Navigation
DDoS-Angriff: Wie Sie sich schützen können

Cybersicherheit DDoS-Angriff: Wie Sie sich schützen können

Ein DDoS-Angriff ist schnell durchgeführt und kann Ihr gesamtes Netzwerk lahmlegen. Was sich hinter dieser Form der Cyberangriffe verbirgt und wie Sie sich am sinnvollsten schützen können, erfahren Sie bei uns.

  • Janina Jünemann
  • 26. September 2023

Es ist von essentieller Bedeutung für Unternehmer:innen, dass ihre Website und andere digitale Plattformen stets erreichbar und funktionsbereit sind. Doch was geschieht, wenn ein DoS- oder DDoS-Angriff Ihre Online-Präsenz außer Gefecht setzt und Ihre Geschäftsabläufe stört? In diesem Blogpost erläutern wir, was unter DoS und DDoS-Attacken zu verstehen ist, wie Sie sich effektiv dagegen absichern können und welche Schritte Sie unternehmen sollten, wenn Sie einen derartigen Angriff bemerken.

Was ist ein DoS-Angriff?

Bei einem Denial-of-Service-Angriff (DoS-Angriff) ist das Hauptziel, einen Server oder eine Website durch Überbeanspruchung unbrauchbar zu machen. Dabei wird von den Täter:innen die Schwäche des Systems genutzt, um eine große Menge an Anfragen an den Server zu schicken.

Dadurch ist der Server nicht mehr in der Lage, die Anfragen zu verarbeiten, was dazu führt, dass die Website unzugänglich wird und nicht mehr benutzt werden kann. In der IT-Branche bezeichnet man einen Dienst, der nicht mehr verfügbar ist als Denial of Service (DoS). Dies kann auch passieren, wenn einzelne Teile der IT-Infrastruktur überlastet sind. Wenn dieser Zustand allerdings absichtlich durch externe Akteure verursacht wird, handelt es sich um einen DoS-Angriff.

Sie sollten regelmäßig Ihre Server überwachen um sich vor DDoS-Attacken zu schützen. © Shutterstock, NicoElNino
Sie sollten regelmäßig Ihre Server überwachen und verschiedene Maßnahmen ergreifen, um sich vor DDoS-Attacken zu schützen. © Shutterstock, NicoElNino

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff (Distributed-Denial-of-Service-Attacke) stellt eine Evolutionsstufe des DoS-Angriffs dar. In diesem Kontext werden diverse Computer oder Geräte in ein Botnet eingebunden und simultan auf die ins Visier genommene Ressource angesetzt. Dies hat eine Intensivierung der Überlastung zur Folge und führt dazu, dass die angezielte Ressource noch rascher außer Gefecht gesetzt wird. Die User:innen sind dann nicht mehr in der Lage, auf die Webseite zuzugreifen, was Einbußen beim Umsatz und einen Schaden für das Image nach sich ziehen kann.

Welche Arten von DDoS-Angriffen gibt es?

Im Gegensatz zu vielen Cyberattacken ist das Ziel von DoS- und DDoS-Angriffen nicht, ein System zu durchdringen und Informationen zu entwenden. Dennoch werden sie häufig parallel eingesetzt, wie zum Beispiel, wenn ein System deaktiviert wird, um die Aufmerksamkeit von einem Angriff auf ein anderes System abzulenken. Abhängig von der Angriffsstrategie verwenden Hacker:innen verschiedene Formen von DDoS-Attacken:

Überlastung der Bandbreite

Wenn die Bandbreite überbeansprucht wird, verliert der Server die Erreichbarkeit. DoS- und DDoS-Angriffe zielen unmittelbar auf das Netzwerk und die betreffenden Verbindungseinrichtungen ab. Beispielsweise kann ein Router nur eine bestimmte Datenmenge gleichzeitig bearbeiten. Wenn dieser Kapazitätsbereich durch einen Angriff beansprucht wird, sind die Dienstleistungen für andere Benutzer:innen nicht mehr zugänglich.

Der SMURF-Angriff ist eine der bekanntesten Attacken, die das Ziel verfolgen, die Bandbreite zu überlasten. Der SMURF-Angriff nutzt das Internet Control Message Protokoll (ICMP) aus, dass für den Informations- und Fehlermeldungsaustausch in Datennetzwerken dient. Bei einem Angriff wird ein gefälschtes ICMP-Paket (Ping-Prinzip) an die Broadcast-Adresse eines Computernetzwerks gesendet.

