Vielleicht hast du schon einmal erlebt, dass eine Webseite plötzlich nicht mehr verfügbar ist oder nur langsam funktioniert. Dahinter könnte ein DDoS-Angriff (Distributed Denial of Service) stecken. Dieser gehört zu den häufigsten Cyberbedrohungen im Internet. Da diese Attacken recht häufig vorkommen und du ebenso selbst in diesen Angriff eingebunden werden könntest, solltest du wissen, um was genau es sich dabei handelt und wie eine solche DDoS-Attacke eigentlich funktioniert.
Denn mit entsprechender Vorsicht und den richtigen Maßnahmen kannst du einen solchen Angriff verhindern. Im Folgenden erfährst du alles Wichtige.
Inhaltsverzeichnis
Was ist ein DDoS-Angriff? – Bedeutung
DDoS steht für Distributed Denial of Service, was im deutschen mit der etwas sperrigen Bezeichnung verteilter Dienstverweigerungsangriff übersetzt werden kann. Dabei senden Hacker unzählige Anfragen an einen Server, um ihn zu überlasten. Sie nutzen mehrere kompromittierte Geräte als Quelle für ihren Angriff.
Theoretisch kann der Angriff gegen jede Webseite oder jeden Online-Dienst gerichtet sein. In der Praxis zielen die Cyberkriminellen jedoch häufig auf bekannte Institutionen und Unternehmen ab, um sie finanziell zu erpressen oder ihren Ruf zu schädigen. Denn ist eine Webseite mehrere Stunden oder gar Tage nicht oder nur zum Teil erreichbar, können die Nutzer oder Kunden dauerhaft enttäuscht und abgeschreckt werden.
Stell dir einen solchen DDoS-Angriff als eine Reihe von Autos vor, die plötzlich alle gleichzeitig durch eine sehr enge Straße fahren wollen. Die Straße wird blockiert, und alle folgenden Fahrzeuge können nicht länger passieren. Bei einem Distributed Denial of Service wird hingegen der Datenfluss einer Webseite blockiert.
Neben DDoS-Attacken gibt es noch DoS-Angriffe (Denial of Service). Der Unterschied besteht darin, dass bei einem Denial-of-Service-Angriff ein Hacker ein einzelnes System (und nicht mehrere wie bei DDoS) angreift.
Im Bereich des Online-Gamings, wo es manchmal um Millionengewinne geht, kommt es gelegentlich zu einem solchen DoS-Angriff. Gamer attackieren Mitspieler, um den Wettbewerb zu verzerren und sich einen Vorteil zu verschaffen. Hier kann ein VPN für Spiele hilfreich sein.
Wie funktioniert ein DDoS-Angriff? – Erklärung
Der Angreifer benötigt Hilfe für seine Attacke – um Erlaubnis fragt er dafür aber nicht. Vielmehr errichtet er ein Botnetz (auch Zombie-Netzwerk genannt) aus Geräten, die mit dem Internet verbunden sind, den sogenannten Bots. Dazu kann dein Computer gehören, aber auch alle anderen Geräte (IoT-Geräte). Es könnte also durchaus sein, dass dein Smart-TV oder dein Staubsaugerroboter für solch ein Botnetz missbraucht wird.
Hat der Hacker sein Botnetz erstellt, kann er jedem einzelnen Bot Befehle für den Angriff geben. Dieser sendet dann Anfragen an die IP-Adresse des Angriffsziels – bei unzähligen Bots, die diese Anfragen parallel durchführen, kannst du dir sicher vorstellen, dass es schnell zu einer Überlastung des Servers kommt.
Ist die Attacke erfolgreich, fordert der Hacker meist ein Lösegeld in Form von Bitcoins (da diese anonymer zu überweisen und der Empfänger nicht nachvollziehbar ist); erst dann beendet er den DDoS-Angriff.
Nicht alle Hacker bauen sich übrigens ein komplett neues Botnetz von Grund auf neu auf, manche mieten oder kaufen es einfach bei Anbietern im Darknet – das wird auch als „Denial-of-Service-as-a-Service“ bezeichnet. Wie du vielleicht einen Handyvertrag online erwerben würdest, erwirbt der Kriminelle einfach Bots für seine Cyberattacke.
Welche Arten von DDoS-Angriffen gibt es?
