slider

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren - Prof. Dr. Norbert Pohlmann

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten

Was ist Distributed Denial of Service (DDoS)?


Distributed Denial of Service (DDoS) Angriffe sind in der Regel von Internet-Aktivisten und/oder kompromittierten IT-Systemen, die von Angreifern dazu genutzt werden, ausgesuchte Ziel-IT-Systeme koordiniert mit einer großen Last spezieller Anfragen durch Erschöpfung der verfügbaren Ressourcen (CPU, RAM, Bandbreite, …) lahmzulegen.

Es gibt Botnetze mit sehr vielen Bots (kompromittierten IT-Systemen mit Malware): 1000, 10.000, 100.000 oder sogar 1.000.000. Wenn ein Angreifer 100.000 Bots nutzen kann, jeder Bot 100 KBit/s upstream hätte (also nur ein Bruchteil der verfügbaren Bandbreite), dann könnte der Angreifer mit 10 G Bit einen DDoS Angriff durchführen. Bei 500.000 Bots und 200 KBit/s Bandbreite hätte der Angreifer 100 GBit/s zur Verfügung. Anti-DDoS-Verfahren haben das Ziel DDoS-Angriffe zu erkennen und zu verhindern. Dazu gibt es unterschiedliche Cyber-Sicherheitsmechanismen.

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten
Abbildung: Gezielte Überlastung von Internet-Diensten – © Copyright-Vermerk


Gezielte Überlastung von Internet-Diensten

Durch eine Kombination unterschiedlicher DDoS-Angriffsmethoden kann ein Angreifer unterschiedliche Teile eines Internet-Dienstes speziell überlasten sowie flexibel auf unzureichende Abwehrmaßnahmen und deren Schwachstellen reagieren.

Folgende Teile der Dienst-Architektur können Ziel von DDoS Angriffsmethoden werden:

DDoS-Angriff zur Überlastung der verfügbaren Bandbreite

Der Angreifer produziert so viele unsinnige Datenpakete, dass die Bandbreite nicht mehr ausreicht, um die gewünschten Datenpakete zum Server zu transportieren. Bei hoher Last wird die Quality of Service schlecht und bei extremer Last muss der Router die meisten Datenpakete verwerfen, weil die Warteschlangen voll sind. Dadurch sind die eigentliche Anwendung oder der Dienst nicht mehr nutzbar.

DDoS-Angriff zur Überlastung des verfügbaren RAMs

Hier kann ein Crash oder ein Überlastungszustand durch Angreifer aufgrund von Fehlern in der Implementierung oder Eigenarten verschiedener Protokollfamilien, insbesondere auch bei eingesetzten Verschlüsselungsverfahren, hervorgerufen werden. Ebenfalls kann eine Auslastung des RAM durch sehr viele unvollständige Verbindungsanfragen eines Angreifers hervorgerufen werden, was die Verfügbarkeit eines Dienstes schnell stark einschränkt.

DDoS-Angriff zur Überlastung der verfügbaren CPU-Ressourcen

Anwendungsspezifisch erzeugte Anfragen durch Angreifer, die auf Fehler oder wenig performant implementierte Teile einer Anwendung zielen. Dazu gehören auch harmlos anmutende Funktionen wie Hashing und datenbankintensive Suchanfragen, die zum Beispiel die CPU-Ressourcen für reale, gewünschte Anfragen nicht mehr verfügbar machen. Diese Angriffe werden auch „Low and Slow“ genannt, wenn sich die für einen solchen Angriff benötigten Netzwerkpakete hinsichtlich Frequenz und Payload kaum oder gar nicht vom gewöhnlichen Datenverkehr unterscheiden lassen.


Anti-DDoS-Verfahren (Abwehrstrategien gegen Angriffe auf die Verfügbarkeit)

Auf einen DDoS-Angriff sollte jedes Unternehmen vorbereitet sein, dessen Geschäft von der Verfügbarkeit seiner Internet-Dienste abhängig ist. Aber auch alltäglicher Geschäftsbetrieb kann durch einen DDoS-Angriff stark beeinträchtigt werden, beispielsweise wenn ein VPN-Gateway beziehungsweise dessen Anbindung überlastet wird oder Mailserver nicht mehr erreichbar sind. Eine Abwehrstrategie eines Unternehmens gegen DDoS-Angriffe kann dabei aus drei grundlegenden Kategorien bestehen:

Cyber-Sicherheitsrichtlinien zum Schutz vor Verfügbarkeitsangriffen

  • DDoS-Abwehrstrategie (Risiko, Folgeschäden)
  • Regelmäßiges Überprüfen und Testen der DDoS-Abwehrstrategie

On-Site-Robustheitsmaßnahmen
On-Side-Mechanismen machen IT-Systeme robuster, können aber DDoS-Angriffe nicht gänzlich verhindern.

  • Aufrüsten der Ressourcen (Anbindungsbandbreite und leistungsstärkere Server (CPU, RAM, …)
  • Sofortmaßnahmen bei einem aktiven Angriff (Whitelisting, Log-in-Wall, Captchas, IP-Adressbereiche – Geolocation – blockieren)
  • Anti-DDoS Appliance

Off-Site-Robustheitsmaßnahmen / Nutzung von Dienstleistern
Bei Off-Side-Möglichkeiten wird im Prinzip die Internet-Anbindung anders strukturiert, sodass Redundanzen geschafft werden, mit denen sich eine Ausschöpfung der Ressourcen verhindern lässt.

  • Traffic-Scrubbing-Netze (Verkehrssäuberungs-Netze – spezielle autonome Systeme)
  • Content-Delivery-Network (CDN)
  • Mega-Cloud
  • Cloud-Filter – redundante Kapazitäten mit Filtertechnologie


Zusammenfassung: Distributed Denial of Service (DDoS)

Mit dem Internet-of-Everything kommt – mit Zombie-Armeen (mit Malware infizierte IT-Systeme) aus vielen schlecht gesicherten Embedded-Devices – ein zusätzlicher Schwung von erfolgreichen DDoS-Angriffen. Die Angriffe kommen schnell und meist unvorhergesehen. Verantwortliche in Firmen und Organisationen, deren Umsatz und Geschäftsbetrieb von Internet-Diensten abhängig ist, sollten sich um Robustheitsmaßnahmen mit passender Abwehrstrategie bei DDoS-Angriffen kümmern.

Mit Cyber-Sicherheitsrichtlinien zum Schutz vor Verfügbarkeitsangriffen, sicheren Konfiguration von Diensten sowie On-Site-Robustheitsmaßnahmen kann die Robustheit vergrößert werden.
Aber der eigentliche wirksame Schutz wird über die verschiedenen Off-Site-Dienstleistungsmodelle gewährleistet.


Weitere Informationen zum Begriff “Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren”

Vorlesung: „Cyber-Sicherheitsmaßnahmen gegen DDoS-Angriffe“

Artikel:
„Distributed Denial of Service Attacks (DDoS) – Wie robust sind Dienste im Internet?“

„Von überall her – Internetdienste vor DDoS-Angriffen schützen“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
Distributed Denial of Service (DDoS)
Article Name
Distributed Denial of Service (DDoS)
Description
Ein Distributed Denial of Service (DDoS) Angriff zielt darauf, verfügbare Ressourcen (CPU, RAM, Bandbreite …) eines IT-Systems zu erschöpfen, um dieses lahmzulegen. DDoS-Angriffe werden in der Regel von Internet-Aktivisten und/oder kompromittierten IT-Systemen umgesetzt.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten
Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten