DDoS - Tools - Botnet

So funktioniert ein DDoS-Angriff

Sabine Frömling ist Autorin zahlreicher Beiträge rund um die Themen IT-Sicherheit, Projektmanagement, Providersteuerung/Outsourcing, digitale Transformation und diverse Managementinstrumente. Sie ist seit 15 Jahren in der Steuerung und dem Management von IT-Projekten, IT-Programmen und IT-Portfolios tätig.
Wir zeigen, was sich hinter dem Begriff DDoS verbirgt, was Sie im Falle eines DDoS-Angriffs machen können und wie geeignete Schutzmaßnahmen aussehen.
In diesem Artikel lesen Sie alles, was Sie zum Thema DDOS wissen müssen.
In diesem Artikel lesen Sie alles, was Sie zum Thema DDOS wissen müssen.
Foto: DaLiu - shutterstock.com

Bei einem DDoS-Angriff erlangt ein HackerHacker die Kontrolle über ein Netzwerk aus mehreren mit dem Internet verbundenen Rechnern, einschließlich IoT-Geräten. Eine Malware-Infektion verwandelt gehackte Rechner in Bots, wobei eine Gruppe von Bots ein Botnetz (manchmal auch Zombienetz genannt) bildet. Hacker kontrollieren Botnetze aus der Ferne, zum Beispiel für Clickbaiting, Spam-Versand oder Bitcoin-Mining. Bei einem DDos Angriff werden Botnetze verwendet um Anfragen an ein Zielsystem, insbesondere Webserver, zu senden. Alles zu Hacker auf CIO.de

Eine Vielzahl von Anfragen überlastet die Kapazität des Zielnetzwerks oder -servers und führt zu einem Denial-of-Service für den normalen/legitimen Datenverkehr. Zu den vorbeugenden Maßnahmen gehören u.a. die Erhöhung der Bandbreite, Aufbau einer redundanten Infrastruktur, Konfiguration der Netzwerkinfrastruktur zur Identifizierung und Verhinderung von DDoS-Verkehr, Sicherung der DNS-Server und der Einsatz von DDoS-Schutzsystemen.

DDoS – Eine Definition

Ein Distributed-Denial-of-Service-Angriff (DDoS-Angriff) ist die Überflutung einer Online-Website oder eines Online-Dienstes mit großen Mengen an unerwünschtem Datenverkehr, um die Verarbeitung des regulären Datenverkehrs zu verhindern. Ein Hacker übernimmt die Kontrolle über mehrere Systeme und nutzt sie, um die Ressourcen oder die Bandbreite von Zielsystemen zu überfluten und den Benutzerzugriff einzuschränken. Ein DDoS-Angriff kann dazu führen, dass das betroffene System verlangsamt wird oder ganz ausfällt.

Die Konzepte von DDoS: Arten von Angriffen und Auswirkungen

Ein Angreifer muss mehrere Systeme kompromittieren, um einen DDoS-Angriff auszuführen. Daher muss er zunächst mehrere Rechner und IoT-Systeme manipulieren und sie mit MalwareMalware infizieren, die eine Fernsteuerung ermöglicht. Indem er die kompromittierten Systeme als mehrere Quellen verwendet, kann der Angreifer jedem Einzelnen befehlen, Anfragen an eine bestimmte Ressource zu richten, um diese zu überfluten. Amplifikationstaktiken ermöglichen es dem Angreifer, massiven Datenverkehr von einem Botnet zu erzeugen. Beim DNS-Verstärkungsangriff (DNS Amplification Attack) verwendet ein Hacker beispielsweise eine gefälschte IP-Adresse, um Anfragen zu senden, so dass der DNS-Server mit ungewöhnlich großen Datenmengen antwortet. Alles zu Malware auf CIO.de

Die populärsten Angriffsarten sind:

  • SYN-flood

  • UDP-flood

  • NTP-amplification und

  • Multi-vector amplification (gebündelte Szenarien)

Verschiedene Protokolle

Zu den Protokollen, die DoS-Angriffe umgeben, gehören UDP, HTTP, ICMP und NTP. Eine UDP-Flut ist ein DDoS-Angriff, bei dem ein gezieltes System mit dem User Datagram Protocol (UDP) überflutet wird, wobei das Hauptziel darin besteht, die zufälligen Ports in einem entfernten Host zu überfluten. In ähnlicher Weise überflutet eine ICMP-Flut (Internet Control Messages Protocol) die anvisierten Ressourcen/Systeme schnell mit ICMP-Echo-Request-Paketen, ohne auf die Antwort der Ressource zu warten.

