DDoS-Attacken: Angriff der Bots

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Über cyon

Veröffentlicht am 14. Jan. 2016

Aktualisiert am 9. Mai 2022

Mit DDoS-Attacken legen Angreifer Websites und sogar ganze Netzwerke lahm. Mit der zunehmenden Verlagerung des privaten und geschäftlichen Lebens ins Netz gewinnen darum auch DDoS-Attacken immer mehr an Bedeutung. Wir erklären heute, was eine DDoS-Attacke ist, was wir dagegen unternehmen und an wen Sie sich im Ernstfall wenden können.

DDoS-Attacken, die Bots greifen an.

DDoS – Puppenspieler greifen an

Das Akronym DDoS kennen Sie vielleicht aus der einen oder anderen cyon-Statusmeldung. DDoS steht für den Begriff «Distributed Denial of Service» und bezeichnet eine Erweiterung eines «herkömmlichen» Denial of Service (DoS).

Übersetzt nennt man DoS etwa «Dienstblockade» oder «Dienstverweigerung». Eine DoS-Attacke soll also einen Dienst, wie zum Beispiel eine Website, unerreichbar machen. Geht eine DoS-Attacke noch von einem einzelnen Computer aus, sind in eine DDoS-Attacke mehrere Computer involviert. Wenn heutzutage von DoS-Attacken die Rede ist, handelt es sich in den meisten Fällen um DDoS-Attacken.

Angriffe von einzelnen, unvernetzten Computern (DoS-Attacken) lassen sich mit wenig technischem Aufwand abwehren. Ganz im Gegensatz zu DDoS-Angriffen, bei denen die Attacken von manchmal zehntausenden von Computern ausgehen und die sehr grosse Datenvolumen erreichen können.

DDoS-Angriffe gehen in der Regel von Botnetzen aus. Botnetze bestehen aus Computern, die sich dank zuvor eingeschleuster Malware von einem Botnetz-Operator steuern lassen. Der Operator kann die infizierten Geräte dabei wie ein Puppenspieler kontrollieren.

So entsteht ein Botnetz.

1 & 2: Ungeschützte Computer werden infiziert und in das Botnetz integriert. 3 & 4: Der Botnetzbetreiber verkauft Dienste, wie z.B. einen DDoS-Angriff.
(«How a botnet works» von Tom-b. Lizenz: CC BY-SA 3.0)

Grösser, stärker, häufiger

DDoS-Attacken sind kein neues Phänomen. Auch unsere Infrastruktur ist immer wieder Ziel von solchen Angriffen, die sich in der Art und dem Umfang stark unterscheiden können. Mit einem ganzen Arsenal an Gegenmassnahmen lassen sich die verschiedenen Angriffsarten bekämpfen: So können wir den Zugang über bestimmte Protokolle und Ports sperren, gewissen IP-Adressbereichen den Zugriff verwehren, die Anzahl Zugriffe pro IP-Adresse begrenzen oder Anfragen aufgrund ungültiger Header-Informationen ablehnen.

In letzter Zeit verzeichnen wir nicht nur einen Anstieg an Angriffen, die Attacken besitzen ausserdem zunehmende Schlagkraft, generieren also mehr Datenverkehr als in der Vergangenheit. Das kriegten leider auch unsere Kunden zu spüren, als zeitweise unser gesamten Netz aufgrund von Attacken nicht oder nur schlecht erreichbar war. Für uns war dies das Signal, zusätzliche Abwehrmechanismen einzubauen.

Seit Ende Dezember 2015 ist unser Netzwerk darum durch ein sogenanntes Scrubbing-Center geschützt. Es säubert im Ernstfall den kompletten Datenverkehr von «bösen» Anfragen und wird aktiviert, wenn Angriffe Volumen erreichen, die unsere Netzanbindungen überlasten. Dank dem Scrubbing-Center stellen auch DDoS-Attacken mit sehr grossen Datenvolumen keine Probleme für unser Netzwerk mehr dar.

Motive der Angreifer

Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) sieht drei Hauptmotive hinter DDoS-Attacken:

Die Motivation hinter solchen DDoS-Attacken sind meistens politischer Aktivismus, Erpressung oder Schädigung eines Konkurrenten.


— Quelle: Melde- und Analysestelle Informationssicherung MELANI

DDoS-Attacken mit dem Motiv Erpressung werden in der Regel schriftlich vom Angreifer angekündigt, parallel wird eine «Kostprobe» eines Angriffs geboten und die Zielwebsite für kurze Zeit lahmgelegt. Das geforderte Schutzgeld soll an eine Bitcoin-Adresse überwiesen werden. Bleibt die Zahlung aus, droht ein paar Tage später ein länger dauernder Angriff.

DDoS-Attacken können abgewehrt werden

Drohen Ihnen Kriminelle mit einem Angriff auf Ihre Website? Nehmen Sie solche Erpresserschreiben ernst. Leider ist es heute mit wenig finanziellem Aufwand möglich, schlagkräftige DDoS-Angriffe in Auftrag geben. Lassen Sie sich jedoch nicht einschüchtern und zahlen Sie das verlangte Schutzgeld in keinem Fall. Wenden Sie sich an uns bzw. den Hosting-Provider Ihrer Website und melden Sie die Erpressung der Meldestelle MELANI. DDoS-Attacken können abgewehrt werden und auch der Rechtsweg ist nicht aussichtlos. Gerade diese Woche wurde bekannt, dass im vergangenen Dezember mögliche Drahtzieher hinter dem DDoS-Erpresser-Ring DD4BC (DDoS for Bitcoin) festgenommen wurden.

Beteilige dich an der Diskussion

6 Kommentare

Manuel
Manuel 18. Jan. 2016 09:29

Cool! Und welchen Anbieter verwendet ihr dafür im Ernstfall? CloudFlare?

Philipp Zeder
Philipp Zeder cyon
18. Jan. 2016 10:44

Hi Manuel, wir setzen da auf Link11.

Simon
Simon 14. Jan. 2016 18:41

Super dass hier endlich was gemacht wurde! Die Webseite war 2015 echt oft nicht erreichbar. Ich hoffe dies wird im 2016 massiv besser.
Grüsse Simon

Philipp Zeder
Philipp Zeder cyon
15. Jan. 2016 14:42

In der kurzen Zeit, in der das neue Scrubbing-Center im Einsatz ist, hat es uns bereits einige Angriffe vom Leib gehalten. Wir sind guter Dinge, dass uns das Center auch in Zukunft gute Dienste leisten wird.

Martin Meier
Martin Meier 14. Jan. 2016 17:50

Und wie reagiert Cyon auf DDoS?
Habt Ihr Abwehrmassnahmen oder blockiert Uhr einfach den Kunden?

Philipp Zeder
Philipp Zeder cyon
15. Jan. 2016 14:40

Hi Martin, danke für Deinen Kommentar. Wie im Abschnitt «Grösser, stärker, häufiger» beschrieben, kommen bei einem Angriff eine ganze Reihe von Gegenmassnahmen zum Einsatz. Die Sperrung des angegriffenen Accounts ist immer die letzte Wahl, wenn die anderen Massnahmen keinen Erfolg zeigen. In vielen Fällen lässt sich das eigentliche Ziel des Angriffs erst gar nicht erkennen. Lass mich gerne wissen, falls Du noch weitere Fragen hast.