DDoS

DDoS, kurz für Distributed Denial of Service, ist ein verteilter Dienstverweigerungsangriff. Sein Ziel besteht darin, eine Website, einen Server, eine Anwendung, ein Netzwerk oder einen anderen digitalen Dienst mit einer großen Anzahl von Anfragen zu überlasten, sodass dieser für reguläre Nutzer nicht mehr erreichbar ist.

Anders als bei einem herkömmlichen DoS-Angriff, bei dem der Datenverkehr aus einer einzigen Quelle stammt, wird ein DDoS-Angriff von vielen Geräten gleichzeitig ausgeführt. Dazu können infizierte Computer, Server, Router, IoT-Geräte oder andere Knoten gehören, die zu einem Botnetz zusammengeschlossen sind. Aufgrund seiner verteilten Natur ist ein solcher Angriff schwerer zu blockieren: Schädlicher Datenverkehr kommt von verschiedenen IP-Adressen, aus unterschiedlichen Ländern und Netzwerken.

DDoS-Angriffe sind für Unternehmen gefährlich, weil sie unmittelbar die Verfügbarkeit von Diensten beeinträchtigen. Wenn eine Website, ein Kundenkontobereich, ein Online-Shop, eine API oder ein Unternehmensportal nicht mehr reagiert, verliert das Unternehmen Leads, Bestellungen und das Vertrauen der Kunden und kann finanzielle Einbußen erleiden.

Wie ein DDoS-Angriff funktioniert

Bei einem DDoS-Angriff lenkt ein Angreifer einen großen Strom von Anfragen oder Netzwerkverkehr auf das Ziel. Das System versucht, diese Anfragen zu verarbeiten, doch die Ressourcen reichen nicht aus: Der Kommunikationskanal, der Server, der Load Balancer, die Firewall oder die Anwendung selbst werden überlastet.

Der Angriff kann sich gegen verschiedene Infrastrukturebenen richten. Manchmal besteht das Ziel darin, den Netzwerkkanal mit großem Datenvolumen zu sättigen. In anderen Fällen senden Angreifer eine große Anzahl von Anfragen an eine Anwendung, etwa eine Anmeldeseite, eine Suchfunktion, einen Warenkorb oder eine API. Solche Angriffe können dem Verhalten echter Nutzer ähneln, was es erschwert, sie von normaler Auslastung zu unterscheiden.

DDoS wird häufig nicht nur als eigenständige Bedrohung eingesetzt, sondern auch als Ablenkungsmanöver. Während das IT-Team mit der Nichtverfügbarkeit eines Dienstes beschäftigt ist, können Angreifer versuchen, weitere Aktionen durchzuführen: Passwörter durch Brute-Force zu knacken, nach Schwachstellen zu suchen oder benachbarte Systeme anzugreifen.

Cyber-Security-Services

Wichtigste Arten von DDoS-Angriffen

DDoS-Angriffe unterscheiden sich in Mechanik und Ziel. Einige überlasten das Netzwerk, andere wirken sich auf die Serverressourcen oder die Anwendungsebene aus. Für den Schutz ist es wichtig, genau zu verstehen, welche Art von Datenverkehr das Problem verursacht.

Zu den wichtigsten Arten von DDoS-Angriffen gehören:

volumetrische Angriffe, die den Internetkanal mit einer großen Menge an Datenverkehr überlasten;
Protokollangriffe, die auf Netzwerkgeräte, Load Balancer und Firewalls abzielen;
Angriffe auf die Anwendungsebene, die Anfragen an eine Website, eine API oder eine Anwendung imitieren;
Amplification-Angriffe, bei denen der Angreifer Drittserver zur Verstärkung des Datenverkehrs nutzt;
mehrschichtige Angriffe, die mehrere Methoden gleichzeitig kombinieren.

Bei einem Angriff auf die Anwendungsebene kann eine Website beispielsweise Tausende Anfragen an eine ressourcenintensive Seite erhalten. Der Netzwerkkanal ist möglicherweise nicht vollständig ausgelastet, doch die Anwendung reagiert aufgrund der Belastung der Datenbank oder des Backends nicht mehr.