Das Ziel besteht darin, ausgehende und eingehende Bandbreite zu verbrauchen. Ein NTP-Verstärkungsangriff (Network Time Protocol) ermöglicht es einem Täter, öffentliche NTP-Server auszunutzen, um die Zielressourcen mit UDP-Verkehr zu überlasten. Der HTTP-Flood-DDoS-Angriff schließlich macht es Hackern möglich, legitime HTTP-POST- oder GET-Anforderungen auszunutzen, um Webanwendungen oder Server anzugreifen.

DDoS-Angriffstools und ihre Wirkung

LOIC (Low Orbit ION Cannon) ist ein Open-Source DoS-Tool, das DDoS-, HTTP-, UDP- und TCP-Angriffe ausführen kann. Um das Tool zu verwenden, sollte der Benutzer nur die Ziel-URL/Adresse kennen. Ein HOIC (High Orbit ION Cannon)-Tool ist ebenfalls Open Source und kann eine riesige Menge an HTTP-POST- und GET-Anfragen erzeugen, um einen gezielten Anwendungsserver zu überlasten. Es kann bis zu 256 Ziele gleichzeitig angreifen.

Es kann ohne Vorkenntnisse bedient werden. R-U-Dead-Yet (R.U.D.Y.) hingegen führt Angriffe mit langsamer Geschwindigkeit auf Websites mit Formularfeldern aus. Auch mit geringen Kenntnissen lässt es sich bedienen. Slowloris führt auch langsame DDoS-Skripte aus, indem es unvollständige HTTP-GET-Anfragen sendet. Um es zu bedienen sind ebenfalls keine fortgeschrittenen Kenntnisse notwendig. Andere Werkzeuge sind HULK (HTTP Unbearable Load King), XOIC, DDoSIM und PyLoris.

Verwendung von Wireshark zur Analyse eines DoS-Angriffs

Wireshark ist ein Open-Source-Netzwerkanalyse-Tool, mit dem Traffic in Echtzeit erfasst und grafisch aufbereitet dargestellt wird. Das Tool fungiert als Protokoll-Analysator und ermöglicht es, Messungen des Traffics pro Sekunde durchzuführen und verdächtigen Traffic aufzudecken, der auf einen DDoS-Angriff hindeutet. Außerdem zeigt Wireshark detaillierte Informationen über die erfasste Paketstruktur wie Ursprung, Paketgröße und Dauer an.

Botnetze und wie sie erstellt werden

Ein Botnetz besteht aus einem Netzwerk von Rechnern, wie z.B. IoT- und privaten Computern, die mit dem Wissen ihrer Besitzer durch eine Malware-Infektion kontrolliert werden. Ein Cyberkrimineller kann die Rechner mit verschiedenen Mitteln mit Malware infizieren, damit sie den aus der Ferne gesendeten Anweisungen und Befehlen folgen können, u.a. Drive-by-Downloads, Ausnutzung von Schwachstellen in Webbrowsern oder Betriebssystemen und das Versenden von Trojanern mit Phishing-E-Mails.

Ein Botmaster ist der Urheber und Controller eines Botnetzes. Es arbeitet über zwischengeschaltete Command-and-Control-Server (C&C-Server) sowie verschiedene versteckte Kanäle zur Kommunikation mit den C&C-Servern. Zu den Protokollen, die der Botmaster in diesem Prozess verwendet, gehören HTTP-Websites und IRC. Abgesehen von der Kommunikation zwischen Botmaster und anderen Botnetzen arbeiten C&C-Server mit anderen Botnet-Servern zusammen, um ein P2P-Netzwerk durch einen oder mehrere Botmaster zu kontrollieren. In diesem Fall kann jeder Botnet-DDoS-Angriff mehr als einen Ursprung haben oder unter der Kontrolle vieler Botmaster stehen.

