DDoS für Dummies - Erster Teil

Der Name verrät wenig über die Art des Angriffs. Eine Gemeinsamkeit haben alle Attacken: Eine absichtlich herbeigeführte Ressourcenüberlastung (Netzwerk, CPU, DB, Personen etc.) so dass für normale Benutzer der Service unerreichbar wird. Der Angriff selbst kann auf verschiedenen Ebenen stattfinden.

Netzwerk-DDoS finden auf unterster Netzwerkebene statt und verwenden Elemente des Kommunikationsaufbaus.

• Bei einem TCP SYN Flood schickt der Angreifer viele SYN Pakete, antwortet jedoch nicht auf SYN-ACK Antwort vom Server. Die halboffene Verbindungen entziehen dem Server alle Ressourcen was ihn unerreichbar macht.
• Beim UDP Flood werden viele Pakete an zufällige Ports geschickt. Der Server überprüft jedes Paket, findet in der Regel keinen Service und antwortet mit einem "ICMP Destination unreachable" Paket. Unter dieser Last kann das Netzwerk oder der Server zusammenbrechen.
• ICMP Floods basieren auf dem Ping Befehl. ICMP Unreachable Pakete werden dabei in grosser Menge auf das Ziel umgeleitet. Die einzelnen Techniken können kombiniert werden um grösstmöglichen Schaden anzurichten. Oft verschleiern die Angreifer durch IP spoofing ihre echte IP, womit eine Rückverfolgung verunmöglicht wird.

Applikations-DDoS finden eine Ebene höher statt. Hier versucht der Angreifer z.B. Fehler in Applikationen (Webserver, PHP, Datenbanken) oder verwendeten Protokollen (HTTP, SQL etc.) auszunutzen. Auch hier ist das Ziel die Infrastruktur zu überlasten durch z.B. eine Darstellung aller im Webshop enthaltenen Artikel.

Werden verschiedene Angriffe kombiniert ist das Schadensausmass entsprechend höher. Wird zusätzlich die DNS Infrastruktur erfolgreich angegriffen, kommt alles zum Erliegen. Je nach Angriffsart gibt es unterschiedliche Verteidigungsmechanismen. Diese werden wir in einem zweiten Teil aufzeigen.

Fortsetzung: DDoS für Dummies - Zweiter Teil