Schieb schreibt: Wenn plötzlich nichts mehr geht – Distributed Denial of Service

Schieb schreibt: Wenn plötzlich nichts mehr geht – Distributed Denial of Service

Diesmal hat sich unser Gastautor Jörg Schieb Gedanken über „Distributed Denial of Service“-Attacken gemacht. Wer glaubt, von solchen konzertierten Hackattacken, die komplette Server lahmlegen, wären nur Unternehmen betroffen, der täuscht sich.

Von Jörg Schieb

Besonders geduldig sind wir Internetbenutzer nicht gerade. Wenn wir eine Webadresse ansteuern, erwarten wir, dass blitzschnell möglichst die komplette Webseite erscheint. Kaum einer ahnt, welcher Aufwand im Hintergrund nötig ist, damit das auch klappt. Denn jeder Server kann nur eine begrenzte Zahl von Usern gleichzeitig bedienen, ohne in die Knie zu gehen. Kommen mehr Besucher als von den geplanten Kapazitäten vorgesehen, antwortet ein Server irgendwann nicht mehr.

Große Onlinedienste betreiben deshalb Hunderte, manche Tausende von Servern parallel, damit es erst gar nicht zu solchen Engpässen kommt. Sie müssen dafür sorgen, dass immer ausreichend Kapazitäten zur Verfügung stehen, egal ob um Mitternacht oder nachdem die Webseite im Fernsehen gezeigt wurde. Eine kleine Webseite, ein kleines Blog hingegen hat keine Chance: Kommen die Besucher in Scharen, ist irgendwann Schluss. Der Server stellt sich tot.

An der Tagesordnung: Gezielte Attacken auf Server

Es kommt immer wieder vor und gehört leider zur Tagesordnung, dass einzelne Server gezielt durch Überlastung ausgeknipst werden (sollen). Eine solche Aktion wird in der Fachsprache „Denial of Service“ (DoS) genannt, wenn für die Sabotage nur ein Rechner benutzt wird bzw. „Distributed Denial of Service“, wenn dafür ein ganzes Netzwerk von Rechnern für den Angriff eingesetzt wird. So eine DoS-Attacke kann beispielsweise eine Strafaktion sein, etwa weil eine Behörde, Firma oder Institution sich den Unbill von Hackern zugezogen hat. Oder weil ein Lösegeld erpresst werden sollte. Motto: Entweder ihr zahlt, oder wir legen Eure IT-Infrastruktur lahm. Wird nicht gezahlt, geht die DDoS-Attacke los. Jeden Tag werden unzählige Server auf diese Weise angegriffen, in der Regel, ohne dass die Öffentlichkeit etwas davon mitbekommt. In Deutschland sind solche Angriffe zwar als Computersabotage streng verboten, in der Praxis lassen sich die Urheber aber selten bis gar nicht ermitteln oder die Saboteure sitzen im Ausland.

Die IT-Techniker im Hintergrund sind solche DDoS-Attacken trotzdem gewohnt, sie gehören zu ihrem beruflichen Alltag. Um Attacken rechtzeitig abzuwehren, überwachen die von Experten entwickelten Systeme (also Hard- und Software) rund um die Uhr die Infrastruktur und erkennen DDoS-Angriffe in der Regel schnell und zuverlässig. Bei aller Mühe können Provider solche Angriffe jedoch weder vorhersehen, noch komplett die Folgen solcher Angriffe verhindern: Ein Angriff auf die Infrastruktur bleibt ein Angriff und kann deswegen auch nicht folgenlos bleiben. Zumindest kurzzeitige Ausfälle sind bei erfolgreichen DDoS-Attacken unvermeidbar. Verantwortlich dafür sind die Angreifer, nicht die Provider.

Verschiedene Gegenmaßnamen

Es gibt verschiedene mögliche Gegenmaßnahmen. Kleinere Angriffe lassen sich durch Filtermaßnahmen eindämmen (Sperrlisten). Diese Filterlisten sind dynamisch und werden „trainiert“, wie die Experten sagen. Werden auffällige Traffic-Muster erkannt, ist von einem Angriff auszugehen und der betreffende Rechner (IP-Adresse) landet auf der Sperrliste.