Die IP-Adresse des Zielobjekts wird als Absenderadresse angegeben. Der Router leitet die Broadcast-Anfrage dann an alle Geräte weiter, was dazu führt, dass jedes Gerät eine Antwort an die Absenderadresse sendet (Pong-Prinzip). Die Belastung ist umso größer, je mehr Geräte sich im Netzwerk befinden.

Beim Flooding werden die Computersysteme mit Anfragen überflutet, bis diese nicht mehr funktionieren. © Shutterstock, Cavan-Images
Beim sogenannten Flooding werden die Computersysteme mit Anfragen überflutet, bis sie nicht mehr funktionieren. © Shutterstock, Cavan-Images

Überflutung der Systemressourcen

Systemressourcen können ebenfalls Ziel von DoS- und DDoS-Angriffen sein. Angreifende Personen nutzen dabei die Tatsache aus, dass Webserver nur eine begrenzte Anzahl an Verbindungen aufbauen können. Wenn diese Verbindungen durch unnötige und zwecklose Anfragen belastet sind, können die Serverdienste strategisch für andere Benutzer:innen blockiert werden. Da das System gleichsam von Anfragen überschwemmt wird, wird diese Art von DoS-Angriff als Flooding bezeichnet. Abhängig von der Systemressource werden verschiedene Arten des Floodings eingesetzt:

  • HTTP-Flooding: Diese einfache Attacke besteht darin, den Webserver des Ziels mit einer Flut von HTTP-Anfragen zu überhäufen. Dies wird fortgesetzt, bis der Server aufgrund der hohen Anfragenlast zusammenbricht.
  • PING-Flood: In diesem Prozess wird das ICMP-Paket des Typs „Echo-Request“ genutzt, was einem Vorgehen ähnelt, welches bei einer Überlastung der Bandbreite auftritt. Diese werden dann in erheblicher Menge durch Bot-Netze an die Ziele des Angriffs versendet. Aufgrund der Tatsache, dass jede dieser Anfragen vom Zielsystem mit einem Datenpaket beantwortet werden muss, können auf diese Weise langsame Systeme durch eine PING-Flood schnell verlangsamt werden. 
  • SYN-Flood: Ein Client sendet bei einer SYN-Flood-Attacke kontinuierlich Synchronisationspakete (SYN) unter Verwendung gefälschter IP-Adressen an alle Ports eines Ziel-Servers. Der Server interpretiert dies als mehrfache Anfragen zum Datenaustausch und reagiert auf jede Anfrage von offenen Ports mit einem Synchronisationspaket und einer Bestätigung (ACK). In einem regulären Prozess würde der Client anschließend ein ACK-Paket senden, um den Erhalt des SYN/ACK-Pakets zu bestätigen, woraufhin der Datenaustausch einsetzen würde.

Bei einer SYN-Flood-Attacke wird die Bestätigung von der Clientseite nicht durchgeführt. Die Überlastung entsteht, weil der Server alle nicht endgültig bestätigten Verbindungen im Arbeitsspeicher speichert. Wenn durch SYN-Flooding eine hohe Anzahl dieser sogenannten halboffenen Verbindungen entsteht, kann es passieren, dass sämtliche verfügbaren Ressourcen des Servers belegt werden. 

  • UDP-Flooding: Bei diesem Angriffsmodus nutzen Cyberkriminelle das User Datagram Protocol (UDP), welches in der Lage ist, Daten ohne eine vorherige Verbindungsherstellung zu übertragen. In Bezug auf DoS- und DDoS-Attacken werden eine Vielzahl von UDP-Paketen an willkürlich ausgewählte Ports des anvisierten Systems gesendet. Das angegriffene System versucht erfolglos zu ermitteln, welche Anwendung auf die empfangenen Daten wartet, und sendet daraufhin ein ICMP-Paket mit der Information „Zieladresse nicht erreichbar“ an den ursprünglichen Sender. Wird ein System mit einer solchen Masse an Anfragen überhäuft, kann dies zur vollständigen Auslastung der Ressourcen führen und die Verfügbarkeit für reguläre Nutzer:innen erheblich einschränken.
DDoS-Attacken können auch das Abstürzen der Systeme zur Folge haben. © Shutterstock, Andrey_Popov
DDoS-Attacken können auch das Abstürzen des Computers oder Systems zur Folge haben. © Shutterstock, Andrey_Popov

