Sophia

Aus ProgrammingWiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Distributed Denial of Service - DDoS

Allgemeines

Definition

Die Abkürzung DDoS steht für Distributed Denial of Service und bezeichnet eine gezielte Cyberattacke, die meist mit Hilfe von Schadsoftware durchgeführt wird. Bei einem DDoS-Angriff handelt es sich um eine spezielle Form des   
Angriffs durch Hacker oder Cyberkriminelle, bei der im „Erfolgsfall“ ein oder mehrere Dienste bzw. Systeme ausfallen.
Die Ursache für diese Nichtverfügbarkeit ist in der Regel eine Überlastung der zugrunde liegenden Infrastruktur, etwa durch eine große Menge gleichzeitiger Anfragen. Neben DDoS-Angriffen gibt es auch sogenannte DoS-Angriffe
(Denial of Service). Während bei einem DoS-Angriff ein einzelnes System ein Ziel angreift, erfolgt ein DDoS-Angriff durch eine Vielzahl von kompromittierten Systemen gleichzeitig, was den Angriff besonders wirkungsvoll macht.

[1]

Arten

  • Bei Protokollangriffe, nutzen die Angreifer Schwachstellen in den Protokollen der Netzwerke aus, um die Leistung des Zielnetzwerks zu beeinträchtigen. Dies wird durch das Senden von unvollständigen oder falschen Anfragen erreicht, die die Server und Firewalls (= Netzwerksicherungsvorrichtung) überlasten und zu einer übermäßigen Anzahl von offenen Verbindungen führen.


  • Anwendungsangriffe, auch als Application-layer-Angriffe bekannt, richten sich gegen die Anwendungsschicht von Netzwerken oder Anwendungen. Diese Angriffe können auf verschiedene Weise durchgeführt werden, z. B. durch das Ausnutzen von Schwachstellen in Webanwendungen, durch das Übersenden von manipulierten Anfragen an Anwendungen oder durch das Erzeugen von Fehlern in Anwendungen oder Netzwerken. Diese Angriffe sind oft schwerer zu erkennen, da sie oft als legitimer Traffic erscheinen und daher von Sicherheitsmaßnahmen nicht erkannt werden.


  • Volumenangriffe, auch bekannt als Flooding-Angriffe, sind die häufigste Art von DDoS-Angriff, bei denen eine große Menge an Datenverkehr von einer Vielzahl von Quellen, oft durch Botnetze, auf das Zielnetzwerk gesendet wird, um die Ressourcen des Netzwerks zu überlasten, und den normalen Betrieb des Netzwerks zu beeinträchtigen. (siehe Bild)

SoPau Volumentarischer Angriff.jpg


[2]

Funktionsweise

SoPau DDoS Foto.jpg
  • Zum Starten eines DDoS-Angriffs verwenden Angreifer Malware, um ein Netzwerk von Bots zu erstellen – mit dem Internet verbundene Geräte, die mit Malware infiziert sind und über die Angreifer eine Flut von Traffic an Ziele senden können. Dieses Botnetzwerk, auch als Botnetbekannt, kann Endpunkte wie IoT-Geräte (Internet der Dinge), Smartphones und PCs sowie Router und Netzwerkserver umfassen. Jedes infizierte Gerät kann die Malware auf andere Geräte übertragen, um den Umfang eines Angriffs zu verstärken.
  • Sobald ein Angreifer ein Botnet erstellt hat, sendet er Remote-Anweisungen an die Bots und bringt sie dazu, Anfragen und Traffic an einen Zielserver, eine Website, eine Webanwendung, eine API oder eine Netzwerkressource zu senden. Dadurch entsteht eine überwältigende Menge an Traffic, die zu einem Denial of Service führt und den normalen Traffic daran hindert, auf das Ziel zuzugreifen.
  • Manchmal werden Botnets und deren Netzwerke aus kompromittierten Geräten über „mietbare Angriffsservices“ für andere potenzielle Angriffe vermietet. Damit können Personen mit böswilliger Absicht, aber ohne Schulung oder Erfahrung einfach selbst DDoS-Angriffe starten.

Ziel: Das Ziel jedes Angriffes betsteht darin, legitimen Traffic stark zu verlangsamen dies kann beispielsweise bedeuten, dass ein Nutzer nicht mehr auf eine Website zugreifen kann. Darüber hinaus können DDoS-Angriffe dazu führen, dass die Geschäftstätigkeit von Unternehmen zum Stillstand kommt, was dazu führen kann, dass Mitarbeiter nicht mehr auf E-Mails oder Webanwendungen zugreifen oder wie gewohnt Geschäfte tätigen können.

[3]

Fallbeispiele

Firma Was ist passiert?
Oktober 2023: Google Angriff mit bis zu 398 Millionen Mal pro Sekunde
Februar 2020: Amazon-Web-Services Angriff mit Datenrate von 2,3 Tbps (= Terabit-per-second)
Februar 2018: GitHub Angriff mit Datenraten von bis zu 1,35 Terabit pro Sekunde

[4]

Schutz

  • DDoS-Absorption
  • Indem man DDoS-Absorptionsdienste wie Cloud-basierte DDoS-Schutzdienste einsetzt, kann man die Auswirkungen eines Angriffs absorbieren und so das Zielnetzwerk vor Überlastung schützen. Diese Dienste arbeiten, indem sie den Traffic vor dem Zielnetzwerk filtern und nur legitimen Traffic weiterleiten. Diese Dienste können auch Angriffe erkennen und blockieren, bevor sie das Zielnetzwerk erreichen.
  • Veraltete Komponenten entfernen
  • Veraltete Komponenten, für die keine Sicherheitsupdates mehr bereitgestellt werden, können Schwachstellen enthalten, die nicht mehr behoben werden. Solche Systeme sollten nicht mehr in Betrieb und schon gar nicht aus dem Internet erreichbar sein.
  • Teilung der Daten auf mehrere Server
  • Falls mehrere von extern, erreichbare Dienste zusammen auf einem Server laufen, können diese auf mehrere Server verteilt werden. Durch den Verteilungseffekt lässt sich ggf. auch der Schutzbedarf reduzieren.

[5] & [6]

Video-Empfehlung zur Zusammenfassung: [7]

Von „https://programmingwiki.de/PMG2426_4/Einf%C3%BChrung/Sophia
Persönliche Werkzeuge