08
Jul
0 Keine Kommentare

DDoS-Attacke – Grundlagen und erste Hilfe

Seit Kurzem kontrollieren Shop-Betreiber ihr elektronisches Postfach mit großer Vorsicht. Im Monat Mai traten nämlich vermehrt Meldungen im Internet auf, dass Online-Händler Erpresser-E-Mails erhielten, in denen bei Nicht-Zahlung eines geforderten Betrages mit einer DDoS-Attacke gedroht wurde. Doch was genau passiert bei so einem Angriff? Wie sehen die Folgen aus? Und vor allem: Womit kann ich mich schützen? Spreepixel klärt euch in einer Beitragsreihe auf. Zunächst fangen wir mit den Grundlagen an.

Was sind DoS-Angriffe (Denial of Service)?

Grundsätzlich ist eine DDoS-Attacke eine besondere Form eines sogenannten DoS-Angriffs, was für “Denial of Service”-Angriff steht. Ziel einer solchen Aktion ist die Störung des Angebots einer Website. Dabei werden zahlreiche Anfragen auf eine Internetpräsenz vorgenommen, die durch die hohe Belastung der Server zunächst zur Verlangsamung der Seite führt. Hält die stark gesteigerte Datenmenge an, führt dies zur Überlastung des Servers und dadurch zur Verweigerung des Dienstes (engl. “Denial of Service”). Dann haben die Angreifer ihr Ziel erreicht und die Internetseite lahmgelegt.

Findet ein solcher Angriff gleich von mehreren Rechnern statt, spricht man von einer DDoS-Attacke (“Distributed Denial of Service”-Angriff). Bei diesem werden die erhöhten Abfragen des Servers auf mehrere Computer verteilt (engl. “distributed”). Die DDoS-Attacke wird allerdings nicht manuell von zahlreichen Usern durchgeführt, sondern findet mittels eines Botnetzes statt. Diese entstehen durch die Infizierung fremder Rechner mit schädlicher Software, zum Beispiel durch Trojaner. Diese breiten sich systematisch auf weiteren Computern aus und werden dann zur Umsetzung einer DDoS-Attacke genutzt, bei der das gesamte Botnetz Anfragen auf die zu crashende Seite vornimmt. Der eigentliche Besitzer des Computers bemerkt davon in der Regel nichts.

Eine Unterkategorie der DDoS-Attacke ist die DDoS-Application-Attacke, auch Layer-7-Angriff genannt. Hier dient nicht der Server als Ziel der DDoS-Attacke, sondern ein bestimmtes Programm oder eine spezielle Programmschnittstelle. Meistens nutzen die Angreifer besondere Fehler aus, um die anvisierte Anwendung zum Absturz zu bringen. Eine besonders schlimme Art des Angriffs, da sie nicht so leicht als DDoS-Attacke enttarnt werden kann und zunächst nur wie ein gesteigertes Besucher-Aufkommen aussieht. Absicht kann hier zum Beispiel sein, die Firewall außer Gefecht zu setzen, um weitere Angriffsziele verwundbar zu machen.

Motive eine DDoS-Attacke

Der eingangs erwähnte aktuelle Anlass enttarnt auch gleich ein mögliches Motiv: Geld. Erpressungen mit einer DDoS-Attacke wie sie zuletzt im Mai vermehrt auftauchten, gab es dabei früher schon. So wurde 2014 die Seite des Online-Wettbüros MyBet bereits außer Gefecht gesetzt, nachdem dieses eine ähnliche Drohung nicht ernst nahm. Die Folge war der 16-stündige Ausfall der eigenen Internetseite und ein entsprechend hoher Verlust an Besuchern. Damit ist das Risiko einer DDoS-Attacke für Shop-Betreiber klar: Fällt der eigene Shop erst aus, gehen Käufer und Umsatz verloren.

Neben wirtschaftlichen können auch ideelle Gründe hinter einem derartigen Angriff stehen. So geschah es im Rahmen der Blockupy-Proteste 2012 vor der Europäischen Zentralbank in Frankfurt am Main. Damals überlastete ein Angriff der Gruppe Anonymous die offizielle Seite der Stadt Frankfurt phasenweise, wodurch der Dienst ausfiel. Eine DDoS-Attacke, die leicht in die öffentliche Wahrnehmung geriet.

