Cybersicherheit DDoS-Angriff: Wie ihr euch schützen könnt

Als Unternehmer*in ist es wichtig, dass eure Website und andere digitale Ressourcen immer zugänglich und funktionsfähig sind. Doch was passiert, wenn ein DoS- oder DDoS-Angriff eure Website lahmlegt und eure Geschäfte beeinträchtigt? In diesem Blogbeitrag erklären wir, was DoS und DDoS-Attacken sind, wie ihr euch davor schützen könnt und was ihr tun solltet, wenn ihr einen solchen Angriff bemerkt.

Was ist ein DoS-Angriff?

Ein DoS-Angriff (Denial-of-Service-Angriff) zielt darauf ab, eine Website oder einen Server durch eine Überlastung lahmzulegen. Der/ die Angreiferin nutzt dabei Schwachstellen im System aus, um massenhaft Anfragen an den Server zu senden. Dadurch wird dieser überlastet und kann die Anfragen nicht mehr bearbeiten. Die Website wird deshalb unerreichbar und kann nicht mehr genutzt werden. Allgemein spricht man in der Informatik von einem “Denial of Service (DoS)”, wenn ein Dienst nicht mehr verfügbar ist. Dies kann auch durch Überlastung einzelner Komponenten der IT-Infrastruktur der Fall sein. Wird dieser Zustand jedoch mutwillig durch externe Akteur*innen herbeigeführt, ist dies ein DoS-Angriff.

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff (Distributed-Denial-of-Service-Angriff) ist eine Weiterentwicklung des DoS-Angriffs. Dabei werden mehrere Computer oder Geräte in ein Botnetzwerk integriert und gleichzeitig auf die Zielressource losgelassen. Dadurch wird die Überlastung verstärkt und die Zielressource noch schneller lahmgelegt. Die Nutzer*innen können nicht mehr auf die Website zugreifen, was zu Umsatzverlusten und einem Image-Schaden führen kann.

Es gibt verschiedene Arten und Formen der DdoS-Angriffe. © Shutterstock,Frame Stock Footage
Es gibt verschiedene Arten und Formen der DDoS-Angriffe. © Shutterstock,Frame Stock Footage

Welche Arten von DDoS-Angriffen gibt es?

Anders als bei vielen Cyberangriffen zielen DoS- und DDoS-Angriffe nicht darauf ab, ein System zu infiltrieren und Daten zu klauen. Sie werden jedoch auch oft in Kombination verwendet, beispielsweise wenn ein System lahmgelegt wird, um von dem Angriff auf ein anderes System abzulenken.
Je nach Strategie des Angriffes nutzen Hacker*innen verschiedene Arten von DDoS-Angriffen:

Überlastung der Bandbreite

Ist die Bandbreite überlastet, kann der Server nicht mehr erreicht werden. Die DoS und DDoS-Angriffe richten sich dabei direkt an das Netzwerk und die jeweiligen Verbindungsgeräte. Ein Router, zum Beispiel, kann nur eine bestimmte Menge an Daten gleichzeitig verarbeiten. Wird diese Kapazität durch einen Angriff in Anspruch genommen, stehen die Dienste für andere Nutzer*innen nicht mehr zur Verfügung. Eine der bekanntesten Attacken mit dem Ziel der Bandbreitenüberlastung ist der sogenannte SMURF-Angriff.

Der SMURF-Angriff macht sich das Internet Control Message Protokoll (ICMP) zunutze. Das ICMP dient den Rechnernetzwerken zum Austausch von Informations- und Fehlermeldungen. Bei einem Angriff wird ein gefälschtes ICMP-Paket (Ping-Prinzip) an die Broadcast-Adresse eines Computernetzwerkes gesendet. Die IP-Adresse des Angriffsziels wird dabei als Absenderadresse verwendet.

Vom Router wird die Broadcast-Anfrage dann an alle Geräte weitergeleitet, wodurch jedes einzelne dazu veranlasst wird, eine Antwort an die Absenderadresse zu senden (Pong-Prinzip). Je mehr Geräte sich in dem Netzwerk befinden, desto größer fällt die Belastung aus.