Es gibt verschiedene Arten eines DDoS-Angriffs, und Hacker bedienen sich meist einer Mischung davon. Insgesamt lassen sich DDoS-Angriffe in drei Kategorien einteilen, die im weiteren Verlauf vorgestellt werden.
Um die folgenden Erläuterungen besser nachvollziehen zu können, musst du verstehen, wie eine Netzwerkverbindung aufgebaut ist. Ganz allgemein ausgedrückt, besteht diese aus verschiedenen Komponenten, auch Layers (Schichten) genannt.
Diese sieben Schichten gibt es:
7 – Application Layer
6 – Presentation Layer
5 – Session Layer
4 – Transport Layer
3 – Netzwerk Layer
2 – Data Link Layer
1 – Physical Layer
Protokoll-Attacke
Protokoll-Attacken zielen auf Schwachstellen in Internetprotokollen ab, die auf den Ebenen 3 (Netzwerk Layer) und 4 (Transport Layer) des OSI-Modells liegen. Ziel ist es, Server oder Firewalls zu überlasten. Dafür werden schädliche Verbindungsanfragen gesendet, die das Transmission Control Protocol (TCP) oder das Internet Control Message Protocol (ICMP) ausnutzen.
Angriffe auf die Anwendungsebene
Diese DDoS-Angriffe suchen Schwachstellen in Webanwendungen und wollen so verhindern, dass die Anwendung ordnungsgemäß funktioniert. Sie werden auch als Layer-7-DDoS-Angriffe bezeichnet, da die Attacken auf die Application Layer gerichtet sind. Die Attacken abzuwehren ist nicht einfach, da böswilliger und legitimer Traffic nur schwer zu unterscheiden sind.
Volumetrische Angriffe
Bei diesem DDoS-Angriff stehen die Layers 3 und 4 im Mittelpunkt. Die gesamte verfügbare Bandbreite zwischen dem Ziel und dem Internet soll durch eine Traffic-Flut aus verschiedenen Quellen aufgebraucht und auf diese Weise das Datennetz überlastet werden.
Volumetrische DDoS-Angriffe dienen oft als Ablenkung von anderen Cyberangriffen. Während du also einen DDoS-Angriff abwehrst, wendet der Hacker parallel eine andere Cyberattacke auf dich an.
Wie lässt sich ein DDoS-Angriff erkennen?
Wenn du Betreiber einer Webseite oder eines Online-Dienstes bist, kann ein Hinweis auf einen DDoS-Angriffe sein, dass deine Seite oder dein Service plötzlich nur noch langsam funktioniert oder gar nicht mehr erreichbar ist.
Doch diese Symptome allein reichen nicht für eine eindeutige Diagnose aus, weil diese im Alltag eines Nutzers häufig vorkommen. Manchmal kann einfach der Server überlastet sein, auf dem die Webseite läuft, wenn beispielsweise ein Produkt sehr gefragt ist und viele Besucher anlockt.
Wenn du aber den Verdacht hast, dass du Opfer eines DDoS-Angriffs geworden bist, kannst du versuchen, auf folgende Indizien zu achten:
- Zu ungewöhnlichen Zeiten kommt es zu Traffic-Spitzen, zum Beispiel mitten in der Nacht;
- Der Traffic springt sprunghaft an, die Nutzer kommen aber aus nahezu identischen Ländern/Regionen und benutzen dieselben Geräte und Browser.
Und wenn du dich nun als Privatperson fragst, wie du erkennst, dass du Teil eines Botnetzes geworden bist, ist das nicht so einfach zu beantworten:
Denn sicherlich hast du schon des öfteren erlebt, dass dein PC oder Laptop ohne erkennbaren Grund langsamer wird. Keine Panik, wahrscheinlich hat es sich dabei nicht um einen DDoS-Angriff gehandelt, sondern vielleicht um einen überlasteten Arbeitsspeicher oder einem Programm im Hintergrund, das sehr viel PC-Leistung fordert.
Außerdem wichtig zu wissen: Ein DDoS-Angriff dauert unterschiedlich lang: von mehreren Stunden bis hin zu Monaten. Es kann also vorkommen, dass du lange Zeit gar nicht bemerkst, dass du Teil eines Botnetzes bist.
