Was genau ist DDoS?

Aus aktuellem Anlass möchte ich kurz beschreiben, was DDoS Angriffe sind. Immer wieder lese ich in Facebook Kommentaren oder an anderen Orten des Internez die übelsten Theorien zum Thema DDoS.

Die Presse ist oft nicht besser und beschreibt DDoS Angriffe immer wieder gerne als „Hack Angriffe“, dabei ist dies komplett falsch. Hacker haben in der Regel fundiertes Wissen im Bereich Software Entwicklung und generell ein hohes technisches Verständnis. Jemand der DDoS Angriffe ausführt benötigt diese Voraussetzungen nicht. Auch besteht in der Regel keine Gefahr für die Daten am Server, ein DDoS Angriff findet komplett von außen statt, der Angreifer benötigt keinen Zugriff auf den Server. Es reicht wenn derjenige eine Maus bedienen kann um auf den Start Button seines heruntergeladenen Tools klicken zu können.

Die sogenannte Krankheit Scriptkiddy verbreitet sich aktuell wie ein Lauffeuer. Immer mehr Personen berichten über den Ausbruch der Krankheit. Das schlimme daran ist die Ausbreitung findet weltweit statt. Es gibt bereits diverse Medikamente die kurzfristig zu einer Heilung führen jedoch sind diese noch nicht ganz ausgereift. Aus diesem Grund stehen wir vor einem gewaltigen Problem.

Die Opfer der Krankheit bekommen diese sogar absichtlich und bezahlen sogar dafür, nur um anderen Personen oder Unternehmen Schaden zuzufügen. Okay Spaß bei Seite, es ist todernst.

Was genau ist DDoS nun?

Ein DDoS Angriff ist kurz das überlasten eines Servers / Computers mit (sinnlosen) Anfragen. Es gibt verschiedene Arten, wir sprechen von DoS oder DDoS. Dabei kann nur ein Angreifer existieren oder ganz viele verschiedene.

Es gibt verschiedene Arten von Angriffen, HTTP Flood, Syn Flood, UDP Flood, NTP Flood, DNS Flood,… Wie du schon merkst, Flood ist ein Begriff der gerne Verwendung findet.

Genauer möchte ich diese Attacken nicht beschreiben um den Ball flach zu halten. Generell wird der Zielserver mit normalen Anfragen überlastet. Es gibt auch die Möglichkeit auf untypische Attacken die ggf. wirkungsvoller sind jedoch einfacher erkannt und geblockt werden können. Daher bevorzugen die meisten Angreifer die „normale“ Variante.

Zum Beispiel eine Webseite. Dort werden ganz viele Anfragen an den Webserver gestellt, dieser hält die Anfragen für normale Besucher und versucht die Seite auszuliefern. Um die Erkennung schwieriger zu machen kommen die Anfragen ganz vielen unterschiedlichen IP Adressen und unterschiedlichen Ländern/ISPs.

Unter IP Adresse versteht man die „Telefonnummer“ des Computers. Diese ist – sofern nicht gespoofed – einmalig und einem Netzwerk genau zuzuordnen.

Für alle die sich nun Fragen, warum meldet man diese IP Adressen nicht? Ganz einfach, bringt in der Regel nichts. Die Angreifer sind meistens Server mit Sicherheitslücken die dafür missbraucht werden. Ohne dem Wissen des Inhabers. Oder die IP ist aus dem Ausland, wo man in der Regel nicht rankommt.

Zurück zum Webserver: In der Regel ist sogar nicht einmal der Webserver das Problem aká Nadelöhr sondern z.B. der MySQL Server. Gerade mit PHP laufende Webseiten und MySQL Backend sind ein leichtes Ziel. Am Ende des Liedes wird der Server immer mehr ausgelastet. Sobald keine Hardware Ressourcen mehr  zur Verfügung stehen ist die Webseite nicht oder nur mehr schwer erreichbar.

Wie gehe ich nun dagegen vor?

Software

Mit diversen Software Firewall Regeln, Thresholds kann man sich schon ein schönes Stück weiterhelfen, bei einfachen Angriffen die nur von wenigen IP Adressen kommen kann man auch die Angreifer IP Adressen oder IP Ranges direkt sperren. Im besten Fall via iptables -J DROP. Oft sind auch die Dienste wie DNS oder NTP Server nur falsch konfiguriert um somit zum einfachen Angriffsziel zu werden. Eventuell gibt es in ferner Zukunft auch mal einen Artikel der sich nur damit beschäftigt.

DDoS Protection

Die DDoS Protection ist der beste Weg. Das ganze hab ich hier genauer erklärt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.