Auf diese Weise werden angreifende Rechner früher oder später einfach ignoriert. Bei größeren Angriffen müssen Firewalls vor den betroffenen Servern eingerichtet werden. Firewalls können auch selbständig aktiv werden, etwa, indem „Rate Limiting“ angewandt wird. Auffallend häufige Anfragen einzelner Rechner werden dann automatisch erkannt und abgewehrt, sie erreichen dann die Server gar nicht mehr. Grenzrouter können zudem ungültige Absenderadressen erkennen und ebenfalls DDoS-Attacken abwehren helfen.

Längst nicht alle DDoS-Attacken verlaufen erfolgreich

Ob sich eine DDoS-Attacke erfolgreich abwehren lässt oder nicht, hängt von vielen Faktoren ab. Unter anderem, wie viele Rechner im angreifenden Botnet zusammengeschlossen sind, wie schnell die Attacke erkannt werden kann und welche Gegenmaßnahmen eingeleitet werden. Manche DDoS-Attacken verlaufen im Sand – einige aber auch nicht, die sind erfolgreich. Vor allem, wenn die Zahl der Angreifer groß ist, kann es eine Weile dauern, bis der Schad-Traffic erfolgreich gefiltert werden kann.

Ist die Zahl der Angreifer zu groß, fällt der betroffene Server aus. Dadurch können auch Webangebote betroffen sein, die mit der Attacke selbst gar nichts zu tun haben, vor allem im „Shared Hosting“: Hier teilen sich mehrere Webpräsenzen einen Server. Wird eine Webpräsenz angegriffen, sind auch alle anderen auf diesem Server betroffen. Das lässt sich weder technisch noch organisatorisch vermeiden: Wird eine Bank überfallen, wird mit Sicherheit die ganze Straße gesperrt, bis alles vorbei ist. Ähnlich ist es bei DDoS-Attacken.

Allerdings dauern die wenigsten DDoS-Attacken lange. Wenn die eigentliche DDoS-Attacke nachlässt oder die dynamisch angepassten Filter erfolgreich arbeiten, kann der Server wieder normal arbeiten, die User können dann wieder erfolgreich darauf zugreifen. Die gute Nachricht: Eine DDoS-Attacke hat praktisch nie Datenverlust zur Folge, auch sind damit weder Datendiebstahl noch Manipulationen verbunden. Hackangriffe erfolgen möglichst lautlos, schließlich will man nicht entdeckt werden – eine DDoS-Attacke ist so ziemlich das Gegenteil: DDoS-Attacken sind lautes Getöse.

Warum jeder einzelne PC ein Problem sein kann

Wer nun glaubt: Ich betreibe keine Webseite, ich habe keinen Onlineshop, ich schreibe nicht mal einen Blog und habe deswegen mit all dem rein gar nichts zu tun, der täuscht sich. Denn viele DDoS-Attacken werden über so genannte Botnetze realisiert. Da werden Hunderte, manchmal Tausende von infizierten PCs zu einem unsichtbaren, aber effektiven Netzwerk zusammengeschlossen, um zu einer bestimmten Zeit einen ganz bestimmten Server zu attackieren. Wenn Tausende von PCs den Befehl bekommen, mehrere Hundert Mal in der Sekunde einen Server anzusprechen, bricht der garantiert irgendwann zusammen.

Da kann auch der eigene PC zu Hause oder auf dem Schreibtisch mit von der Partie sein. Denn hat sich irgendwann ein Trojaner eingeschlichen, weil eine Sicherheitslücke im Browser oder in einer anderen Software nicht gestopft wurde, kann auf dem betroffenen PC eine „Backdoor“ geöffnet worden sein, eine Hintertür. Oft warten derart infizierte Systeme wochenlang auf einen Befehl. Mitunter werden sie zum illegalen Spam-Versand missbraucht, manchmal aber auch für eine DDoS-Attacke, um einen Server auszuschalten – oft genug, ohne dass der betroffene PC-Benutzer davon etwas mitbekommt. Darum ist es sinnvoll und empfehlenswert, seinen PC mit Antiviren-Software zu schützen, vor allem Windows-Rechner.

