DDoS
Distributed Denial of Service — ein Angriff, bei dem massenhaft Anfragen von verteilten Quellen einen Dienst gezielt überlasten und lahmlegen.
Distributed Denial of Service (DDoS) bezeichnet einen Angriff, bei dem eine große Anzahl verteilter Systeme gleichzeitig Anfragen an ein Ziel sendet, um dessen Ressourcen zu erschöpfen und den Dienst für legitime Nutzer unerreichbar zu machen. Im Unterschied zu einem einfachen DoS-Angriff von einer einzelnen Quelle nutzen DDoS-Angriffe typischerweise Botnets mit tausenden oder hunderttausenden kompromittierten Geräten. Die Angriffe sind dadurch schwerer abzuwehren, weil der schädliche Verkehr aus vielen verschiedenen Quellen kommt und sich nicht durch einfaches Sperren einzelner IP-Adressen stoppen lässt.
Angriffstypen
DDoS-Angriffe lassen sich nach der Netzwerkschicht kategorisieren, auf die sie abzielen. Jeder Typ erfordert unterschiedliche Abwehrstrategien.
| Typ | Schicht | Methode | Ziel |
|---|---|---|---|
| Volumetrisch | L3/L4 | UDP-Flood, DNS-Amplification, NTP-Reflection | Bandbreite der Anbindung sättigen |
| Protokoll | L3/L4 | SYN-Flood, ACK-Flood, TCP-State-Exhaustion | Zustandstabellen von Firewalls und Load Balancern füllen |
| Application Layer | L7 | HTTP-Flood, Slowloris, API-Abuse | Webserver- und Anwendungsressourcen erschöpfen |
Amplification-Angriffe sind besonders effektiv: Der Angreifer sendet kleine Anfragen mit gefälschter Absenderadresse an offene DNS- oder NTP-Server, die mit deutlich größeren Antworten an das eigentliche Ziel antworten. So lässt sich der Angriffsverkehr um ein Vielfaches verstärken.
Ablauf eines DDoS-Angriffs
Ein DDoS-Angriff beginnt mit der Vorbereitung: Der Angreifer baut oder mietet ein Botnet, identifiziert das Ziel und wählt die Angriffsmethode. In der Angriffsphase senden die Bots koordiniert Anfragen, oft mit wechselnden Vektoren, um Abwehrmaßnahmen zu erschweren. Moderne DDoS-Angriffe kombinieren häufig mehrere Angriffstypen gleichzeitig — etwa einen volumetrischen Angriff als Ablenkung, während ein gezielter Application-Layer-Angriff die eigentliche Schwachstelle trifft.
Motivation der Angreifer
DDoS-Angriffe dienen verschiedenen Zwecken: Erpressung (Ransom-DDoS), bei der Angreifer mit anhaltenden Angriffen drohen, wenn kein Lösegeld gezahlt wird, Ablenkung von gleichzeitig stattfindenden Einbruchsversuchen, Wettbewerbssabotage, politischer Aktivismus oder schlichter Vandalismus. DDoS-as-a-Service-Plattformen — oft verharmlosend als Booter oder Stresser vermarktet — senken die Einstiegshürde auf ein Minimum.
Abwehrmaßnahmen
Effektiver DDoS-Schutz arbeitet auf mehreren Ebenen. Upstream-Filterung durch spezialisierte DDoS-Mitigation-Provider oder CDN-Anbieter absorbiert volumetrische Angriffe, bevor sie das eigene Netzwerk erreichen. Firewalls und Load Balancer mit Rate Limiting und SYN-Cookie-Schutz wehren Protokoll-Angriffe ab. Für Application-Layer-Angriffe sind Web Application Firewalls mit verhaltensbasierter Erkennung notwendig. Wir finden in Assessments häufig, dass Unternehmen zwar DDoS-Schutz eingekauft haben, aber die Konfiguration nie an ihre tatsächliche Infrastruktur angepasst wurde — etwa fehlende Origin-IP-Verschleierung, die den Schutz komplett umgehen lässt.
Vorbereitung und Response
Ein DDoS-Angriff erfordert schnelle Reaktion. Ein vorbereiteter Incident-Response-Plan sollte Eskalationswege zum DDoS-Mitigation-Provider, Kommunikationsvorlagen für Kunden und interne Zuständigkeiten definieren. Regelmäßige Belastungstests der eigenen Infrastruktur zeigen Schwachstellen auf, bevor Angreifer sie finden. Die Dokumentation aller Angriffe — inklusive Verkehrsmuster, Dauer und eingesetzter Gegenmaßnahmen — verbessert die Reaktionsfähigkeit bei zukünftigen Vorfällen.
Relevanz für KMUs
Für KMUs können bereits vergleichsweise kleine DDoS-Angriffe geschäftskritisch sein, da Webshops, Kundenportale oder VPN-Zugänge ausfallen. Im Gegensatz zu Großunternehmen verfügen sie selten über redundante Infrastruktur, die einen Angriff abfangen könnte. Cloud-basierte DDoS-Schutzlösungen bieten einen pragmatischen Einstieg, da sie keine eigene Hardware erfordern. Entscheidend ist, den Schutz nicht erst nach dem ersten Angriff zu implementieren, sondern präventiv — inklusive eines getesteten Notfallplans und klar definierter Ansprechpartner beim Hosting-Provider.