DDoS – Erklärung, Erkennung, Schutz für Überlast

 

Wieder’n Fehlercode 502, 500…?

Ist Dein Server von einem „Denail-of-Service“ betroffen?

Haben Fremde Deinen Server manipuliert?

Warum das so ist, und wie Hacker (D)DoS Angriffe planen, möchte ich heute in diesem Tutorial zeigen.

Aufgabe: Systeme (d)dos(en)

Um was geht’s? – DoS

(Distributed) Denail of Service beschreibt den Zustand eines (Web)services, der nutzbar sein sollte, aber nicht erreichbar ist:

Eine Webseite ist nicht mehr verfügbar, wenn ein interner Fehler aufgetreten oder der Server den Datenansturm nicht mehr verarbeiten kann.

Eine Firma verliert bei Nichterreichbarkeit von kritischen Systemen (sehr viel) Geld. Je nach Länge des Ausfalls können DoS Attacken einen großen finanziellen Schaden verursachen. Wäre Amazon für nur 1 Stunde nicht erreichbar, dann verpasst das Unternehmen (und dessen Verkäufer) einen Umsatz ca. 20,30 Millionen € (Zahlen aus 2017). Außerdem leidet das Image unter der DoS Attacke.

Knappe Einordnung

Während der DEF CON im Jahr 1997 demonstrierte Khan C. Smith zum ersten Mal live, wie eine DoS Attacke abläuft. Er legt dazu die Webseite der Las Vegas Strip komplett lahm. Unter der bisher größten DoS Attacke litt die Firma Arbor Networks. Pro Sekunde hagelten 1,7 TB an Daten auf die Server ein, was einen DoS verursachte.

Grundlagen: Arten, Ausprägungen, Erkennung

DoS einfach erklärt

Bevor wir in die Tiefe gehen mit dem DoS möchte ich Dir eine kurzen Überblick über die verschiedenen Arten von DoS Angriffen verschaffen.

  • Verteilte-DoS: Sind Angriffe, die die Rechenpower mehrere Server / Computer generieren. Die Server sind räumlich verteilt und haben unterschiedliche IPs. Der Opfer-Server denkt, dass „normale“ Nutzer auf den Server zugreifen wollen.
  • Anwendungsschicht-DoS: Das ISO-OSI-Modell besteht aus 7 Schichten. Dabei missbrauchen Hacker Features der Internet-Protokolle aus. Dabei soll ein DoS-Angriff die Transaktionen auf dem Opfer-Server stören oder die Datenbank von Services nicht mehr erreichbar machen.
  • Fortgeschrittenes und dauerhaftes DDoS: Die Angreifen versuchen das Opfer mit HTTP Anfragen, XSS-Anfragen und SQLite zu überfluten. Dabei nutzen die Kriminellen mehrere Angriffswege (Vektors) gleichzeitig. Die Dauer kann bis zu mehrere Wochen betragen. Die Attacken basieren auf Hacking-Netzwerk-Tools, welche alle Protokolle in den Schichten von 3 bis 7 manipulieren können.
  • DDoS as Service: Magst Du Firma XY nicht? – dann miete Dir eine DDoS Attacke!
    Die Phrase „As Service“ nutzen IT-Spezialisten normalerweise im Zusammenhang mit Software-Lizenzen. Heutezutage kaufen Firmen keine Virenschutzsysteme pro Clients mehr, sondern bezahlen pro 1000te Stunden von virenfreien Hosts. Dieses Modell ist deutlich flexibler und kann mit den Anforderungen wachsen. DDoS Attacken mieten Firmen für sich selbst, um zu überprüfen können, wie gut ihre Systeme sind: 50 GB/s  Dauerhagel für 100s gibt es schon unter 50 €.
  • Bei einer Permanenten DoS versuchen Hacker durch eine bestehende Sicherheitslücke in das System einzudringen. Die Hacker wollen den Opfer-Server fernsteuern, die Hardware zerstören oder die Software des Opfers lahmlegen.

Praxis – Bist Du betroffen?

