profile

Michael Mayer

DDoS: Armdrücken im Internet

Published about 1 month ago • 4 min read

Stell dir mal vor, deine Internet-Leitung wäre eine Autobahn. Die Autos, die darauf fahren, sind deine Datenpakete. Plötzlich kommen dir tausende Autos entgegen, blockieren alle Spuren und verstopfen den gesamten Datenverkehr.

Das nennt sich DDoS-Attacke und steht für “Distributed Denial of Service”.
Auf Deutsch: Verteilte Dienstverweigerung. Wer mehr Bandbreite (Autos) hat, gewinnt!

Was ist Bandbreite?

Ja, ich weiß, Basics! 🤓 Hier trotzdem nochmal zur Auffrischung. Die Bandbreite einer Internet-Verbindung wird in Bit pro Sekunde gemessen. Eine 100/20-MBit/s-Leitung kann 100 Millionen Bit pro Sekunde empfangen (Download) und 20 Millionen Bit pro Sekunde versenden (Upload).

Konsumenten haben eine höhere Download-Geschwindigkeit als Upload. Wenn du eine Anfrage versenden willst, brauchst du weniger Bandbreite, als wenn du das Angefragte herunterlädst. Wenn du zum Beispiel einen Film auf Netflix streamen willst, brauchst du mehr Bandbreite, als wenn du Netflix kurz sagst, dass du den Film jetzt schauen möchtest. Deshalb braucht Netflix mehr Upload als Download. Die meisten Firmen, die Online-Dienste bereitstellen, haben eine symmetrische Leitung. Das heißt, dass der Upload und der Download gleich schnell sind.

Was ist eine DDoS-Attacke

Wenn mehr Leute Netflix schauen wollen, als Bandbreite bei Netflix vorhanden ist, gibt's Probleme. Einige werden einen Totalausfall haben und bei anderen wird der Stream nicht flüssig laufen und ruckeln. Die Bandbreite wird zum Flaschenhals.

Eine DDoS-Attacke ist im Prinzip das Gleiche, nur dass sie gezielt und böswillig ist. Wenn Angreifer mehr Internet-Bandbreite haben als du, können sie deine Dienste zum Stillstand bringen. Deine Firewall oder die Server dahinter werden mit mehr Anfragen überflutet, als sie abarbeiten können.

Dafür gibt es mehrere Möglichkeiten. Hier ein paar Beispiele:

  • Du brauchst viel CPU-Power und RAM, um mit so vielen SYN-Paketen überhaupt klarzukommen. Das ist ein protokollbasierter Angriff, der eine Schwäche von TCP ausnutzt.
  • ICMP Flood: Das Zielsystem wird mit Pings überflutet. Das überlastet das System zwar nicht so stark wie SYN Floods, aber hier zählt nur die rohe Kraft, also Bandbreite. Wer mehr hat, gewinnt. Das ist ein volumetrischer Angriff.
  • Ping of Death: Da werden fehlerhafte oder übergroße Ping-Pakete versendet, um das System zum Absturz zu bringen. Der Ping of Death ist eigentlich Schnee von gestern, weil diese Schwachstelle schon in den späten 90ern geschlossen wurde. Im Jahr 2013 musste Microsoft nochmal einen Patch rausbringen, weil ihre IPv6-Implementierung wieder anfällig dafür war. 😬
  • HTTP Flood: Das geht nur bei Webservern. Es werden so viele GET/POST-Anfragen geschickt, bis der Server überlastet ist. Wie bei SYN brauchen die Webserver hier auch viel Rechenleistung, um nicht unterzugehen.
  • Kombination: Die Angriffsmöglichkeiten werden auch oft kombiniert, um den maximalen Effekt zu erzielen.

Fassen wir es zusammen: Der mit mehr Kraft gewinnt. Wie beim Armdrücken! 💪

Wie bekommen Hacker so viel Bandbreite?

Durch Botnets. "Bot" steht für "Roboter", also ein Netzwerk aus ferngesteuerten Geräten, die gehackt wurden. Das können Computer, Server, mobile Geräte, aber auch IoT-Geräte sein, wie Router, Firewalls, IP-Cams oder VoIP-Telefone.

Jepp, die Kamera im Schlafzimmer aus dem letzten Artikel über Shodan kann man nicht nur anschauen, sondern auch hacken und in einem Botnet verwenden. Selbst wenn du nur 10 MBit/s Upload hast und die Kamera von der CPU-Leistung her nur 5 MBit/s schafft, ist das schon genug. Wenn man weltweit 200 dieser Kameras kontrolliert, dann sind das auch schon 1.000 MBit/s, bzw. 1 GBit/s.

Gehackte Server von Firmen schaffen natürlich noch mehr Bandbreite. Das können auch gemietete Cloud-Server sein, die mit gestohlener Kreditkarte bezahlt wurden. Oder ein altes Android-Smartphone, das über eine LTE-Leitung auch eine beachtliche Bandbreite schafft.

