die Anfrage ausgeführt.

In dieser Stufe werden SYN- und DNS-Floods sowie ungültige Pakete herausgefiltert.

Bei uns aktiviert sich der DDoS-Schutz automatisch, sobald ein Angriff erkannt wird. Die Software filtert diesen frühzeitig und leitet ihn auf einen Teil des Netzwerks um, auf dem er keinen Schaden anrichten kann. Dadurch kann der Angriff zuverlässig abgewendet werden und der Traffic auf Ihrer Website bleibt im Regelfall unberührt. Gleichzeitig lernt das System auf Basis der Angriffsanalyse, Filter und Responses, sodass flexibel und zuverlässig auf Angriffe reagiert wird. Der DDoS-Schutz ist in unserem Webhosting inklusive.

Finden Sie den passenden Tarif

Unser Tarifberater hilft Ihnen dabei, das passende Paket zu finden. Bei Fragen berät Sie unser Sales-Team sehr gerne unter +49 (0) 4131 / 22 78 1-25 oder sales@timmehosting.de.

Bitte beachten Sie: Der Tarifberater dient nur der groben Orientierung. Ihr tatsächlicher Bedarf kann durch den Ressourcenbedarf Ihrer Anwendung(en), tageszeitabhängige/saisonale/aktionsbedingte Schwankungen des Besucheraufkommens, geplantes Wachstum und weitere Faktoren von der Empfehlung abweichen.

  • 1
  • 2
  • 3
  • 4
  • 5

Was möchten Sie hosten?

Möchten Sie einen oder mehrere Shops hosten? (Eine Multishop-Installation gilt als ein Shop.)

Möchten Sie eine oder mehrere Websites hosten? (Eine Multisite-Installation gilt als eine Website.)

Wieviele Besucher haben Sie insgesamt pro Tag?

Wieviele Besucher haben Sie insgesamt pro Tag?

Wieviele Besucher haben Sie insgesamt pro Tag?

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

Wieviel Speicherplatz benötigen Sie insgesamt?

Wieviel Speicherplatz benötigen Sie insgesamt?

Wieviel Speicherplatz benötigen Sie insgesamt?

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Web Hosting

Zu den ScaleServer Paketen Zu den Web Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Shop Hosting

Zu den ScaleServer Paketen Zu den Shop Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed vServer oder ScaleServer

Zu den Managed vServer Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed Server oder ScaleServer

Zu den Managed Server Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen unsere

Timme Cloud 2.0

Zur Timme Cloud 2.0