Woran sich ein DDoS-Angriff erkennen lässt

Die Anzeichen eines DDoS-Angriffs hängen von dessen Art ab. Manchmal ist ein Dienst vollständig nicht erreichbar. In anderen Fällen bemerken Nutzer langsam ladende Seiten, Anmeldefehler, abbrechende Verbindungen oder einen instabilen Betrieb bestimmter Funktionen.

Auf einen DDoS-Angriff können ein starker Anstieg des eingehenden Datenverkehrs, eine große Anzahl identischer Anfragen, eine ungewöhnliche geografische Verteilung der Anfragen sowie eine erhöhte Auslastung von Prozessor, Arbeitsspeicher, Datenbank oder Netzwerkgeräten hindeuten. Häufig steigt zudem die Anzahl der 5xx-Fehler, Zeitüberschreitungen und Verbindungsabbrüche.

Es ist wichtig, einen Angriff von einem regulären Traffic-Anstieg zu unterscheiden. So kann etwa erhöhter Datenverkehr nach einer Werbekampagne oder einer Medienveröffentlichung ähnlich aussehen. Für die Analyse werden daher Monitoring, Logs, WAF, DDoS-Schutzsysteme, Netzwerkanalysen und Daten des Anbieters herangezogen.

DDoS-Schutz

DDoS-Schutz sollte im Voraus vorbereitet werden. Wenn ein Angriff bereits begonnen hat, bleibt in der Regel wenig Zeit, die Infrastruktur zu konfigurieren. Ein grundlegender Ansatz umfasst die Überwachung des Datenverkehrs, redundante Ressourcen, das Filtern verdächtiger Anfragen und den Einsatz spezialisierter Schutzdienste.

Für Websites und Anwendungen kommen häufig CDN, WAF, Rate Limiting, Load Balancing, geografische Filterung sowie ein Schutz auf der Seite des Hosting-Anbieters oder Rechenzentrums zum Einsatz. Für die Netzwerkinfrastruktur sind eine ausreichende Kanalbandbreite, eine Filterung auf Anbieterebene, eine entsprechende Routing-Konfiguration und die Möglichkeit, den Datenverkehr schnell über ein Scrubbing-Center umzuleiten, wichtig.

Ein Unternehmen sollte zudem im Voraus einen Incident-Response-Plan vorbereiten: wer trifft Entscheidungen, welche Systeme werden zuerst überprüft, welche Ansprechpartner beim Anbieter stehen zur Verfügung, wie werden Kunden informiert und wie werden die Folgen des Vorfalls dokumentiert.

FAQ

Was ist DDoS einfach erklärt?

DDoS ist ein Angriff, bei dem eine Website, ein Server oder eine Anwendung mit einer großen Anzahl von Anfragen von unterschiedlichen Geräten überlastet wird. In der Folge arbeitet der Dienst nur noch langsam oder ist gar nicht mehr erreichbar.

Worin unterscheidet sich DDoS von DoS?

Ein DoS-Angriff stammt in der Regel aus einer einzigen Quelle, ein DDoS-Angriff hingegen aus vielen Quellen gleichzeitig. Aus diesem Grund lässt sich ein DDoS-Angriff über eine einzelne IP-Adresse oder eine einzelne Netzwerkrichtung schwerer blockieren.

Welche Dienste sind am häufigsten Ziel von DDoS-Angriffen?

Zu den häufigsten Zielen zählen Websites, Online-Shops, Game-Server, APIs, Bankdienste, SaaS-Plattformen, Unternehmensportale und die Infrastruktur von Anbietern. Jeder über das Internet erreichbare Dienst kann zum Ziel werden.

Ist ein vollständiger Schutz vor DDoS möglich?

Das Risiko lässt sich nicht vollständig ausschalten, die Folgen können jedoch erheblich reduziert werden. Dafür kommen ein spezialisierter DDoS-Schutz, CDN, WAF, Traffic-Filterung, Monitoring, Redundanz und ein vorbereiteter Reaktionsplan zum Einsatz.

Was ist während eines DDoS-Angriffs zu tun?

Es ist notwendig, die Ursache des Problems zu bestätigen, den Anbieter oder Schutzdienst zu kontaktieren, die Traffic-Filterung zu aktivieren, verdächtige Anfragen zu begrenzen und den Zustand der Infrastruktur zu überwachen. Nach dem Angriff ist es wichtig, die Logs auszuwerten und den Schutz zu verstärken.

🠔 Zurück zum Glossar