Beim sogenannten Flooding werden die Computersysteme mit Anfragen überflutet, bis sie nicht mehr funktionieren. © Shutterstock, somavarapu madhavi
Beim sogenannten Flooding werden die Computersysteme mit Anfragen überflutet, bis sie nicht mehr funktionieren. © Shutterstock, somavarapu madhavi

Überflutung der Systemressourcen

DoS und DDoS-Angriffe können auch auf die Ressourcen eines Systems abzielen. Dabei nutzen Angreifer*innen aus, dass Webserver nur eine begrenzte Anzahl an Verbindungen herstellen können. Wenn diese dann mit unnötigen und sinnlosen Anfragen belegt sind, können die Serverdienste für andere Nutzer*innen strategisch blockiert werden. Da das System quasi von Anfragen überflutet wird, wird diese Form der DoS-Attacke als Flooding bezeichnet.
Je nach Systemressource kommen verschiedene Formen des Floodings in Einsatz:

  • HTTP-Flooding:
    Bei dieser unkomplizierten Attacke wird der Webserver des Ziels mit einer Vielzahl an HTTP-Requests überschwemmt. Das geschieht so lange, bis der Server unter der Last an Anfragen zusammenbricht.
  • PING-Flood:
    Hierbei wird – ähnlich wie bei der Überlastung der Bandbreite – das ICMP-Paket des Typs “Echo-Request” verwendet. Diese werden durch Bot-Netze dann massenhaft an Angriffsziele gesendet. Da jeder dieser Anfragen vom Zielsystem mit einem Datenpaket beantwortet werden muss, lassen sich so langsame Systeme durch eine PING-Flood schnell ausbremsen.
  • SYN-Flood:
    Bei der SYN-Flood-Attacke schickt ein Client pausenlos Synchronisations-Pakete (SYN) unter der Verwendung falscher IP-Adressen an jeden Port eines Zielservers. Der Server denkt, dass mehrere Instanzen ihre Daten austauschen möchten, und antwortet auf jede Anfrage von offenen Ports mit einem Synchronisations-Paket und einer Bestätigung (ACK). Normalerweise würde an dieser Stelle der Client ebenfalls ein ACK-Paket schicken und damit den Empfang des SYN/ACK-Pakets bestätigen. Dann würde der Datenaustausch beginnen.

    Bei der SYN-Flood-Attacke bleibt die clientseitige Bestätigung aus. Zu einer Überlastung kommt es dadurch, dass der Server alle nicht abschließend bestätigten Verbindungen im Arbeitsspeicher vorrätig hält. Kommt eine große Anzahl dieser sogenannten halboffenen Verbindungen durch SYN-Flooding zusammen, lassen sich die verfügbaren Serverressourcen unter Umständen komplett belegen.
  • UDP-Flooding:
    Bei dieser Art von Angriff setzen Cyberkriminelle auf das User Datagram Protocol (UDP), das ohne Verbindungsaufbau Daten übermitteln kann. Im Rahmen von DoS- und DDoS-Angriffen werden viele UDP-Pakete an zufällig ausgewählte Ports des Zielsystems gesendet. Das Zielsystem versucht vergeblich herauszufinden, welche Anwendung auf die Daten wartet und sendet dann ein ICMP-Paket mit der Nachricht „Zieladresse nicht erreichbar“ an den Absender zurück. Wenn ein System mit einer Vielzahl solcher Anfragen belastet wird, kann dies dazu führen, dass die Ressourcen vollständig ausgelastet werden und die Verfügbarkeit für reguläre Benutzer*innen stark eingeschränkt wird.
DDoS-Attacken können auch das Abstürzen des Computers oder Systems zur Folge haben. © Shutterstock, Likoper
DDoS-Attacken können auch das Abstürzen des Computers oder Systems zur Folge haben. © Shutterstock, Likoper

Ausnutzung von Softwarefehlern und Sicherheitslücken

Haben Hacker*innen Kenntnis über bestimmte Sicherheitslücken eines Betriebssystems oder Programms, können DoS- und DDoS-Angriffe genutzt werden, dass Anfragen Softwarefehler oder auch Systemabstürze hervorrufen können. Die häufigsten Angriffsmuster dieser Art sind:

  • Ping of Death:
    Beim Ping of Death soll das angegriffene System zum Absturz gebracht werden. Dafür nutzen Angreifer*innen Implementierungsfehler des Internet Protocols (IP). Die IP-Pakete werden in der Regel in kleinen Fragmenten versendet. Wenn dabei fehlerhafte Informationen für das Zusammensetzen der Pakete mitgeschickt werden, lassen sich einige Betriebssysteme so austricksen, dass sie IP-Pakete erzeugen, die die maximale Größe von 64KB überschreiten. Dies kann zu einem „Buffer Overflow“ (Pufferüberlauf) führen, bei dem zu große Datenmengen dafür sorgen, dass im Ziel-Speicherbereich angrenzende Speicherstellen überschrieben werden.
  • Land-Attacke:
    Bei einer Land-Attacke nutzten Angreifer*innen den TCP-Three-Way-Handshake, um ein SYN-Paket an den Server zu senden, der zum Ziel des Angriffs werden soll. In diesem Paket sind die Absender- und Zieladressen des Servers enthalten. Der Server antwortet auf diese Anfrage, indem er ein SYN/ACK-Paket an sich selbst sendet. Dies wird als neue Verbindungsanfrage interpretiert und muss erneut mit einem SYN/ACK-Paket beantwortet werden. Auf diese Weise entsteht eine Situation, in der das System kontinuierlich eigene Anfragen beantwortet. Das kann zu einer massiven Auslastung und sogar zum Absturz des Servers führen.

