DDoS Definition + Effektivster Schutz gegen Angriffe (2024)

Botnet DDoS Hacking Guide Tutorial Steffen Lippke

DDoS? Was soll das sein?

Dieses Tutorial zeigt Dir, wie Hacker mit „DDoS“ Computer lahmlegen und wie Du Dich vor einem Angriff effektiv schützen kannst!

Starten wir!

Was ist DDoS?

DDoS bedeutet Distributed Denail of Service und ist ein Typ von einem Denail of Service. Ein Denial of Service bedeutet, dass ein Computer mit seinem Service z. B. einer News-Seite oder einem Game ungewollt nicht verfügbar ist.

Diesen Zustand kann ein Krimineller über eine Ressourcenüberlastung am Server z. B. zu viele Anfragen herbeiführen. Distributed – verteilt meint, dass der Kriminelle mit vielen verschiedenen Geräten zugleich die Überlast erzeugt.

Beispiel eines Angriffs

Gehackte Computer, Server, IoT-Geräte, Drucker, Laptops oder intelligente Smart-Kühlschränke senden jeweils 1000 Anfragen an den Server in unter 1 Minute an den Opfer-Server. Dieser Vorgang produziert eine Lastspitze, die der Server nicht beantworten kann.

Ein „legitimierter“ Kunde versucht den Service zu erreichen und landet nach 25 Sekunden in einem Timeout, weil der Server nicht reagieren kann.

Eine Webseite ist nicht mehr verfügbar, wenn ein interner Fehler aufgetreten (5XX) oder der Server überhaupt eine Antwort zurücksenden kann (Timeout).

Steffen Lippke

Wo ist der Schaden?

Auch wenn der Kriminelle keinen bleibenden Schaden verursachen, entsteht ein Schaden durch die Dauer der Nicht-Verfügbarkeit.

Je nach Länge des Ausfalls können DoS Attacken einen finanziellen Schaden verursachen. Wäre Amazon für nur 1 Stunde nicht erreichbar, dann verpasst das Unternehmen (und dessen Verkäufer) einen Umsatz von ca. 20,30 Millionen Euro (Zahlen aus 2017).

Das Image des Unternehmens profitiert nicht „von dem Zwischenfall“. Der nicht bezifferbare Schaden kann viel höher sein, weil die Reputation wiederaufgebaut werden muss.

DDoS Historie und bittere Zukunft

Während der DEF CON im Jahr 1997 demonstrierte Khan C. Smith zum ersten Mal live, wie eine DoS-Attacke abläuft. Er legt dazu die Webseite des Las Vegas Strip komplett lahm.

Unter der bisher größten DoS-Attacke litt Azure im Januar 2024: 3,47 Terabit in 340 Millionen Pakete an unnützen Daten prasselten auf die Server ein.

Anzeichen – Bin ich betroffen?

Wie erkenne ich, ob mein Server von DDoS betroffen ist? Ein andauernder DDoS kann folgende Merkmale aufweisen:

  • Die Webseiten sind nicht mehr erreichbar
  • Kunden beschweren sich am Telefon
  • Der Server steht unter Vollast
  • Alle Webseiten laden langsamer als normal
  • Mehr Spam-Mails laden in den Postfächern als an durchschnittlichen Tagen
  • Kein Zugriff mehr auf andere Services (APIs)

Denail of Service Typen

Bevor ich in die Tiefe mit dem Denail of Service gehe, gebe ich Dir einen Überblick über die verschiedenen Arten von DoS Angriffen:Die Leistung von mehrere Server, IoT-Geräten und Computer generieren eine

Distributed

Die Server sind räumlich verteilt und haben unterschiedliche IPs. Der Opfer-Server denkt, dass normale Nutzer auf den Server zugreifen wollen. Weil diese Verhalten „natürlich“ sein kann, blockt der Server die Anfragen nicht (z. B. beim Grafikkartenverkauf in 2020 / 2024).

Anwendungsschicht

Das ISO-OSI-Modell besteht aus 7 Schichten. Kriminelle missbrauchen einige Features der Internet-Protokolle. Ein DoS-Angriff soll die Transaktionen /Operationen auf dem Opfer-Server stören oder die Datenbank von Services nicht mehr erreichbar machen.

Fortgeschrittenes

Die Angreifer versuchen das Opfer mit HTTP Anfragen zu überfluten. Dabei nutzen die Kriminellen mehrere Angriffswege (Vektors) gleichzeitig. Die Dauer kann bis zu mehrere Wochen betragen. Die Attacken basieren auf Hacking-Netzwerk-Tools, welche alle Protokolle in den Schichten von 3 bis 7 manipulieren können.

