slider

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren - Prof. Dr. Norbert Pohlmann

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren

Distributed Denial of Service (DDoS) - Anti-DDoS-Verfahren – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann


Distributed Denial of Service (DDoS) Angriffe sind in der Regel von Internet-Aktivisten und/oder kompromittierten IT-Systemen, die von Angreifern dazu genutzt werden, ausgesuchte Ziel-IT-Systeme koordiniert mit einer großen Last spezieller Anfragen durch Erschöpfung der verfügbaren Ressourcen (CPU, RAM, Bandbreite, …) lahmzulegen. Es gibt Botnetze mit sehr vielen Bots (kompromittierten IT-Systemen mit Malware): 1000, 10.000, 100.000 oder sogar 1.000.000. Wenn ein Angreifer 100.000 Bots nutzen kann, jeder Bot 100 KBit/s upstream hätte (also nur ein Bruchteil der verfügbaren Bandbreite), dann könnte der Angreifer mit 10 G Bit einen DDoS Angriff durchführen. Bei 500.000 Bots und 200 KBit/s Bandbreite hätte der Angreifer 100 GBit/s zur Verfügung. Anti-DDoS-Verfahren haben das Ziel DDoS-Angriffe zu erkennen und zu verhindern. Dazu gibt es unterschiedliche Cyber-Sicherheitsmechanismen.

Gezielte Überlastung
Durch eine Kombination unterschiedlicher DDoS-Angriffsmethoden kann ein Angreifer unterschiedliche Teile eines Internet-Dienstes speziell überlasten sowie flexibel auf unzureichende Abwehrmaßnahmen und deren Schwachstellen reagieren.


Folgende Teile der Dienst-Architektur können Ziel von DDoS Angriffsmethoden werden:

Kommunikationsanbindung: durch Überlastung der verfügbaren Bandbreite
Der Angreifer produziert so viele unsinnige Datenpakete, dass die Bandbreite nicht mehr ausreicht, um die gewünschten Datenpakete zum Server zu transportieren. Bei hoher Last wird die Quality of Service schlecht und bei extremer Last muss der Router die meisten Datenpakete verwerfen, weil die Warteschlangen voll sind. Dadurch sind die eigentliche Anwendung oder der Dienst nicht mehr nutzbar.

Netzwerk-Stack: durch Überlastung des verfügbaren RAMs
Hier kann ein Crash oder ein Überlastungszustand durch Angreifer aufgrund von Fehlern in der Implementierung oder Eigenarten verschiedener Protokollfamilien, insbesondere auch bei eingesetzten Verschlüsselungsverfahren, hervorgerufen werden. *Ebenfalls kann eine Auslastung des RAM durch sehr viele unvollständige Verbindungsanfragen eines Angreifers hervorgerufen werden, was die Verfügbarkeit eines Dienstes schnell stark einschränkt.

Applikation: durch Überlastung der verfügbaren CPU-Ressourcen
Anwendungsspezifisch erzeugte Anfragen durch Angreifer, die auf Fehler oder wenig performant implementierte Teile einer Anwendung zielen. Dazu gehören auch harmlos anmutende Funktionen wie Hashing und datenbankintensive Suchanfragen, die zum Beispiel die CPU-Ressourcen für reale, gewünschte Anfragen nicht mehr verfügbar machen. Diese Angriffe werden auch „Low and Slow“ genannt, wenn sich die für einen solchen Angriff benötigten Netzwerkpakete hinsichtlich Frequenz und Payload kaum oder gar nicht vom gewöhnlichen Datenverkehr unterscheiden lassen.



Weitere Informationen zum Begriff “Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren”:

Vorlesung: „Cyber-Sicherheitsmaßnahmen gegen DDoS-Angriffe“

Artikel:
„Distributed Denial of Service Attacks (DDoS) – Wie robust sind Dienste im Internet?“

„Von überall her – Internetdienste vor DDoS-Angriffen schützen“

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Distributed Denial of Service (DDoS) - Anti-DDoS-Verfahren – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann
Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten