DDoS-Attacke: Wenn Angreifer Websites lahmlegen
Geschrieben von Andreas am Freitag, 25. August 2017
Im Herbst sorgte ein sogenannter DDoS-Angriff dafür, dass Dienste wie Spotify, Twitter und Netflix in weiten Teilen der USA nicht mehr erreichbar werden. Wir erklären heute, was hinter solchen Angriffen steckt und wie wir unsere Kunden im Ernstfall vor Ausfällen schützen.
DDoS steht für “Distributed Denial of Service”, was man mit “verteilte Service-Blockade” übersetzen kann. Den Angreifern geht es also darum, eine Webseite oder auch ein ganzes Netzwerk lahmzulegen, meist um einer bestimmten Organisation zu schaden oder sie zu erpressen.
Bei einem DoS-Angriff werden Infrastruktursysteme bewusst mit Anfragen überhäuft, um eine Überlastung herbeizuführen. Die Folge: Der angegriffene Server ist durch die Flut an Anfragen nicht mehr in der Lage, diese abzuarbeiten und es bleiben auch legitime Anfragen, wie z. B. ein normaler Website-Aufruf, auf der Strecke.
DoS und DDoS
Im Gegensatz zu einfachen „Denial of Service“-Attacken (DoS), erfolgt ein „Distributed Denial of Service“-Angriff (DDoS) ausgehend von mehreren Rechnern, wodurch das Ausmaß des Angriffs um ein Vielfaches gesteigert werden kann. Da die Attacke über eine große Anzahl verschiedener IP-Adressen kommt, gestaltet sich die Abwehr von DDoS-Angriffen sehr schwierig.
Bei DDoS-Angriffen kommen meistens sogenannte Botnetze ins Spiel. Diese setzen sich aus vielen, mit Schadsoftware infizierten Rechnern zusammen. Die Angreifer sind damit Herr über eine ganze Armee von Geräten und können jederzeit per Knopfdruck einen Angriff starten – ohne, dass die eigentlichen Besitzer der Geräte dies überhaupt bemerken.
Beim eingangs erwähnten Beispiel kamen die Angriffe nicht etwa von PCs, sondern von „gekaperten“ Sicherheitskameras, Kühlschränken oder Thermostaten – also von verschiedenen Netzwerkgeräten, die unbeachtet in unzähligen Haushalten auf der ganzen Welt verteilt sind und häufig nur unzureichend mit Sicherheitsupdates versorgt werden.
DDoS-Schutz bei Limitis
Auch die Infrastruktur von Limitis ist schon von DDoS-Angriffen betroffen gewesen. Aktuell läuft deshalb die schrittweise Implementierung eins DDoS-Schutzes.
Dieser besteht aus sogenannten "Scrubbing-Centers", die bei Bedarf aktiviert werden, um „böse Anfragen“ zu blockieren und „gute Anfragen“ zum Zielserver weiterzuleiten. Ermöglicht wird dies durch eine Änderung im Routing des eingehenden Datenverkehrs, sprich: Alle Anfragen, die an unser Netz (AS50178) gerichtet sind, werden zuerst an die nächstgelegene "Scrubbing-Station" unseres "DDoS-Schutz-Providers" (Frankfurt, Washington oder Moskau) weitergeleitet und ggf. dort blockiert.
Auf diese Weise können wir Server- und Webhosting-Kunden wirksam vor Ausfällen schützen.
Illustration oben: "How a botnet works" von Tom-b (Lizenz: CC BY-SA 3.0)