Warum werden DoS- und DDoS-Attacken durchgeführt?

DoS- und DDoS-Attacken können aus verschiedenen Gründen durchgeführt werden. Oft stecken dahinter kriminelle Absichten, wie Erpressung, Sabotage oder Spionage. Auch politisch motivierte Gruppen oder Einzeltäter*innen können DoS- oder DDoS-Attacken durchführen, um beispielsweise ihre Meinung zu verbreiten oder eine Organisation zu diskreditieren.

IP-Sperrlisten können euch unter anderem beim Schutz vor DDoS-Angriffen helfen. © Shutterstock, David Jancik
IP-Sperrlisten können euch unter anderem beim Schutz vor DDoS-Angriffen helfen. © Shutterstock, David Jancik

Wie könnt ihr euch vor DoS- und DDoS-Attacken schützen?

Es ist wichtig, DoS- und DDoS-Angriffe schnell zu erkennen, um sofort gegensteuern zu können. Überwacht eure Website und Server daher regelmäßig auf verdächtige Aktivitäten. Wir von Smart Data Center bieten euch zum Beispiel verschiedene Produkte wie Back-up as a Service, Disaster-Recovery as a Service oder Desktop as a Service an, die eure Website gegen Angriffe schützen können. Setzt auf eine robuste und skalierbare Infrastruktur, um DoS- und DDoS-Angriffe abzuwehren. Eine sogenannte Load-Balancer-Technologie kann dabei helfen, Lastspitzen auf mehrere Server zu verteilen und somit eine Überlastung zu verhindern. Eine Firewall und eine DDoS-Schutz-Software können ebenfalls eure Website schützen, indem sie verdächtigen Traffic filtern und blockieren.

Stellt sicher, dass eure Systeme und Software immer auf dem neuesten Stand sind und dass Sicherheitsupdates regelmäßig installiert werden. Verwendet sichere Passwörter und nutzt eine Zwei-Faktor-Authentifizierung, um eure Systeme zusätzlich abzusichern.
Es gibt außerdem weitere Maßnahmen, die ihr ergreifen könnt, um euch vor DoS- und DDoS-Attacken zu schützen:

  • Filterung:
    Um auffällige Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren.
  • Content Delivery Network (CDN):
    Ein CDN ist ein Netzwerk aus Servern, das dazu dient, Inhalte wie Bilder oder Videos schneller auszuliefern. Es kann auch als Schutz vor DoS- und DDoS-Attacken dienen, indem es den Datenverkehr auf verschiedene Server verteilt und somit eine Überlastung verhindert.
  • Aktualisierte Software:
    Es ist wichtig, dass ihr immer die aktuellen Versionen eurer Software nutzt, da ältere oft Sicherheitslücken aufweisen, die von Angreifern ausgenutzt werden können.
  • DDoS-Schutzdienste:
    Es gibt spezielle Dienste, die euch vor DDoS-Attacken schützen. Diese Dienste sind meist kostenpflichtig, können aber im Ernstfall sehr hilfreich sein.
  • SYN-Cookies:
    SYN-Cookies zielen darauf ab, Sicherheitslücken im TCP-Verbindungsaufbau zu schließen. Wenn diese Schutzmaßnahme aktiviert ist, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als verschlüsselte Cookies an den Client gesendet. Auf diese Weise belasten SYN-Flood-Angriffe zwar die Rechenleistung des Zielcomputers, aber nicht dessen Speicher.
  • IP-Sperrlisten:
    Mithilfe von Sperrlisten können kritische IP-Adressen identifiziert und Datenpakete direkt verworfen werden. Dies kann automatisiert durch entsprechende Firewalls umgesetzt werden.
  • Load-Balancing:
    Beim Load-Balancing wird eine Lastenverteilung auf verschiedene Systeme vorgenommen. Dabei wird die Hardware-Auslastung bestimmter Dienste auf mehreren physischen Maschinen verteilt.
Ihr solltet regelmäßig eure Server überwachen und verschiedene Maßnahmen ergreifen, um euch vor DDoS-Attacken zu schützen. © Shutterstock, Tero Vesalainen
Ihr solltet regelmäßig eure Server überwachen und verschiedene Maßnahmen ergreifen, um euch vor DDoS-Attacken zu schützen. © Shutterstock, Tero Vesalainen

Was könnt ihr tun, wenn ihr einen DoS- oder DDoS-Angriff bemerkt?

Wenn ihr einen DoS- oder DDoS-Angriff bemerkt, ist es wichtig, schnell zu handeln, um den Schaden zu begrenzen und eure Webseite so schnell wie möglich wieder online zu bringen. Hier sind einige Schritte, die ihr unternehmen könnt:

  1. Alarm schlagen: Benachrichtigt umgehend eure IT-Abteilung oder euren Hosting-Anbieter, damit sie die Situation einschätzen und angemessene Schritte einleiten können.
  2. Last reduzieren: Reduziert die Last auf eurem Server, indem ihr z. B. alle nicht essenziellen Anwendungen oder Services ausschaltet.
  3. IP-Adressen blockieren: Blockiert die IP-Adressen, von denen die Angriffe ausgehen. Dies kann dazu beitragen, die Anzahl der Anfragen zu reduzieren und eure Webseite wiederherzustellen.
  4. Back-ups einspielen: Falls nötig, könnt ihr auch ein Back-up eurer Website einspielen, um die Auswirkungen des Angriffs zu minimieren.
  5. Zusammenarbeit mit eurem Hosting-Anbieter: Arbeitet eng mit eurem Hosting-Anbieter zusammen, um den Angriff zu bekämpfen und eine dauerhafte Lösung zu finden. Es ist wichtig, dass ihr einen Plan zur Reaktion auf DoS- und DDoS-Attacken habt, bevor ihr von einem Angriff betroffen seid.

Stellt sicher, dass ihr eine Back-up-Strategie habt und dass ihr regelmäßig eure Server überwacht, um potenzielle Angriffe frühzeitig zu erkennen. Letztendlich kann die Zusammenarbeit mit einem erfahrenen IT-Sicherheitsdienstleister oder Managed Service Provider, also einem Dienstleister für Informationstechnologie, euch dabei helfen, eure Webseite zu schützen und Angriffe effektiv abzuwehren.

Smart Data Center hilft bei eurer Cybersicherheit

Cybersicherheit ist aktueller und wichtiger denn je. Denn Hacker*innen haben mittlerweile einen immer leichteren Zugang zu illegaler oder auch KI-basierter Software. Auch DDos-Angriffe nehmen zu und können Schäden in mehrfacher Millionenhöhe verursachen. Der grundlegende Schutz gegen Cyberangriffe reicht oftmals nicht mehr aus, um sich effektiv absichern zu können.

Schützt jetzt euren Geschäftsalltag. Die erste Grundlage dazu bietet unsere kostenlose Gefährdungsbeurteilung IT- und Cybersicherheit. Dort könnt ihr Sicherheitslücken und mögliche Gefährdungen eures Unternehmens ausfindig machen und erste Schwachstellen sinnvoll angehen. Unser Back-up as a Service und Disaster Recovery as a Service bietet euch schnelle Wiederherstellung eurer IT-Infrastruktur im Schadensfall. Folgt uns doch auch auf LinkedIn, um immer über Neuigkeiten informiert zu werden.

Beitragsbild: © Shutterstock, Shutter z

Weitere Themen aus diesem Artikel

Aktuelle Beiträge

DDOS-Angriff auf BaFin und Lok Leipzig Hackerangriffe aktuell: September 2023

Im September 2023 wurden erneut Unternehmen aus verschiedenen Branchen Opfer von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Diese Angriffe haben zugenommen und sie werden aus vielfältigen Motiven durchgeführt.

Nachhaltigkeit der KMUs Gothaer Studie 2023: Nachhaltigkeit in Unternehmen

Das Thema Nachhaltigkeit gewinnt immer mehr an Bedeutung. Sowohl in privaten Haushalten als auch in Unternehmen. Doch wie stehen KMUs eigentlich dazu, ihre Unternehmensphilosophie anzupassen und Nachhaltigkeit einen größeren Raum zu geben? Die Gothaer Studie kam zu interessanten Ergebnissen, die wir euch in diesem Beitrag zusammengefasst haben.

Cyberangriffe Deutschland Cyberangriffe aktuell: August 2023

Unternehmen aus verschiedenen Branchen waren im August 2023 erneut Ziel von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Die Zahl der Hackerangriffe nimmt ständig zu, und sie werden aus den unterschiedlichsten Gründen durchgeführt.