DDoS-Angriffe
Mobilmachung der Netz-Mafia
Mit zunehmend professionellen Methoden und frei verfügbaren IT-Werkzeugen ist die Gefahr von Attacken aus dem Internet enorm gestiegen. Nicht nur Online-Shops, sondern auch Industrieunternehmen, politische Einrichtungen und Finanzinstitute stehen im Visier.
Eine typische Angriffstaktik: Zermürbung per Distributed Denial of Service (DDoS), gefolgt von Drohungen per E-Mail und der Forderung nach Schutzgeld in der virtuellen Währung Bitcoin. Gängige Abwehrstrategien mit einfachen Firewalls, Antivirus und Anti-Malware können kaum dagegenhalten. Ein Grund dafür ist ausgerechnet das Protokoll zur sicheren Datenübertragung SSL.
Als Raul Garcia vor rund einem Jahr in Erscheinung trat, herrschte eine ungewöhnliche Anspannung unter Online-Anbietern. Ein anonymer Erpresser hatte unter dem Namen des spanischen Fußballnationalspielers Schutzgeld von rund 1000 Internet-Shops gefordert. Garcias Akte führte der Geschäftswelt vor Augen: Die digitale Kriminalität hat eine neue Dimension erreicht. Dabei lassen sich die Angriffe mittlerweile recht sauber kategorisieren, in Motive mit politischem, finanziellem, wettbewerbsschädigendem Hintergrund sowie Datendiebstahl. Öffentlichkeitswirksam wie im Fall des vermeintlichen Fußballfans werden solche digitalen Überfälle freilich nur selten; kaum ein Unternehmen spricht darüber, aus Sorge vor Image-Verlust. Klar ist allerdings: Es sind in erster Linie Angriffe per DDoS, die IT-Verantwortlichen schlaflose Nächte bereiten. Einer Schätzung von IT-Sicherheitsexperten zufolge beträgt die Zunahme für diese Art der Netzwerkattacken mittlerweile satte 50 Prozent. Umfassten DDoS-Angriffe anfangs noch einige MBit an Bandbreite, so sind heute Attacken mit 400 GBit keine Seltenheit mehr.
Der Anstieg an Menge und Intensität liegt in den Möglichkeiten mit DDoS begründet. Während einfache DoS-Angriffe in der Regel von einem isolierten Rechner ausgehen und kleinere Netzwerke blockieren, handelt es sich bei DDoS um eine groß angelegte Mobilmachung mit der geballten Leistung von mehreren Rechnereinheiten. So ein Botnet – bestehend aus gekaperten Servern, Desktops, Notebooks oder sogar Mobiltelefonen von unbedarften Anwendern – ist in der Lage, selbst stabilste Unternehmensnetze so lange und schnell mit Datenpaketen zu beschießen, bis sie unter der Last zusammenbrechen. Das technische Prinzip solcher Multi-Vector-Angriffe: Der Rechnerverbund ermöglicht es, kleinere Paketströme zu immer größeren und umfangreicheren Datenübertragungsraten zu aggregieren und an die IP-Adresse des Opfers zu richten. Die Kriminellen selbst verwalten das Botnet über ein Befehls- und Steuerzentrum, während sie sich hinter einer Reihe von Proxys verstecken. Typische DDoS-Angriffe zielen dann auf eine Überlas-tung des Access-Link, der Ressourcen der Firewall, der Web- und der Datenbankserver. Wegen der großen Anzahl der eingesetzten Computer ist es für die angegriffenen Systeme nahezu unmöglich festzustellen, woher der Angriff überhaupt kommt. Zudem finden DDoS-Angriffe oftmals zum denkbar ungünstigsten Zeitpunkt statt – im Fall eines Online-Shops etwa zur Weihnachtszeit, oder in einer Assekuranz an den klassischen Versicherungs-Wechseltagen im November. Ebenso gehören Wochenenden, wenn IT-Abteilungen nicht voll besetzt sind, zu den bevorzugten Angriffszeiten.
Arten von DDoS-Attacken
Generell lassen sich DDoS-Angriffe in drei Kategorien aufteilen: Volumetrische Verfahren wie DNS-, NTP- oder Chargen-Amplification-Attacken überlasten die Netzwerkverbindung eines Opfers und machen Dienste unerreichbar, indem Bots die Anfragen mit einer gefälschten IP-Adresse an einen Dienst wie DNS richten. Die Antworten kommen dabei in der Regel von „ungepatchten“ oder schlecht konfigurierten Rechnern und sammeln sich zu riesigen Bandbreitendatenmengen.
Netzwerkprotokollangriffe wie SYN-Floods, Ping of Death und IP-Anomalien überlasten den Protokollstapel des Opfers, so dass er nicht mehr auf legitimen Datenverkehr reagieren kann. SYN-Flood nutzt die Tatsache aus, dass Server Ressourcen für nicht abgeschlossene Verbindungsanfragen reservieren. Der Server beendet die Verbindung und gibt die reservierten Ressourcen frei. Gehen nun ausreichend viele Anfragen ein, kann der Server nicht mehr auf legitime Anfragen reagieren.
Application Layer-Offensiven versuchen die Ressourcen, über die eine Anwendung ausgeführt wird, zu überlasten. Low-and-slow-HTTP-POST-, HTTP-GET-Flood- oder SSL-basierte Angriffe benötigen keine großen Datenmengen. Hier reichen 50 bis 100 Anfragen pro Sekunde aus, um alle Ressourcen des Anwendungs-Frameworks zu überlasten.
- Mobilmachung der Netz-Mafia
- Attacken auf Bestellung
- Exkurs: Das DDoS-Arsenal
Lesen Sie mehr zum Thema