Permanentes

Bei einer Permanenten DoS versuchen Hacker durch eine bestehende Sicherheitslücke in das System einzudringen. Die Hacker wollen den Opfer-Server fernsteuern, die Hardware zerstören oder die Software des Opfers lahmlegen.

DDoS as a Service

Magst Du das Unternehmen XY nicht? Dann kaufe Dir eine DDoS Attacke!
Die Phrase as a Service ist der überbeanspruchter Marketing-Slang in der IT, der Dir einen unflexiblen Mietvertrag aufbrummt. DDoS Attacken mieten Unternehmen, um einen Lasttest mit „negativen“ Inhalten durchzuführen. Buche jetzt einen „50 GB pro Sekunde Dauerhagel für 2 Minuten“ für nur 50 €!

ATTACKE – Überlast am Server erzeugen

Im Darkweb kannst Du Dir Tools herunterladen, um einen DDoS zu simulieren. Diese Tools kannst Du legitimiert nutzen, wenn Du Deine eigene Infrastruktur unter einen Lasttest stellen willst. MyDoom and Stacheldraht als fertige Software haben das Potenzial eine DoS zu erzeugen.

  • HTTP-POST Flooding:
    Das TCP-Feld für die Content-Length missbraucht der Hacker zum Senden von sehr langen Nachrichten. Bis der Server alle Bits empfangen hat, können Stunden vergehen. Der Angreifer sendet nur mit 1 Byte pro 110s, sodass die Verbindung lange aufrecht bleibt. Der Server muss RAM für die Verbindung bereithalten, weil er diese nicht verlieren möchte.
  • ICMP Flooding:
    Die Bots senden ICMP (Internet Control Massage Protokoll) an das Opfer. Der Opfer-Server antwortet standardmäßig auf jedes Paket. ICMP Pakete enthalten Server-Informationen, -Status und –Fehler. Das gleiche Schema nutzen Kriminelle beim Anpingen von Servern, die ein DoS erliegen sollen.
  • SYN Flooding:
    Ein Server versucht ständig mit dem SYN Flag eine Verbindung aufzubauen. Statt zu antworten, dass die Verbindung erfolgreich war, sendet der Hacker-Server ununterbrochen neue SYN-Paketen. So entstehen viele halboffene Verbindungen.

Schutz gegen DDoS

Um sich vor DDoS zu schützen, muss der Server erst erkennen, dass es sich um ein DDoS handelt.

Natürliches DDoS vs Absichtliches DDoS

Wenn ein Pop-Star 10.000 Karten für ein Konzert über eine Webseite verkäuft, ist das Konzert in wenigen Minuten ausgebucht. Die 20.000 Fans drücken auf der Verkaufswebpage 10x F5 in der Minute, sodass der Server 200.000 Anfragen in wenigen Minuten verarbeiten muss!

Steffen Lippke

Solche Ereignisse können aussehen wie eine DDoS Attacke, gehören aber zum guten Traffic.

Diese Strategien helfen

Gehen wir davon aus, dass der Server einen aktiven DDoS erkannt hat, dann können die folgenden Strategien helfen:

  • Ein Proxy leitet alle Anfragen von der bösen IPs weiter zu einem nicht existierenden Server weiter (Blackhole).
  • Ein Intrusion Prevention Systeme (IPS) analysieren die typischen Spuren von einer DDoS Attacke. Der Server braucht viel Rechenleistung, um die Signaturen von DDoS zu erkennen.
  • Firewall: Eine Firewall hält allen Traffic ab, der der von bestimmten IP-Adressen kommen kann.
  • Durchsatz Limit: Viele Router können die Durchsatz-Bandbreite an Traffic einschränken. Diese Strategie verhindert DDoS auf Servern effektiv, verlangsamt aber auch die Zugriffe für normale Nutzer.
  • Deep Inspection: Einige Router entpacken die Internetpakete und untersuchen diese auf ihre Plausibilität, bevor sie diese an den Server weiterleiten. Der Router erkennt einige bösartige Pakete, aber verwirft auch mache legitimierte Anfragen.

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY -Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY Icons made by Freepik from www.flaticon.com is licensed by CC 3.0 BY Icons made by Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Kommentare 3

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).

Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Webseite nutzt nur technisch notwendige Cookies.