Die Liste von ausgefallenen Seiten aufgrund derartiger Angriffe ist lang. Im Jahr 2013 berichtete der Online-Marktplatz DaWanda auf Facebook über mehrere Angriffswellen mittels stark angestiegenem Traffic. Auch Seiten der US-amerikanischen Regierung wurden schon Ziel einer erfolgreichen DDoS-Attacke. Dabei handelt es sich lediglich um prominente Beispiele. Es ist jedoch davon auszugehen, dass die Dunkelziffer derartiger Angriffe wesentlich höher liegt und viele vergleichbare Fälle kleinere Shopbetreiber betreffen.

Wie reagieren?

Eine DDoS-Attacke lässt sich schnell am steigenden Traffic erkennen. Dieser springt dann schlagartig auf ein Vielfaches der üblichen Besucherzahlen. In Ausnahmefällen entscheiden sich die Angreifer für eine langsame Vorgehensweise, bei der die Seitenaufrufe schrittweise steigen, bis sie ein kritisches Maß erreichen. Hier lässt sich zwar nicht sofort die DDoS-Attacke erkennen, allerdings enttarnt der zuverlässige Anstieg den laufenden Angriff. Der Traffic lässt sich leicht über gängige Tracking-Tools, wie Google Analytics, feststellen.

Ist die DDoS-Attacke erst zweifelsfrei festgestellt, helfen kurzfristige Maßnahmen dabei, das Schlimmste zu verhindern. Der erste Anruf führt dabei zum Betreiber der Server, über die der eigene Shop läuft. Verfügt der Anbieter über freie IP-Pools, kann der eigene Shop auf diese geschaltet werden, sodass die DDoS-Attacke vorerst ins Leere läuft. Alternativ können auch weitere Server zugeschaltet werden, sodass sich das erhöhte Datenvolumen gleichmäßig verteilt und die Überlastung ausbleibt.

Verfügt man bereits über mehrere Domains und IP-Adressen, lässt sich auch hier ausweichen. Allerdings kann nicht bloß die IP hinter der bereits angegriffenen Domain gewechselt werden, da die Domain die DDoS-Attacke dann bloß auf die neue IP weiterleitet. Wechselt man hingegen Domain und IP, kann der Shop zunächst weiter betrieben werden. Dies können Shopbetreiber sogar selbst vornehmen. Voraussetzung hierfür sind Webhosting mit Domainverwaltung, mehrere Domains und IP-Adressen. Nach dem Aufschalten der neuen Domain kann die alte einfach offline gehen oder man leitet den erhöhten Traffic in eine Sandbox. Diese gibt dem Angreifer ein unverändertes Signal zurück, sodass dieser den Wechsel auf eine andere Domain nicht bemerkt und den Angriff unbeirrt fortführt.

Kann die DDoS-Attacke mit diesen Mitteln nicht abgewendet werden, sodass der Absturz des Servers droht, sollte über das selbstständige Abschalten der Website nachgedacht werden. Zunächst wirkt es, als ob die Angreifer damit ihr Ziel erreicht hätten. Allerdings hat diese Maßnahme einen entscheidenden Vorteil: Der Shutdown findet kontrolliert statt. So können wichtige Daten noch gesichert werden, bevor die Server-Auslastung die Homepage zwangsweise nicht mehr erreichbar macht. Setzt der eigene Shop auf virtualisiertes Hosting, ist dieser Schritt sogar besonders leicht: Dann sind die einzelnen Hosting-Dienste auf mehrere Server verteilt, die bei Bedarf separat abgeschaltet werden, ohne gleich den ganzen Shop offline zu nehmen. So kann bei einer DDoS-Attacke auf eine bestimmte Anwendung einfach der jeweilige Dienst eingestellt werden.

In jedem Fall sollte der Betreiber der Server über eine Attacke informiert werden. Ist sogar ein Schaden entstanden, sollte bei der Polizei Anzeige erstattet werden. Dies ist auch online möglich.

Dies sind einige Möglichkeiten, wie auf einen bereits begonnenen Angriff reagiert werden kann, um den Schaden zumindest zu begrenzen. Im nächsten Teil unserer Beitragsreihe beschäftigen wir uns mit Abwehrmethoden, die das Risiko einer erfolgreichen DDoS-Attacke vermindern.

Steven Matz

Steven Matz

Unser Linguist in Programmiersprachen Steven Matz blickt auf 6 Jahre Erfahrung im Bereich Front-End-Entwicklung zurück. Von ihm erhaltet ihr alle Infos rund um Programmierung und Technik – fachgerecht für den Endnutzer formuliert.

More Posts