Über den Autor:

Jörg Schieb ist Buchautor und Journalist aus Düsseldorf, unter anderem arbeitet und moderiert er für das WDR Fernsehen, den WDR Hörfunk, wdr.de, Deutschlandradio Kultur, Stiftung Warentest und viele andere.

 

 

Teilen

  1. Avatar

    Micha Bauer sagte am

    Ja und was tut man denn jetzt, wenn Strato „einfach so“ einen Rechner sperrt, obwohl man sicher ist, dass von einem vServer keine dDos-Attacke ausgeht oder daran beteiligt ist? Ich habe das Passwort geaendert, den Rechner via Serverkonfiguration->RecoveryManager neu gestartet, aber es passiert nichts… Fuer einen Hinweis waere ich dankbar…

    Antworten
    • Avatar

      Christina Witt sagte am

      Hallo Michael,

      um Dir helfen zu können, benötigen wir von Dir eine E-Mail mit Kundennummer und Hostnamen des Servers an blog[at]strato.de. Wir freuen uns auf Deine E-Mail.

      LG
      Christina

      Antworten
  2. Avatar

    Joachim Wirth sagte am

    Ich bekam den Link zu diesem Blogbeitrag aus aktuellem Anlass: ich kann in meinem Blog nicht mehr auf die Datei wp-login.php zugreifen. Wenn ich sie umbenenne geht es, aber damit kommt man trotzdem nicht ins Backend von WordPress.

    Offensichtlich gab es eine Brute-Force-Attacke auf den Login. Irgend ein Skript hat vermutlich massenhaft diese Datei aufgerufen und verschiedenste Passwörter ausprobiert.

    Die Admins bekamen das mit, oder es gibt vermutlich sogar einen Automatismus und ein vorgeschalter Filter ließ fortan keinen Zugriff auf die besagte Datei mehr zu.

    Verständliche Maßnahme gegen Einbrecher, die Tür wird einfach entfernt, aber mit einem Haken für den Kunden: er kommt nun selbst nicht mehr rein.

    Bin gespannt, wann die Tür wieder zugänglich ist. Dann werde ich auf jeden Fall alle möglichen Maßnahmen ergreifen, dass diese Brute-Force-Attacken so nicht mehr vorkommen.

    Antworten
    • Avatar

      Christina Witt sagte am

      Hallo Joachim,

      hast Du ein Hosting-Paket bei uns? Wenn ja, dann könnte es sein, dass Du Dich aktuell nicht ins Backend von WordPress einloggen kannst, weil die Admin-Oberflächen von WordPress und Joomla! aktuell angegriffen werden. Wir haben Gegenmaßnahmen eingeleitet. Vereinzelt treten aber noch Einschränkungen auf. Auf unserer Facebook- oder Twitter-Seite informieren wir aktuell darüber. Dort bekommst Du bei den Kollegen von STRATO hilft auch Hilfe.

      Liebe Grüße
      Christina

      Antworten
      • Avatar

        Joachim Wirth sagte am

        Ja, ich habe ein Hosting-Paket bei Strato.
        Danke für die Hinweise, es geht nun wieder. Es gibt ein WordPress-Plugin, damit lässt sich die wp-login.php „virtuell“ umbenennen, damit laufen Skript-Angriffe (Brute-Force) meist ins Leere. Der Admin sollte auch besser nicht admin heißen und selbstverständlich sollte man nicht 123456 als Passwort verwenden ;-).

        Schade, dass ihr über Facebook informiert, ich boykottiere diese Datensammler. Einen Blog wie diesen hier würde ich bevorzugen.

        LG
        Joachim

        Antworten
  3. Avatar

    Peter sagte am

    Wieder ein gelungener Betrag von der „Legende“ Jörg Schieb.
    Ich habe schon vor 10 Jahren seine Bücher gelesen.
    Viele Grüße
    Peter

    Antworten
  4. Avatar

    Johannes sagte am

    Hi, ich wollte mal fragen, ob die Hacker auch Server von anderen hacken um damit eine DDoS-Attacke durchzuführen?
    Gruß, Johannes

    Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen