SkipToMainContent

Privatsphäre

Was sind DDoS-Angriffe und wie kann man sie verhindern?


Verfasst von einem Mitarbeiter von NortonLifeLock

Bei einem DDoS-Angriff ("DDoS" steht für "Distributed Denial of Service") führt ein Hacker mithilfe einer Vielzahl von mit Malware infizierten Geräten einen konzentrierten Angriff auf eine Website, einen Server oder ein Netzwerk durch. Wenn Sie hören, dass eine Website von Hackern lahmgelegt wurde, ist die Wahrscheinlichkeit groß, dass dahinter ein DDoS-Angriff steckt.

Das Ziel eines solchen Angriffs ist es, eine Website mit Datenverkehr zu überfluten oder ein System mit einer Vielzahl von Anforderungen zu überlasten, bis es zum Absturz kommt. Dazu setzt der Hacker ein Botnet ein – ein Netzwerk aus mit Malware infizierten Geräten, auch "Zombie-Computer" genannt, die er fernsteuern kann.

Ganz allein kann er dieses Heer von Geräten dann gegen ein ausgewähltes Ziel ins Feld führen und dieses überwältigen – oft ohne das Wissen der Geräteinhaber. Ihr Handy, Computer oder Smart-TV Teil eines Angriffs sein, ohne dass Sie es mitbekommen.

Als die Messaging-App Telegram von einem DDoS-Angriff betroffen wurde, postete das Unternehmen eine passende Analogie auf Twitter.

"Stellen Sie sich vor, eine Armee von Lemmingen hat sich gerade vor Ihnen in die Schlange bei McDonald's eingereiht – und jeder Einzelne bestellt einen Whopper", twitterte das Telegram-Team. "Der Kellner hat alle Hände voll damit zu tun, den Lemmingen zu erklären, dass sie hier an der falschen Adresse sind, und weil es so viele sind, findet er keine Gelegenheit, Ihre Bestellung aufzunehmen."

Dies zeigt: Selbst wenn ein DDoS-Angriff keinen Absturz verursacht, kann er eine Website oder ein Netzwerk daran hindern, Anforderungen aus legitimen Quellen zu verarbeiten.

Wie funktioniert ein DDoS-Angriff?

DDoS-Angriffe gibt es seit Mitte der neunziger Jahre, doch nie traten sie häufiger auf als heute – mit immer ernsteren Folgen. Die Digital Attack Map bietet einen Überblick darüber, wie viele DDoS-Angriffe gerade in Echtzeit in aller Welt durchgeführt werden. Sie wird stündlich aktualisiert und zeigt, wie verbreitet diese Form der Cyberkriminalität inzwischen ist.

Bei einem einfachen Denial-of-Service-Angriff (DoS) wird eine Anforderung aus einer einzigen Quelle an eine Website übermittelt, wodurch es passieren kann, dass deren Ressourcen aufgebraucht werden. Ein solcher Angriff kann jedoch relativ leicht abgewendet werden. Sobald ein Hacker jedoch ein Botnet erstellt, indem er Hunderte oder Tausende von Geräten mit Malware infiziert, erhöhen sich die Chancen drastisch zu seinen Gunsten.

Bei einem DDoS-Angriff wird das Ziel von Tausenden von Geräten mit Nachrichten, Verbindungsanfragen oder gefälschten Paketen bombardiert. Dieser Verstärkungseffekt macht einen solchen Cyberangriff so beängstigend. Man kann ihn nicht abwehren, indem man einfach den Datenverkehr von einem bestimmten Rechner blockiert. Ein erfolgreicher DDoS-Angriff führt zum Absturz des Ziels, sei es ein Server, ein Dienst, eine Website oder ein Netzwerk.

Unterschiedliche Arten von DDoS-Angriffen

Hacker verfügen über ein breites Arsenal verschiedener DDoS-Angriffsarten, von denen sie auch mehrere in einem Feldzug kombinieren können, um den Störeffekt zu maximieren. Folgende Arten gehören zu den häufigsten.

Volumenbasierte Angriffe:

Bei dieser gängigen Angriffsart wird eine Website mit einer Fülle von Paketen oder Verbindungsanfragen überflutet, sodass es zur Überlastung von Bandbreite, Netzwerkgeräten oder Servern kommt. Sobald der Traffic nicht mehr verarbeitet werden kann, kommt es zum Absturz. Beispiele sind UDP (User Datagram Protocol) Floods, ICMP (Internet Control Message Protocol) Floods und andere Spoofed-Packet Floods.

