Angriff, Attacken, Denial, Botnetze
© ArtemSam - Adobe Stock

DDoS – wenn tausende Rechner Internetseiten lahmlegen

Definition, Symptome und Funktion
Veröffentlicht am
Zuletzt aktualisiert am

Nicht direkt zur Malware, aber in den Bereich der Internetkriminalität gehört die DDoS-Attacke. Theoretisch kann auch Ihr Rechner zum Teil eines solchen Angriffs werden. Deshalb zeigen wir Ihnen, worum es sich bei einem DDoS handelt und wie Sie Ihren Rechner schützen können.

Was ist ein DDoS?

Die Bezeichnung DDoS ist ein Kürzel für Distributed Denial of Service. Es handelt sich dabei um eine Angriffsform, mit welcher Hacker die Website ihres Opfers durch unzählige Anfragen von tausenden von Rechnern außer Betrieb setzen. Häufig werden für einen DDoS-Angriff Botnetze eingesetzt. Bei einem Botnet handelt es sich um viele hundert oder tausend Computer, die von Cyberkriminellen gehackt und ferngesteuert werden. Dadurch erhält ein DDoS-Angriff viel Rechenkraft, mit der gezielt Server oder einzelne Netzwerkkomponenten sowie Datenbanken angegriffen werden. Darüber hinaus ist es auch möglich, internetfähige Geräte mit einem DDoS anzugreifen, z.B. Produktionsmaschinen.

Eine DDoS-Attacke kann für Unternehmen sehr komplexe Folgen haben. E-Commerce-Websites machen in der Down-Time ihrer Server keine Umsätze mehr. Darüber hinaus kann ein Serverausfall zu Störungen im Produktionsablauf von Unternehmen oder bei der Lieferung von Waren führen. Fällt eine Website längere Zeit aus, kann dieser Fehler auch zu einem Image- und Vertrauensverlust des Unternehmens führen, weil Kunden das Unternehmen nicht mehr online erreichen können.

So funktioniert ein DDoS

Bei einem DDoS-Angriff nutzen Angreifer eine Routine von Server, die auf ein Anfrage antworten. Die Angreifer verwenden für einen DDoS nicht die eigene IP-Adresse, sondern die IP-Adresse des Angriffsziels. Der Server antwortet somit nicht an den vermeintlichen Client, sondern an sich selbst. Dadurch ergibt sich eine Endlosschleife aus Serveranfragen und -antworten. Da die Antworten jedoch bis zu 4.096 Bytes groß sein können, ergibt sich mit steigenden Anfragen eine sehr hohe Datenrate, welche letztlich den Server überlastet und diesen kollabieren lässt.

Da DDoS-Angriffen mit mehreren hundert oder tausend Rechnern als Botnetz durchgeführt werden, können auch große Server schnell aufgeben.  

Moderne Name Server können in der Regel schneller erkennen, ob eine Anfrage immer wieder von derselben IP-Adresse kommt und die Anfrage blockieren. Doch in Firmennetzwerken werden meist sogenannte rekursive Server akzeptieren dieselben Anfragen immer wieder und gehören deshalb zu beliebten Zielen für Hacker.

Mit welchen weiteren Methoden erfolgt ein DDoS-Angriff?

Neben dem klassischen Angriff über das Domain Name System können DDoS-Attacken auch auf weiteren Ebenen erfolgen:

Angriff auf das Netzwerk:

Durch eine provozierte Überlastung der Netzwerkbandbreite eines Servers kann dieser vor Überlastung kollabieren.

Angriff per Webanfragen:Im Alltag gibt es immer wieder Beispiele, dass Server nicht mehr erreichbar sind, weil besonders viele Menschen innerhalb kurzer Zeit darauf zugreifen, z.B. beim Ticketverkauf einer sehr beliebten und berühmten Band. Bei einem DDoS kann dieses Verfahren künstlich erzeugt werden. Hierfür werden viele tausend Rechner zusammengeschlossen. Sie alle greifen dann auf einmal auf eine Website zu. Für Sicherheitssysteme wie Firewalls sind solche DDoS-Angriffe nur schwer erkennbar, da jeder Zugriff über eine andere IP-Adresse erfolgt.

Allgemein geht es bei einer DDoS-Attacke immer darum, ein System zu überlasten.

Warum nutzen Hacker DDoS-Attacken?

DDoS-Angriffe können aus unterschiedlichen Gründen durchgeführt werden:

  • In manchen Fällen werden Sie als Protest gegen Regierungen oder Unternehmen genutzt.
  • DDoS-Attacken werden von Kriminellen eingesetzt, um z.B. Unternehmen zu erpressen.
  • Kriminelle Hacker lassen sich von Mitbewerbern bezahlen, um die Website von Konkurrenten lahmzulegen.
  • Es wird eine DDoS-Attacke gefahren, um das Sicherheitssystem zu umgehen und auf dem Server Schadsoftware zu installieren.
Diese Ziele verfolgen Hacker be DDoS-Attacken

Was ist ein Botnet und was hat es mit einem DDoS zu tun?