Botnetze stützen sich zunehmend auf Netzwerke zur Anonymisierung von Verbindungsdaten, wie zum Beispiel Tor oder I2P, um die Entdeckung und Zerstörung der Infrastruktur verhindern. Cyberkriminelle reagieren schnell auf die Gegenmaßnahmen und Maßnahmen gegen ihre Infrastrukturen, indem sie ihre Software verbessern und neue, kompliziertere Botnets bauen.

Steuerung und Kontrolle von Botnetzen, Botnetz-Verkehr

Sobald ein Angreifer erfolgreich ein Botnet erstellt hat, können erschiedene Befehls- und Kontrollkanäle und Protokolle verwendet werden, um das Botnetz anzuweisen, den Verkehr zu einem System zu leiten. Telnet-Botnets verwenden beispielsweise einfache C&C-Botnet-Protokolle, bei denen sich die Bots mit einem Befehlsserver verbinden, der das Botnet hostet. Durch Ausführen eines bösartigen SSH-Codes wird der Befehlsserver infiziert und dafür verwendet, hochvolumige Datenpakete an einen Zielserver oder eine Ressource zu senden.

Botnets, die auf dem IRC-Protokoll basieren, verwenden ein Client-Server-Modell, das in den meisten verteilten Netzwerken verwendet wird. Es ermöglicht eine anonyme Steuerung und Kontrolle in Echtzeit, hat eine geringe Latenzzeit und erfordert einfache Befehle und Einstellungen. Angreifer verwenden auch HTTP als C&C, da es hierdurch schwierig ist, die Botnets zu erkennen. Es versteckt den Botnetz Traffic im normalen Web Traffic. Ein P2P-Protokoll dient ebenfalls als C&C, da es eine höhere Widerstandsfähigkeit gegen Netzwerkfehler aufweist.

Schadsoftware im Internet of Things

Immer mehr Alltagsgegenstände sind mit dem Internet verbunden - Drucker, Set-Top-Boxen, Futterautomaten für Haustiere mti eingebauter Webcam, Kühlschränke, usw. Laut des Home SecuritySecurity Reports von Avast befinden sich in über 43 Prozent aller Haushalten mindestens fünf Geräte, die mit dem Internet verbunden sind. Doch leider stagniert die Sicherheit von IoT-Geräten auf niedrigem Niveau und Angreifer finden immer neue Strategien, um diese für Attacken einzusetzen. Alles zu Security auf CIO.de

Die Mehrzahl der IoT-Geräte besitzt keine Sicherheitsmechanismen wie Virenschutz oder Firewall. Die Zugriffskontrolle – wenn überhaupt – erfolgt meist nur mit werkseitig voreingestellten Benutzernamen und Passwörtern. Dieses niedrige Sicherheitsniveau macht es Cyber-Akteuren leicht, die Geräte zu kapern und sie in Botnetzen für DDos-Attacken zu missbrauchen. Per Brute-Force-Methode werden die Zielgeräte automatisiert und infiltrieren. Privatanwender haben selten das Spezialwissen, um zu erkennen, ob ihre Video-Türklingel, die Waschmaschine oder ihr Saugroboter manipuliert wurden. So sind in den vergangenen Jahren gigantische Botnetze aus IoT-Geräten von mehreren zehntausend Geräten entstanden.

Das Mirai-Botnet war das erste seiner Art, das IoT-Firmware mit einer Schadsoftware infiltrierte, um DDoS-Angriffe zu starten.