Eine gängiges Beispiel ist der IP-Fragmentierungsangriff, bei dem Sicherheitslücken im Prozess der Fragmentierung von Datagrammen ausgenutzt werden. Bei diesem Prozess werden IP-Datagramme in kleinere Pakete aufgeteilt, an ein Netzwerk übermittelt und dann wieder zusammengesetzt. Bei einem entsprechenden Cyberangriff wird der Server mit gefälschten Datenpaketen überhäuft, die nicht wieder zusammengesetzt werden können.

Protokollangriffe:

Diese Angriffe zielen auf Netzwerkressourcen ab und überlasten Server, Firewalls oder Load Balancer. Beispiele sind SYN Floods ("SYN" steht für "synchronisieren"), UDP Floods und TCP (Transmission Control Protocol) Connection Exhaustion.

Bei SYN Floods wird beispielsweise eine Schwachstelle in der TCP-Übertragungssequenz ausgenutzt, die üblicherweise als Drei-Wege-Handschlag (engl. "Three-Way-Handshake") zwischen Host und Server bezeichnet wird. Der anvisierte Server erhält eine Anforderung, den Handshake zu starten, doch dieser Prozess wird niemals abgeschlossen, sodass der Port blockiert wird. Daraufhin sendet der Hacker weitere Anforderungen, um alle offenen Ports zu überlasten.

Anwendungsbasierte Angriffe:

Hierbei handelt es sich um komplexere Angriffe, bei denen die Drahtzieher Sicherheitslücken in der Anwendungs- oder Serversoftware ausnutzen. Sie sind oft schwerer zu erkennen als Angriffe auf ein Netzwerk. Beispiele sind HTTP Floods und HTTPS Floods.

Die betroffenen Anwendungen werden mit relativ langsamen Angriffen unter Beschuss genommen, die häufig wie legitime Anforderungen wirken, bis sie überlastet sind und nicht mehr reagieren können – dann ist es schon zu spät. Geschickte Angreifer setzen oft andere Arten von Cyberangriffen als Lockvogel ein, um von dieser starken Angriffsart abzulenken.

Was sind Beispiele für DDoS-Angriffe?

DDoS-Angriffe werden bei Cyberkriminellen immer beliebter. Drahtzieher sind beispielsweise Scriptkiddies, die ihre Hacking-Künste auf die Probe stellen möchten, ein Unternehmen, das einen Konkurrenten durch unlauteren Wettbewerb ausstechen will, oder ein  Betrüger, der seine Opfer zu erpressen versucht. DDoS-Angriffe kamen auch schon für politisch motivierte Aktionen zum Einsatz.

Der erste dokumentierte Angriff dieser Art fand 1996 statt. Doch erst eine DDoS-Attacke aus dem Jahr 2000, durchgeführt von einem 15-Jährigen, ließ die Welt aufhorchen. Michael Calce, auch bekannt als Mafiaboy, hackte sich in die Netzwerke mehrerer Universitäten und nutzte deren Server, um eine Reihe großer Websites zum Absturz zu bringen, darunter die von Amazon, CNN, Yahoo! und eBay. Dieser Fall von Cyberkriminalität veranlasste den damaligen Präsidenten Bill Clinton, eine Arbeitsgruppe für Cybersicherheit einzurichten, die sich mit dieser Art von Cyberbedrohung befassen sollte.

Neuerdings nutzen Cyberkriminelle DDoS-Angriffe gern zur Erpressung. Einige Hacker fordern zuerst ein Lösegeld und stellen ihre Fähigkeiten dann mit einem kleinen Angriff unter Beweis. Andere verlangen Lösegeld dafür, einen Angriff auf ein Ziel zu stoppen.

ProtonMail, ein Anbieter für verschlüsselte E-Mails aus der Schweiz, zahlte Hackern 2015 über 6.000 US-Dollar, nachdem sie seine Website mit einer Kombination aus verschiedenen DDoS-Angriffen lahmgelegt hatten. Die Hacker setzten den Angriff selbst nach Zahlung des Lösegelds fort – ein Beispiel, das zeigt, warum davon abgeraten wird, solchen Zahlungsforderungen Folge zu leisten.

Hacker sind ständig auf der Suche nach neuen Sicherheitslücken, und einige haben den Aufstieg des Internets der Dinge (Internet of Things, IoT) zum Aufbau gewaltiger Botnets missbraucht. Bei dem desaströsen Dyn-Angriff von 2016 wurden Smart-TVs, Drucker, Babyfone, Kameras und andere IoT-Geräte, die nicht so gut abgesichert sind wie Computer, mithilfe der Malware "Mirai" zu einem Botnet zusammengeschlossen.