Gefahren und Risiken von DDoS-Angriffen
Finanzielle Verluste
Es kann aus zwei Gründen zu finanziellen Verlusten kommen: Die Hacker haben dich erpresst, und du musstest eine Geldsumme bezahlen, damit die Attacke endet. Genauso führt die stundenlange Nichterreichbarkeit deiner Webseite dazu, dass dir Einnahmen verloren gehen oder sich im schlimmsten Fall Kunden von dir wegen eines Vertrauensverlustes abwenden.
Datenverlust
Die Cyberkriminellen könnten einen DDoS-Angriff oder einen DoS-Angriff nutzen, um von einer anderen Cyberattacke abzulenken. Während du also damit beschäftigt bist, die Attacke abzuwehren und die Folgen zu mindern, nutzen Hacker Schwachstellen der IT-Infrastruktur aus, um Daten zu stehlen.
Vertrauensverlust
Wenn deine Webseite Stunden oder gar Tage nicht erreichbar ist, können schwere Vertrauensverluste die Folge sein. Kunden könnten zur Konkurrenz wechseln, was wiederum finanzielle Verlust wegen fehlender Einnahmen zur Folge hat.
Interne Abläufe werden gestört
Kommt es zu einer DDoS-Attacke, müssen viele Mitarbeiter ihre Arbeit darauf konzentrieren, den Angriff abzuwehren, dadurch fehlen sie für andere wichtige Aufgaben. Je nach Schwere des Angriffs kann es einige Zeit dauern, bis ein Normalbetrieb wieder möglich ist.
Wie kann man DDoS-Angriffe abwehren?
Zunächst musst du wissen, ob es sich bei einem plötzlich ansteigenden Traffic tatsächlich um einen DDoS-Angriff handelt oder nur normalen Traffic. Ist gerade ein Produkt in deinem Online-Shop oder ein Beitrag in deinem Blog sehr beliebt und der Traffic entsprechend hoch, ist eine DDoS-Attacke sehr wahrscheinlich auszuschließen. In diesem Fall wäre es nicht sinnvoll, den gesamten Traffic zu unterbrechen. Wie gesehen, kann ein Indiz aber ein hoher Traffic zu ungewöhnlichen Zeiten sein (wie nachts).
DDoS-Traffic kann zudem in vielen Formen auftreten, und je komplexer der DDoS-Angriff, desto schwerer ist der Traffic vom normalen Traffic zu unterscheiden.
Blackhole-Routing
Beim sogenannten Blackhole-Routing wird der gesamte Traffic in ein “schwarzes Loch” (engl.: black hole”), angelehnt an schwarze Löcher im Weltall, umgeleitet. Doch Vorsicht: Wenn die Filterung nicht angepasst wird, landet sowohl legitimer als auch böswilliger Traffic im Blackhole und wird für immer aus dem Netzwerk entfernt.
Für Unternehmen kann das Blackhole-Routing dann sinnvoll sein, wenn andere Maßnahmen beim Schutz vor DDoS-Angriffen versagt haben oder keine andere Maßnahme zur Verfügung stehen. Denn wir bereits erwähnt, wird nicht zwischen “gutem und bösem” Traffic unterschieden, und der gesamte Datenverkehr zum Ziel ist gestört.
Rate Limiting (Durchsatzbegrenzung)
Um DDoS-Angriffe zu bekämpfen, kann das Rate Limiting (deutsch: Durchsatzbegrenzung) eine Option sein. Dabei wird der Netzwerk-Traffic bewusst begrenzt. Dann wird bestimmt, wie oft eine Aktion innerhalb eines bestimmten Zeitraums wiederholt werden kann. Dafür werden die IP-Adressen beobachtet, um zu prüfen, wieviel Zeit zwischen Anfragen vergeht.
Wie lassen sich DDoS-Angriffe verhindern?
Für eine effektive DDoS-Protection gibt es mehrere Maßnahmen, die ein Unternehmen ergreifen kann. Ziel ist eine Reduzierung der Angriffsfläche, auch Attack Surface Reduction (ASR) genannt. Das bedeutet, dass potenzielle Schwachstellen, die Hacker für ihre Angriffe missbrauchen könnten, möglichst minimiert werden.
Dazu gehören unter anderem eine Firewall, die effektiv Traffic von verdächtigen IP-Adressen herausfiltert; ein Lastenausgleich, der Traffic auf verschiedenen Servern verteilt; oder insgesamt eine bessere Widerstandsfähigkeit des Systems.