Berühmte Fälle

Hier ist eine kleine Liste mit den interessanteren Fällen der letzten Jahre:

  • Estland 2007: Auslöser war ein politischer Streit mit Russland über die Versetzung eines sowjetischen Kriegerdenkmals in Tallinn. Über Wochen hinweg wurden Regierungsportale, Banken, Medien und DNS-Server per DDoS lahmgelegt. Estland war darauf nicht vorbereitet und auch die Kommunikationskanäle der Regierung fielen aus. Es reichten ein paar GBit/s Bandbreite, um das ganze Land offline zu nehmen. Das hat dann zur Gründung des NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) in Tallinn geführt. Glück im Unglück!
  • Kirgisistan 2009: Hier wird gemunkelt, dass auch Russland seine Finger im Spiel hatte. Die zwei größten Internet-Provider des Landes wurden per DDoS angegriffen. Weil das Internet-Backbone von Kirgisistan über die zwei Provider lief, war das gesamte Land praktisch offline. Es wurden hauptsächlich die DNS-Server angegriffen. Dafür waren nur ein paar GBit/s nötig.
  • Dyn 2016: Der DNS-Provider Dyn wurde über das Mirai-Botnet angegriffen und war für massive Ausfälle in den USA und der EU verantwortlich. Services wie Amazon, BBC, CNN, GitHub, PayPal, PlayStation Network, Reddit, Shopify, Slack, Squarespace, Spotify, Starbucks, Twitter, Visa und Xbox Live waren einen Tag lang nicht verfügbar. Dafür hat man eine Bandbreite mit 1,2 TBit/s, also 1.200 GBit/s, oder 1.200.000 MBit von über 100.000 infizierten Geräten eingesetzt.

Wie kann ich mich schützen?

Solange du keine Regierung oder ein politisch umstrittenes Unternehmen bist, brauchst du dir eigentlich keine Sorgen zu machen. Eine Garantie ist das trotzdem nicht, denn man kann DDoS-Dienste im Darknet bereits für wenige Euro pro Minute buchen.

Es gibt DDoS-Protection-Services von Firmen wie Cloudflare, Akamai, Amazon AWS und Microsoft Azure. Sie sind wie eine Art Schutzschild, der vor deinen Web-Services geschaltet wird und nur legitimen Traffic durchlässt. Der große Vorteil ist, dass deine echte IP-Adresse dadurch verschleiert wird und nicht direkt attackiert werden kann.

Cloudflare wirbt aktuell mit mehr als 400 TBit/s Bandbreite, um auch gegen die größten Angriffe gewappnet zu sein. Es gibt sogar ein gratis Produkt für Dienste, die nicht geschäftskritisch sind.

Du kannst auch DDoS-Simulationen buchen oder selbst durchführen. So siehst du, wie stark deine Infrastruktur gegen Angriffe ist. Aber pass auf! Das solltest du nur bei deiner eigenen Infrastruktur machen. Es bringt nichts und ist auch nicht legal, einen DDoS-Test auf SaaS-Anbieter wie Squarespace oder Microsoft 365 durchzuführen.

Es schadet auf alle Fälle nicht deine verfügbare Bandbreite mit deinem Monitoring-Tool zu überwachen und auch die CPU / RAM Last deiner Firewall im Blick zu haben.

Fazit

So ein DDoS-Angriff ist echt heftig. Als einzelne Person oder Firma kann man gar nichts dagegen ausrichten.

Aber das sind auch keine typischen Angriffe, mit denen mittelständische Unternehmen zu kämpfen haben. Falls doch, kann man sich zu vertretbaren Preisen guten Schutz kaufen. Im Gegensatz zum Stau auf der Autobahn ist der Daten-Highway dann frei. 😉

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Stell dir eine IT-Messi-WG vor. Überall liegt Dreck herum, Zettel stapeln sich, Laptops türmen sich zwischen Servern und Geräten, die noch in Verwendung sind – oder auch nicht. Wer weiß das schon? Irgendwann erbarmt sich jemand und startet eine Aufräumaktion. Auf die Frage “Wem gehört dieser Server?” folgt nur Stille. In Filmen würde ein Dornenbusch von links nach rechts rollen, aber dafür ist hier einfach kein Platz. Irgendwann reißt der Geduldsfaden, der Stecker wird gezogen und in einer...

6 days ago • 4 min read

Schach ist ein komplexes Spiel mit klaren Regeln und definierten Feldern. Man spielt zu zweit und hat jeweils die gleichen Figuren und Voraussetzungen. Das Ziel ist klar: Den gegnerischen König zu schlagen, bevor der eigene geschlagen wird. Wenn man gewinnen will, braucht man eine solide Strategie und eine bewährte Taktik. Es gibt viele Parallelen zur Cybersecurity, aber auch einige große Unterschiede. Wer ist dein König? Beim Schach geht es nicht darum, alle Figuren zu retten, sondern nur...

13 days ago • 5 min read

"Welches Recht nimmst du dir bitte heraus, um mir sowas anzutun???" "Öh … ich bin doch Admin!" 😬 In einem früheren Beitrag habe ich schon mal über alte Rechte geschrieben. Heute beschäftigen wir uns aber mit Berechtigungen, die auch neu, sehr großzügig vergeben werden. Dazu gibt es einen Fachbegriff: "Principle of Least Privilege". Worum geht es beim Principle of Least-Privilege? Die Idee dahinter ist ganz einfach: Jeder hat nur Zugriff auf das, was er auch wirklich braucht. Nicht mehr, aber...

20 days ago • 5 min read