Ausnutzung von Softwarefehlern und Sicherheitslücken

Wenn Hacker:innen über spezifische Sicherheitslücken in einem Betriebssystem oder Programm informiert sind, können sie DoS- und DDoS-Angriffe ausnutzen, um Softwarefehler oder Systemabstürze durch Anfragen zu verursachen. Die gängigsten Formen solcher Angriffe sind:

  • Ping of Death: Das Ziel des Ping of Death ist es, das angezielte System zum Absturz zu bringen. Hierzu wird von Angreifenden ein Implementierungsfehler des Internet Protocols (IP) ausgenutzt. Üblicherweise werden IP-Pakete in kleinen Fragmenten versandt. Sollten jedoch fehlerhafte Informationen zur Zusammenstellung der Pakete mitgeliefert werden, können einige Betriebssysteme dazu verleitet werden, IP-Pakete zu generieren, die die maximale Größe von 64KB übersteigen. Dies kann einen sogenannten „Buffer Overflow“ (Pufferüberlauf) verursachen. Dabei werden durch übermäßig große Datenmengen angrenzende Speicherstellen im Ziel-Speicherbereich überschrieben. 
  • Land-Attacke: Angreifer:innen setzen bei einer Land-Attacke den TCP-Three-Way-Handshake ein, um ein SYN-Paket an den Server zu schicken, der das potenzielle Angriffsziel ist. Dieses Paket beinhaltet die Absender- und Zieladressen des Servers. Der Server reagiert auf diese Anfrage, indem er ein SYN/ACK-Paket an seine eigene Adresse schickt. Dies wird als neuer Verbindungsversuch gedeutet und erfordert eine weitere Antwort mit einem SYN/ACK-Paket. So entsteht eine Situation, in der das System ständig seine eigenen Anfragen beantwortet. Dies kann zu einer erheblichen Belastung führen und im schlimmsten Fall den Server zum Absturz bringen.  

Warum werden DoS- und DDoS-Attacken durchgeführt?

Es gibt unterschiedliche Motive für die Durchführung von DoS- und DDoS-Attacken. Häufig sind diese krimineller Natur, beispielsweise Erpressung, Sabotage oder Spionage. Doch sind auch politisch motivierte Einzelpersonen oder Gruppen in der Lage, solche Angriffe auszuführen, um zum Beispiel ihre Ansichten zu verbreiten oder den Ruf einer Organisation zu schädigen.

IP-Sperrlisten können Ihnen unter anderem beim Schutz vor Systemfehlern helfen. © Shutterstock, Proxima Studio
IP-Sperrlisten können Ihnen unter anderem beim Schutz vor DDoS-Angriffen helfen. © Shutterstock, Proxima Studio

Wie können Sie sich vor DoS- und DDoS-Attacken schützen?

Die rasche Erkennung von DoS- und DDoS-Angriffen ist essenziell, um umgehend reagieren zu können. Es ist daher empfehlenswert, Ihre Website und Server ständig auf mögliche verdächtige Aktivitäten zu überwachen.

Vergewissern Sie sich, dass Ihre Soft- und Hardware stets auf dem aktuellen Stand gehalten und Sicherheitsaktualisierungen in regelmäßigen Abständen durchgeführt werden. Wählen Sie sichere Passwörter und setzen Sie eine Zwei-Faktor-Authentifizierung ein, um Ihre Systeme noch besser zu schützen. Darüber hinaus gibt es zusätzliche Schritte, die Sie unternehmen können, um sich gegen DoS- und DDoS-Angriffe zu verteidigen.