Analyse von DDoS-Angriffen mithilfe von Wireshark- und Log-Dateien

Nachdem verifizierte wurde, dass ein DDoS-Angriff im Gange ist, kann das Sicherheitspersonal zur Überprüfung Rohprotokolle aus dem Dienst ziehen. Log-Analysatoren ermöglichen es, visuelle Details aus dem Webverkehr zu untersuchen und zu generieren. Dieser Prozess deckt Spitzen auf, die den Verkehr zu den verkehrsreichsten Zeiten übersteigen. Nachdem der Ursprung der Spitze identifiziert wurde, kann Wireshark weitere Details wie den Standort einer IP-Adresse lokalisieren.

Wireshark-Filter helfen bösartigen Traffic aufzudecken

Wireshark kann dabei behilflich sein, das Verhältnis von INVITE/OK- zu ACK-Paketen zu analysieren und bei Verdacht weitere Sicherheitsmaßnahmen einzuleiten. Zum Beispiel könnten Netzwerk-Administratoren bestimmte IP-Adressen oder Domänen blockieren, die eine unnatürliche Anzahl von Paketen versenden. Wireshark stellt außerdem sicher, dass vorhandene Sicherheitsanwendungen den bösartigen Netzwerkverkehr effizient herausfiltern.

So können Sie sich vor DDoS-Angriffen schützen

Neben typischen Lösungen wie IDS/IPS, Next-Generation Firewalls und Endpunkt-Security gibt Lösungen mit eingebauter Skalierbarkeit, die Unternehmen helfen, die größten DDoS-Angriffe, aber auch Angriffe auf Webanwendungen und Angriffe mit direktem Ursprung abzuwehren. Solche Lösungen tragen dazu bei, die Leistung und Verfügbarkeit der Website auch dann aufrechtzuerhalten, wenn sie mit schnell wechselnden Bedrohungen konfrontiert werden. Mit einer solch leistungsstarken Lösung können Unternehmen problemlos skalieren, um die größten DDoS-Angriffe abzuwehren und zu absorbieren, wodurch Ausfallzeiten, Geschäftsrisiken und Kosten reduziert werden.

Eine Schlüsselmaßnahme zur Eindämmung von DDoS- und DoS-Angriffen ist das Black Hole Routing. Bei dieser Methode erstellen Netzwerkadministratoren eine Blackhole-Route und nutzen diese, um den DDoS-Verkehr zu trichterförmig zu leiten und zu routen. Durch die Implementierung der Technik ohne Angabe der Filter- oder Einschränkungskriterien werden sowohl der bösartige als auch der legitime Datenverkehr weitergeleitet, wodurch ein DDoS-Angriff effektiv beendet wird.

Darüber hinaus ist die Ratenbeschränkung eine Technik, bei der ein Admin einen Server so konfigurieren kann, dass die innerhalb eines bestimmten Zeitfensters anzunehmenden Anfragen begrenzt werden. Es ist eine nützliche Abmilderungsmaßnahme, um die Auswirkungen der Flut von DDoS-Verkehr zu reduzieren, reicht jedoch nicht aus, um vor raffinierten Angriffen zu schützen.

Die Implementierung einer Web Application Firewall (WAF) kann auch einen Layer-7-DDoS-Angriff mildern. WAF greift auf einen Reverse-Proxy zu, um Anfragen anhand der definierten Regeln zu filtern und so den Zielserver vor einem gewissen böswilligen Datenverkehr zu schützen. Andere Ansätze, wie z.B. Anycast-Netzwerkdiffusion, streuen einen DoS-Angriffsverkehr auf ein Netzwerk von verteilten Servern, bis der Verkehr absorbiert wird.

Die Kosten eines DDoS-Angriffs

Experten schätzen die finanziellen Auswirkungen eines DDoS-Angriffs auf durchschnittlich etwas über 100.000€ für kleine und mittlere Unternehmen und ca. 2 Millionen € für Großunternehmen pro Angriff. Außerdem verursacht der Angriff nicht quantifizierbare Auswirkungen wie Reputationseinbußen, Betriebsunterbrechungen und Zeitaufwand für die Wiederherstellung von Diensten nach einem DDos-Angriff.