Den Angreifern gelang es, die Websites von Internetgrößen wie Twitter, Amazon, Netflix und PayPal lahmzulegen. Nachdem der Entwickler der Software den Quellcode für Mirai in verschiedenen Hackerforen veröffentlicht hatte, konnten andere Hacker ihn nutzen, um ihre eigenen Versionen der Malware zu programmieren.

DDoS-Angriffe werden überdies immer schlagkräftiger. So richtete sich der größte DDoS-Angriff aller Zeiten im Februar 2020 gegen Amazon Web Services. Drei Tage dauerte er an und hatte eine Spitzenlast von 2,3 Tbps. Der zuvor größte aufgezeichnete Angriff erreichte eine Spitzenlast von 1,7 Tbps.

Hacktivisten haben DDoS-Angriffe sogar als Mittel des Cyberprotests eingesetzt – eine Entwicklung, aus der das Konzept des "Opt-in-Botnets" hervorgegangen ist. So erstellte Anonymous 2010 durch Crowdsourcing ein Botnet, um Websites von MasterCard und anderen Unternehmen lahmzulegen, wobei Personen ihre Geräte freiwillig für den Angriff zur Verfügung stellten.

Doch nicht nur Websites können ins Fadenkreuz der Hacker geraten. Auch Online-Gaming-Anbieter sind ein beliebtes Ziel für DDoS-Angriffe.

Heutzutage muss man nicht einmal ein Hacker sein, um einen DDoS-Angriff durchzuführen – von Cyberkriminellen erstellte Botnets kann man mittlerweile im Darknet kaufen oder pachten. Einsatzfertige DDoS-Kits sind angeblich schon für 10 US-Dollar pro Stunde erhältlich. Da überrascht es nicht, dass diese Art von Cyberangriff immer beliebter wird.

Woran erkenne ich einen DDoS-Angriff?

Ob man zum Ziel eines solchen Angriffs geworden ist, ist manchmal schwer zu sagen. Doch was sind die typische Anzeichen eines DDoS-Angriffs? Sie sollten die Frühwarnzeichen kennen, die darauf hindeuten können, dass Ihr Gerät angegriffen wird.

DDoS-Angriffe kündigen sich typischerweise folgendermaßen an:

  • Schleppender Zugriff auf lokale oder standortferne Dateien
  • Internetabstürze
  • Längere Unerreichbarkeit einer Website oder generelle Unerreichbarkeit aller Websites
  • Ein Übermaß an Spam-E-Mails

Kann man einen DDoS-Angriff stoppen?

Es ist schwierig, Ihr Gerät vor einem DDoS-Angriff zu schützen, doch es gibt ein paar Maßnahmen, mit denen Sie das Risiko verringern und den Schaden im Ernstfall begrenzen können. Vorbeugen ist besser als Heilen, daher lohnt es sich, Vorsichtsmaßnahmen zu ergreifen, um Ihr Gerät vor dieser Form der Cyberkriminalität zu schützen.

Wie kann ich einen DDoS-Angriff verhindern?

Eine gute Sicherheitsinfrastruktur und leistungsstarke Abwehrmaßnahmen sind der beste Schutz vor DDoS-Angriffen.

Mithilfe eines virtuellen privaten Netzwerks (VPN) können Sie Ihre IP-Adresse verbergen, was zum Schutz Ihres Geräts beitragen kann. Einige VPNs bieten Ihnen die Möglichkeit, jederzeit zu einem Remote-Server zu wechseln, was sich bei einem Angriff als nützlich erweisen kann.

Moderne DDoS-Szenarien sind hochkomplex und können aus einer Kombination von anwendungs-, volumen- und authentifizierungsbasierten Angriffe bestehen. Wir alle sollten unsere IoT-Geräte absichern, um die Figuren vom Spielbrett zu nehmen, die möglicherweise als Angriffswerkzeuge genutzt werden könnten. Die Absicherung Ihrer Geräte ist für Ihre Cybersicherheit unerlässlich und kann helfen zu verhindern, dass sie für kriminelle Zwecke missbraucht werden.

Was soll ich tun, wenn mein Gerät von einem DDoS-Angriff betroffen ist?

Wenn Sie eines der oben aufgeführten Anzeichen bemerken, sollten Sie zunächst ausschließen, dass es sich um einen Netzwerkfehler handelt.