Anycast-Netzwerkrouting
Bei Anycast werden Anfragen zu verschiedenen Standorten – auch als “Knoten” bezeichnet – geroutet. Das bewirkt, dass ein Anycast-Netzwerk auch bei einem hohen Datenfluss oder eben bei DDoS-Attacken weiter funktioniert. Ein Server muss also nicht die ganze Last allein tragen. Bei einer Anfrage an die IP-Adresse des Netzwerks leitet das Netzwerk die Daten an den nächstgelegenen Knoten weiter, um die Latenz gering zu halten.
Echtzeit-Bedrohungsüberwachung
Der Netzwerkverkehr wird permanent kontrolliert, um frühzeitig Unstimmigkeiten zu erkennen, die auf DDoS-Angriffe hindeuten. Wird ein möglicher Angriff erkannt, erfolgt eine Warnmeldung, und eine schnelle Reaktion ist möglich. Dadurch trägt eine Echtzeit-Bedrohungsüberwachung dazu bei, DDoS-Attacken zu verhindern beziehungsweise bei einem Angriff die Ausfallzeiten zu so gering wie möglich zu halten.
Caching
Ein Cache kannst du dir wie einen Speicher vorstellen, der oft benutzte Dinge wie Bilder oder CSS-Dateien aufbewahrt. Wenn sich Daten im Cache befinden, zum Beispiel im Browser eines Nutzers oder auf einem CDN-Server, dann müssen keine Anfragen an den eigentlichen Ursprungsort gehen. Stattdessen werden die Daten direkt aus dem Cache geladen. Das ist besonders hilfreich, um den Ursprungsserver vor zu vielen Anfragen zu schützen, wie es bei DDoS-Angriffen passieren kann.
Einsatz präventiver Tools
Zwei Tools eigenen sich hervorragend im Kampf gegen DDoS-Angriffe. Eines davon ist die Firewall, genauer gesagt die Web Application Firewall. Sie schützt Webanwendungen, indem sie böswilligen HTTP-Traffic filtert, überwacht und blockiert. Die Sicherheitsregeln werden vorab vom Anwender definiert. Insbesondere DDoS-Angriffe auf Layer 7 (Application Layer) werden so bekämpft, aber auch SQL-Injection und Cross-Site-Scripting (XSS).
Ein VPN ist ebenfalls ein wichtiges Tool im Kampf gegen DDoS-Attacken und gegen Cyberkriminalität im Allgemeinen. Denn für einen DDoS-Attacke benötigen die Angreifer eine IP-Adresse, doch dein VPN verschleiert diese. Ohne die tatsächliche IP-Adresse kann der Hacker die Netzwerkverbindung nicht mehr lahmlegen.
Der Vorteil eines VPNs ist, dass es ein gutes Allround-Tool für deine Cybersicherheit im Allgemeinen ist, da dein gesamter Datenverkehr verschlüsselt über einen VPN-Server läuft. Du kannst ein VPN für Spiele, deinen Online-Alltag oder den Beruf nutzen. Anbieter wie Surfshark bieten außerdem noch weitere nützliche Funktionen wie Malwareschutz oder eine dedizierte IP-Adresse innerhalb ihrer Abos an.
FAQs
Hilft ein VPN wirklich gegen DDoS-Angriffe?
Ja, indem ein VPN deine tatsächliche IP-Adresse verschleiert und gegen jene des VPN-Servers ersetzt, kann ein Angreifer dich nicht als Ziel für seinen Attacke auswählen. Der Versuch, eine Netzwerkverbindung lahmzulegen oder eines deiner Geräte in ein Botnetz zu integrieren, bleibt so erfolglos.
Kann ein DDoS-Angriff zu Datenlecks führen?
Primäres Ziel eines DDoS-Angriffs ist es, ein Netzwerk lahmzulegen. Jedoch können Angreifer ihn als Ablenkung benutzen, um parallel eine andere Art von Cyberangriff zu starten, der darauf aus ist, Daten zu stehlen.
Kann ein Antivirenprogramm gegen DDoS-Angriffe helfen?
Antivirenprogramme können direkt keinen Distributed Denial of Service verhindern. Sie führen aber regelmäßig Scans auf deinen Geräten durch und können Malware erkennen, die deinen PC in ein Botnetz integrieren wollen. Diese Funktion bieten aber auch Premium-VPN-Anbieter wie Surfshark innerhalb ihres Abos an.