DDoS-for-hire booter/ stresser service

Am 22. Juli 1999 wurde ein Rechner an der University of Minnesota plötzlich von einem Netzwerk aus 114 anderen Computern angegriffen - die Geburt der DDos-Attacke vor über 20 Jahren. Heute ist die DDos-Attacke eine der populärsten Waffen im Arsenal der Cyberkriminellen. Kriminelle betreiben im Darknet Handel mit DDos-Attacken oder erpressen Websites und bedrohen sie mit Attacken, falls sie nicht zahlen sollten.

Das Mirai-IoT-Botnetz bildet die Grundlage eines laufenden DDoS-Mietdienstes, der es den Cyberkriminellen ermöglicht, DDoS-Angriffe gegen das/die Ziel/e ihrer Wahl gegen eine Vergütung (in der Regel in Form von Bitcoin-Zahlungen) hochwirksame Angriffe zu starten und diesen Service selbst technisch nicht versierten Nutzern zur Verfügung stellt.

DDoS als Instrument im wirtschaftlichen Konkurrenzkampf

Der Einsatz von DDoS-Attacken ist unterschiedlich motiviert: Dazu zählen Erpressung, Hacktivismus oder reine Cyber-Zerstörungswut. Aber auch Unternehmen können DDos als zielgerichtete Maßnahme einsetzen, um Konkurrenten zu schädigen.

Ein von einem Mitbewerber angeheuerter Hacker greift einen Anbieter von Online-Spielen mit einem gemieteten DDoS-Tool an, oft nacheinander, um das Unternehmen durch nicht verfügbare Betriebsabläufe wirtschaftlich zu schädigen oder es zu veranlassen, seine Abwehrmaßnahmen auszuweiten und es dadurch finanziell zu schwächen. Laut dem jüngsten Global-DDoS-Threat-Landscape-2019-Report der Imperva Research Labs ist dies derzeit eines von vielen verteilten Denial-of-Service-Szenarien.

Der Preis für einen fünfminütigen Angriff auf einen Online-Shop liegt bei etwa 5 Dollar. Ein sehr geringer Betrag für einen potentiell großen Schaden für den Shop-Betrieber, der durch die Attacke Kunden verliert, die einfach nicht in der Lage sind, zu bestellen. Man stelle sich nur vor, wie viele Kunden einem attackierter Internet-Shop verloren gehen, wenn der Angriff einen kompletten Tag andauert.

Die Tatsache, dass die Betreiber von Online-Plattformen oft bereit sind zu zahlen, lässt die Prognose aufkommen, dass der durchschnittliche Preis für die Durchführung von DDoS-Angriffen in naher Zukunft weiter sinken wird und DDoS-Angriffe sich häufen werden.

2019 war insbesondere die Online-(Glücks)Spielindustrie stark von DDoS-Angriffen betroffen; ebenso wie Online-Casinos. Diese Märkte stehen unter großem Wettbewerbsdruck und einem hohen Ausfallrisiko. Ein Plattformversagen wirkt sich besonders geschäftsschädigend aus. So genügt es, beispielsweise einen Online-Service eines Konkurrenten für einige Minuten lang mit Angriffen für User unerreichbar zu machen. In einem solchen Fall kann der Wiederherstellungsprozess mehrere Stunden dauern. Wenn die Angebote vorübergehend nicht verfügbar sind, führt dies zu einem hohen finanziellen Verlust für das angegriffene Unternehmen.

Ein Anzeichen dafür, dass DDoS als Maßnahme gegen lästige Mitbewerber verwendet wird, könnte ein hohes Aufkommen von mittleren, großen und sehr großen Angriffen im November sein. Eine solche Häufung könnte dadurch erklärt werden, dass Restbudgets für das Anmieten von DDoS-Kits ausgegeben wurden. Oder vielleicht erhoffen sich die Täter in dieser Zeit auch einen besonderen wirtschaftlichen Verlust für ihre Opfer: Denn der Ausfall eines Online-Dienstes oder Webshops im Jahresendgeschäft trifft den Betreiber besonders hart.

Zur Startseite