Schalten Sie Ihren Computer aus und nehmen Sie das Netzwerkkabel sowie das Modem bzw. den Router vom Strom. Schließen Sie alles zehn Minuten später wieder an. Wenn das Problem danach noch immer besteht, wenden Sie sich an den Support Ihres Internet Service Providers (ISP). Möglicherweise müssen Sie Ihre IP zurücksetzen oder eine neue IP-Adresse anfordern, doch dabei kann Ihr Provider Ihnen helfen.

Die gute Nachricht ist, dass DDoS-Angriffe nicht ewig dauern. Viele enden nach ein paar Tagen. Sollten Sie Opfer eines Angriffs geworden sein, aktualisieren Sie Ihren Sicherheitsschutz so schnell wie möglich. Weiteren Angriffen steht nichts im Weg, darum sollten Sie diese Probleme umgehend beheben.

Achten Sie zum Schutz vor DDoS-Angriffen auf die kleinen Dinge

Die Zunahme von DDoS-Angriffen in jüngster Zeit ist natürlich besorgniserregend, doch es gibt Maßnahmen, mit denen Sie das Risiko verringern können.

Überprüfen Sie Ihre Geräte und Einstellungen, um potenzielle Sicherheitslücken zu identifizieren, und setzen Sie ein Lesezeichen für diesen Artikel, damit Sie wissen, was im Fall eines Angriffs zu tun ist. Hoffentlich wird es nie notwendig sein, aber es zahlt sich aus, vorbereitet zu sein.

Wie bei jeder Cyberbedrohung gilt auch hier: Einfach nur zu hoffen, dass es Sie nicht trifft, reicht nicht aus. Es ist einfacher, einen DDoS-Angriff zu verhindern, als ihn zu stoppen, wenn er erst einmal im Gange ist.

Ständig werden neue Technologien zum Schutz vor Cyberbedrohungen entwickelt. Doch keine Technologie der Welt kann Sie schützen, wenn Sie sich nicht regelmäßig darüber informieren, welche Gefahren im Netz lauern.

Die Zunahme dieser Art von Cyberbedrohungen hat zur Entwicklung von Hardware- und Softwarelösungen geführt, die Schutz vor den meisten DDoS-Angriffen bieten können. Wichtig ist, dass Sie potenzielle Sicherheitslücken in Ihrem System identifizieren, die besten Lösungen für Ihren Bedarf ermitteln und sicherstellen, dass Ihr Gerät über den nötigen Schutz verfügt.

Es gibt Lösungen, die helfen können, Ihr Gerät vor DDoS-Angriffen zu schützen und Ihnen Sicherheit zu geben, aber der erste Schritt zur Verhinderung eines Angriffs ist zu wissen, was Sie benötigen.

Nicht selten schlagen Cyberkriminelle zu, wenn Sie es am wenigsten erwarten. Daher lohnt es sich, Ihre Sicherheit mit einer umfassenden Lösung wie Norton 360 zu erhöhen. Sie bietet Ihnen ein VPN, mit dem Sie Ihre IP-Adresse verbergen können, Antivirus-Schutz für Ihre Geräte und einen Passwort-Manager, der Ihnen hilft, Ihre Konten abzusichern. Die Lösung kümmert sich um die kleinen Dinge, damit Sie sich auf das Wesentliche konzentrieren können.

Norton by Symantec ist jetzt Norton LifeLock. LifeLock™-Schutz gegen Identitätsdiebstahl ist nicht in allen Ländern verfügbar.

Copyright © 2021 NortonLifeLock Inc. Alle Rechte vorbehalten. NortonLifeLock, das NortonLifeLock-Logo, das Häkchen-Logo, Norton, LifeLock und das LockMan-Logo sind Marken oder eingetragene Marken von NortonLifeLock Inc. oder seinen verbundenen Unternehmen in den USA und anderen Ländern. Firefox ist eine Marke der Mozilla Foundation. Android, Google Chrome, Google Play und das Google Play-Logo sind Marken von Google, LLC. Mac, iPhone, iPad, Apple und das Apple-Logo sind in den USA und in anderen Ländern eingetragene Marken von Apple, Inc. App Store ist eine Servicemarke von Apple, Inc. Alexa und alle damit verbundenen Logos sind Marken von Amazon.com, Inc. oder seinen verbundenen Unternehmen. Microsoft und das Windows-Logo sind Marken der Microsoft Corporation in den USA und anderen Ländern. Der Android-Roboter wurde aus einem von Google erstellten und freigegebenen Werk wiedergegeben oder modifiziert und wird gemäß der in der Creative Commons 3.0 Attribution-Lizenz beschriebenen Bedingungen verwendet. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.