Damit DDoS-Angriffe überhaupt ihre Wirkkraft entfalten können, benötigen Angreifer eine sehr große Menge an Rechnern. Zu diesem Zweck infizieren sie sehr viele Computer mit Schadsoftware. Diese enthält sogenannte „Backdoor“-Programme. Sie ermöglichen es nun den Angreifern, die infizierten Computer aus der Ferne zu steuern. Das Perfide daran: Infizierte Computer infizieren selbst weitere Rechner. Ein Botnet kann sich auf diese Weise exponentiell vergrößern und am Ende mehrere hunderttausend Rechner umfassen. Dieser Rechenkraft können dann nur wenige Server standhalten.

Für DDoS-Angriffe gewinnt das Internet der Dinge (IoT - Internet of Things) immer mehr an Bedeutung. Denn neben Computern lassen sich auch vernetzte Geräte wie internetfähige Fernseher, Überwachungskameras, Router oder Set-Top-Boxen für Botnetze und DDoS-Angriffe verwenden. In vielen Fällen werden die Geräte mit veralteter Firmware oder mit Standardpasswörtern betrieben, was das Einbrechen in die Systeme erheblich erleichtert.

DDoS sind strafbar

DDoS gehören in den Bereich Computersabotage und fallen somit unter das Strafrecht. Die Verantwortlichen können bei einer Verurteilung bis zu zehn Jahre Gefängnis als Strafe erhalten.

Mögliche Symptome für eine DDoS-Attacke

Wenn Sie als Nutzer nicht mehr auf eine Internetseite zugreifen können, weil der Server nicht erreichbar ist, kann es sich um eine DDoS-Attacke handeln. Unternehmen können eine entsprechende Attacke anhand von Logfile-Analysen sowie Leistungsverlusten beim Server feststellen.

Wie können sich Unternehmen vor einem DDoS schützen?

Ein wichtiger Schutz vor DDoS-Angriffen besteht darin, eine solche Attacke überhaupt zu erkennen. Unternehmen können hierfür z.B. DNS-Statistiken anlegen und hier Mittelwerte für die Dateigröße von Anfragen bestimmen. Darüber hinaus hilft die Auswertung der Statistiken dabei, mögliche Anomalien und Muster zu erkennen. Wenn ein Unternehmen z.B. feststellt, dass täglich die meisten Nutzer an Wochentagen zwischen 10.00 und 16.00 Uhr auf die Seite zugreifen, könnten vermehrte Zugriffe um 3.00 Uhr nachts auf eine mögliche DDoS-Attacke oder einen Versuch hindeuten.

Neben diesen Analysen gehören Firewalls sowie das Schließen von Sicherheitslücken bei allen Netzwerkkomponenten zu den Schutzmaßnahmen vor DDoS.

Viele Unternehmen bauen zusätzliche Server-Kapazitäten auf, um viele Anfragen auf einmal abfangen zu können.

Empfehlenswert ist es, wenn Experten für Cybersecurity die Schutzmaßnahmen konzipieren und umsetzen.

Was hat mein Rechner mit einem DDoS-Angriff zu tun?

Sie selbst können Teil einer DDoS-Attacke werden, wenn Ihr Rechner zuvor von Hackern mit einem Schadprogramm infiziert wurde. Zu den beliebten Zielen von Hackern gehören deshalb Rechner mit veralteten Betriebssystemen, die nicht aktualisiert wurden. Opfer sind ebenfalls Betriebssysteme mit zu geringem Virenschutz.

Wie kann ich verhindern, Teil eines Botnetzes zu werden?

Um sich vor Schadprogrammen zu schützen, die Ihren Rechner zu einem Angreifer machen, können Sie Folgendes tun:

  1. Verwenden Sie aktuelle Virenschutzsoftware mit aktuellen Virendefinitionen. So verringern Sie die Wahrscheinlichkeit, dass Ihr Rechner mit einem Computervirus oder einem Rootkit infiziert wird.

  2. Klicken Sie keine Links auf unseriösen Websites an.

  3. Öffnen Sie keine E-Mail-Anhänge von Empfängern, die Sie nicht kennen oder deren E-Mail-Adresse sehr kryptisch ist.

  4. Verwenden Sie Ihren Computer im Alltag am besten nur mit einem Gastzugang. So verhindern Sie, dass Hacker sehr einfach Root-Rechte erhalten, wenn sie Ihren Rechner infizieren.

Fazit: DDoS sind im privaten Bereich eher selten, dennoch können Sie aktiv zur Verhinderung von Botnetzen beitragen

Als privater Nutzer werden Sie mit hoher Wahrscheinlichkeit kein direktes Opfer eines DDoS. Doch können Sie mit dem Schutz Ihres Rechners dazu beitragen, dass keine Botnetze entstehen.