  • Filterprozess: Es ist machbar, Datenpakete, die herausstechen, durch das Festlegen von Grenzwerten für Datenmengen innerhalb eines bestimmten Zeitfensters zu identifizieren.
  • Content Delivery Network (CDN): Ein CDN ist eine Serverstruktur, die darauf abzielt, Inhalte wie Bilder oder Videos effizienter zu liefern. Es kann auch als Abwehrmaßnahme gegen DoS- und DDoS-Angriffe fungieren, indem es den Datenverkehr auf unterschiedliche Server leitet und somit eine Überlastung verhindert.
  • Up-to-date Software: Es ist wesentlich, dass Sie stets die neuesten Versionen Ihrer Software verwenden, da ältere Versionen häufig Sicherheitslücken aufweisen, die von Angreifern ausgenutzt werden können.
  • DDoS-Abwehrdienste: Es existieren spezielle Services, die Sie vor DDoS-Angriffen schützen können. Diese Services sind in der Regel kostenpflichtig, können jedoch im Notfall sehr nützlich sein.
  • SYN-Cookies: SYN-Cookies haben zum Ziel, Sicherheitsrisiken im TCP-Verbindungsaufbau zu verhindern. Wenn diese Schutzfunktion eingeschaltet ist, werden Informationen über SYN-Pakete nicht mehr auf dem Server gehalten, sondern als verschlüsselte Cookies an den Nutzer gesendet. Dadurch belasten SYN-Flood-Angriffe zwar die Rechenkapazität des Zielcomputers, aber nicht dessen Speicherplatz.
  • IP-Blocklisten: Mit Blocklisten können gefährliche IP-Adressen erkannt und Datenpakete unmittelbar verworfen werden. Dies kann automatisch durch geeignete Firewalls durchgeführt werden.
  • Lastverteilung: Bei der Lastverteilung wird die Belastung auf mehrere Systeme aufgeteilt. Hierbei wird die Hardware-Belastung bestimmter Dienste auf zahlreiche physische Maschinen verteilt.

Was können Sie tun, wenn Sie einen DoS- oder DDoS-Angriff bemerken?

Sollten Sie einen DoS- oder DDoS-Angriff feststellen, ist es von großer Bedeutung, unverzüglich Maßnahmen zu ergreifen, um den entstandenen Schaden zu minimieren und Ihre Webseite so rasch wie möglich erneut online zu stellen. Hier sind einige Aktionen, die Sie in Betracht ziehen können:

  • Belastung minimieren: Verringern Sie die Belastung auf Ihrem Server, indem Sie beispielsweise alle nicht unbedingt benötigten Anwendungen oder Dienste abschalten.
  • IP-Adressen sperren: Sperren Sie die IP-Adressen, von denen die Angriffe stammen. Dies kann dabei helfen, die Anzahl der Anfragen zu verringern und Ihre Website zu erneuern. Back-ups aktivieren: Bei Bedarf können Sie ein Back-up Ihrer Website aktivieren, um die Folgen des Angriffs zu begrenzen.
  • Kooperation mit Ihrem Hosting-Anbieter: Kooperieren Sie eng mit Ihrem Hosting-Anbieter, um den Angriff zu bekämpfen und eine nachhaltige Lösung zu erarbeiten. Es ist wichtig, dass Sie einen Aktionsplan für DoS- und DDoS-Attacken bereit haben, bevor Sie von einem Angriff getroffen werden.

Vergewissern Sie sich, dass Sie über eine Back-up-Strategie verfügen und Ihre Server kontinuierlich überwacht werden, um mögliche Angriffe rechtzeitig zu identifizieren. Im Endeffekt kann die Kooperation mit einem professionellen IT-Sicherheitsdienstleister oder einem Managed Service Provider, das heißt einem Anbieter für Informationstechnologie, dazu beitragen, Ihre Webseite sicher zu halten und Angriffe effizient abzuwehren. 

Bester Schutz mit Smart Lens

Sie möchten die Cybersicherheit Ihres Unternehmens verbessern? Dann sind Sie bei Smart Lens an der richtigen Adresse. Wir bieten höchste Standards in der präventiven Cybersicherheit. Nutzen Sie unseren automatischen Penetration Test, um Sie sofort jegliche Sicherheitslücken Ihrer Webseite herauszufinden. Wir freuen uns auf Ihre Kontaktaufnahme!

Beitragsbild: © Shutterstock, Photon photo

Weitere Beiträge

Wie künstliche Intelligenz Unternehmen sicherer macht

Wie künstliche Intelligenz Unternehmen sicherer macht

Erleben Sie die faszinierende Welt der künstlichen Intelligenz und wie sie unsere Zukunft neugestaltet. Entdecken Sie die Möglichkeiten mit uns!

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Hackerangriff: Wie schützen Sie Ihr Unternehmen?

Global steigen Hackerangriffe: Handeln und Wissen sind gefragt. Wie operieren Hacker:innen? Wo sind Schwachstellen in Ihrem Unternehmen? Wie ist Schutz möglich?