Wie erkenne ich, ob mein(e) Server von (D)Dos betroffen sind (ist)? Ein andauernde DoS kann folgende Merkmale aufweisen:

  • Die Webseiten sind nicht mehr erreichbar
  • Alle Webseiten laden langsamer als normal
  • Mehr Spam Mails laden in den Postfächern als an durchschnittlichen Tagen
  • Kein Zugriff mehr auf andere Services (APIs)

 

Hack IT: DDoS kann man buchen!

ATTACKE! – Überlast Server

Für DDoS Angriffe stellt das Internet freizugängliche Tools zu Verfügung. MyDoom and Stacheldraht als fertige Software haben das Potenzial, finanziellen Schaden zu verursachen.

Wie geht die Software vor, um den Opfer-Server zu überlasten?

  • HTTP-POST Flooding:
    Das TCP-Feld für die Content-Length missbraucht der Hacker zum Senden von sehr lange Nachrichten. Bis der Server alle Bits empfangen hat, können Stunden vergehen. Der Angreifer sendet nur mit 1 Byte pro 110s, sodass die Verbindung lange aufrecht bleibt.
  • ICMP Flooding:
    Die Hacker-Server/Bots senden ICMP (Internet Control Massage Protokoll) an das Opfer. Der Opfer-Server antwortet standardmäßig auf jedes Paket.
    ICMP Pakete enthalten Server-Informationen, -Status und –Fehler. Das gleiche Schema verwenden Hacker beim Anpingen von Server, die ein DoS erliegen sollen.
  • SYN Flooding:
    Ein Server versucht ständig mit SYN eine Verbindung aufzubauen. Statt zu antworten, dass die Verbindung erfolgreich war, sendet der Hacker-Server ununterbrochen neue SYN-Paketen   So entstehen viele halboffene Verbindungen.

Sicherung: Kann ich mich schützen?

Um sich vor DDoS zu schützen, muss der Server erst einmal erkennen, dass es sich um ein DDoS handelt. Wenn Ed Shreen 10.000 Karten für ein Konzert über eine Webseite verkäuft, ist das Konzert in wenigen Minuten ausgebucht.

11 Kostenlose Exklusive App Dev Tipps

Deine Mail für Zugang zu praxisnahe App Entwicklung Tipps zu erhalten

Solche Ereignisse können aussehen wie eine DDoS Attacke,  gehören aber zum guten Traffic.

Diese Strategien helfen

Gehen wir davon aus, dass der Server einen aktiven DDoS erkannt hat, dann können wie folgenden Strategien verfolgen:

  • Alle DNS-Anfragen / POST-Anfragen von den bösen IPs leitet eine Proxy weiter zu einen nicht existierenden Server. (Blackhole)
  • Intrusion Prevention Systeme (IPS) analysieren die typische Spuren von einer DDoS Attacke. Dazu braucht der Server viel Rechenleistung, um die Signaturen von DDoS zu erkennen.
  • Firewall: Eine Firewall hält allen Traffic ab, der der von bestimmten IP-Adressen kommen kann.
  • Durchsatz Limit: Viele Rooter können die Durchsatz-Bandbreite an Traffic einschränken. Diese Strateige verhindert DDoS auf Servern effektiv, verlangsamt aber auch die Zugriffe für normale Nutzer.
  • Deep Inspection: Einige Rooter entpacken Internetpaket und untersuchen diese auf Plausibilität, bevor sie diese an den Server weiterleiten. Damit können einige falsche / bösartige Pakete erkannt werden.

 

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Sichere Dir den kompletten
Fundamental Ionic Course

Die kostenlosen Tutorials sind ein Ausschnitt
aus dem Fudamental Ionic Course by Steffen Lippke.

Schon 4832 erfolgreiche Absolventen

  • Code Downloads + umfangreiche Lösungen + Dateien für Grundlagen zum Coden
  • Visuelle Beschreibungen mit HD+ Screenshots und Hilfen
  • Steffen's Clean Code - Erweiterung - Verbesserungs - Tipps
 

100 h Kurslänge | 100 % Geld-Zurück-Garantie | Live-Support

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.