Posted on

DDoS-Attacken: Was sie sind und wie man DDoS

, Author

Aktualisiert am 6.10.2020

Ein DDoS-Angriff (Distributed Denial-of-Service) ist einem DoS-Angriff (Denial-of-Service) sehr ähnlich, mit dem einzigen Unterschied, dass derselbe Angriff von vielen verschiedenen Personen (oder Botnetzen) genau zur gleichen Zeit ausgeführt wird. Daher ist DDoS eine Frage des Umfangs.

Nachdem Sie einen Dienst ausgewählt haben, den Sie angreifen wollen, führen Sie die folgenden fünf Schritte aus, um einen DoS-Angriff zu starten:

  1. Starten Sie ein DoS-Tool wie LOIC.

  2. Bestimmen Sie die IP-Adresse des Servers, den Sie angreifen wollen.

  3. Wählen Sie einen Port, von dem Sie wissen, dass er offen ist und eingehende Verbindungen akzeptiert.

  4. Wählen Sie TCP.

  5. Klicken Sie auf die Schaltfläche, um den Angriff zu starten.

Um einen DDoS-Angriff zu starten, gehen Sie genauso vor wie bei einem DoS-Angriff, nur mit dem HOIC-Tool. So wird ein DDoS-Angriff durchgeführt:

  1. Finden und wählen Sie einen Dienst.

  2. Wählen Sie einen offenen Port.

  3. Starten Sie HOIC.

  4. Erhöhen Sie die Threads.

  5. Zielen Sie auf die gewünschte URL.

  6. Erhöhen Sie die Leistung auf Hoch.

  7. Wählen Sie Ihren Booster.

  8. Starten Sie den Angriff.

Lassen Sie uns zunächst einen DoS-Angriff durchgehen, damit ein DDoS-Angriff besser verstanden werden kann.

Was ist ein Denial-of-Service-Angriff (DoS)?

DoS ist ein Cyberangriff, der darauf abzielt, einen Online-Dienst zu überwältigen, sein System zum Absturz zu bringen und so Kunden, Mitarbeitern usw. den Dienst zu verweigern. Um einen DoS-Angriff durchzuführen, müssen Sie nur Folgendes tun:

  1. Einen Dienst finden und als Ziel auswählen.

  2. Einen offenen Port auswählen.

  3. Den Dienst überwältigen.

Im Grunde genommen ist ein DoS-Angriff ziemlich unkompliziert und einfach durchzuführen. Die eigentliche Frage ist hier, ob Sie genug Größe haben, um Ihr Zielsystem zu überwältigen.

Hier ist eine Aufschlüsselung der einzelnen Schritte.

Finden und wählen Sie einen Dienst als Ziel

Der erste Schritt zum Aufbau eines DoS ist es, einen Dienst zu finden, den Sie angreifen können. Es muss sich um einen Dienst mit offenen Ports und Schwachstellen handeln, der eingehende Verbindungen akzeptiert.

Einige der Dienste, die diese Kriterien erfüllen könnten, sind:

  • Web-Server

  • DNS-Server

  • E-Mail-Server

  • FTP-Server

  • Telnet-Server

Dass diese Dienste so leicht anzugreifen sind, liegt daran, dass sie unauthentifizierte Verbindungen akzeptieren.

Wählen Sie einen offenen Port

Zeigen Sie eine Liste der offenen Ports in Windows an, indem Sie die DOS-Befehlszeile öffnen, netstat eingeben und die Eingabetaste drücken. Um die Ports anzuzeigen, mit denen ein Computer kommuniziert, geben Sie netstat -an |find /i „established“ ein.

Die Port-Einstellungen variieren von Programm zu Programm, aber die allgemeine Idee ist überall dieselbe. Wenn Sie versuchen, auf einen Port zuzugreifen, wissen Sie, dass er nicht erreichbar ist, wenn „Connecting…“ hängen bleibt und das Fenster dann verschwindet. Wenn er erreichbar ist, erhalten Sie ein leeres Fenster oder einen Anzeigetext ähnlich wie „220 ESMTP spoken here.“

Wenn Sie es vorziehen, können Sie hier drei Tools verwenden, um offene Ports zu finden:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Überwachen Sie den Dienst

Im Idealfall sollten Sie einen Dienst wählen, der keine Obergrenze für die Anzahl der zulässigen Verbindungen hat. Die beste Methode, um herauszufinden, ob ein Dienst keine Obergrenze hat, besteht darin, ihm ein paar hunderttausend Verbindungen zu senden und dann zu beobachten, was passiert.

Um eine optimale Wirkung zu erzielen, müssen Sie spezifische Abfragen und Informationen senden. Wenn Sie z. B. einen Webserver mit einer Suchmaschine anvisieren, fordern Sie nicht einfach eine Webseite an oder drücken Sie mehrmals F5. Fordern Sie eine komplexe Suchanfrage an, deren Beantwortung eine beträchtliche Menge an Leistung beansprucht. Wenn dies nur ein einziges Mal eine spürbare Auswirkung auf das Backend hat, dann wird es den Server wahrscheinlich zum Absturz bringen, wenn Sie dies hundert Mal pro Sekunde tun.

Dasselbe können Sie mit einem DNS-Server machen. Man kann ihn dazu zwingen, komplexe DNS-Anfragen aufzulösen, die nicht zwischengespeichert sind. Wenn man das oft genug macht, kann man den Server zum Absturz bringen.

Bei einem E-Mail-Dienst kann man viele große E-Mail-Anhänge versenden, wenn man ein legitimes Konto auf dem Server einrichten kann. Wenn man das nicht kann, ist es ziemlich einfach, es zu fälschen.

Wenn man keinen bestimmten Dienst ins Visier nehmen kann, kann man einfach einen Host mit Datenverkehr überschwemmen, nur ist der Angriff dann nicht so elegant und würde sicherlich etwas mehr Datenverkehr erfordern.

Wenn Sie das System erst einmal überwältigt haben, ist die Umgebung für einen Angriff bereit.

Wie man einen DoS-Angriff durchführt

Wenn Sie die Prozesse der Netzwerkerfassung, des Scannens und der Aufzählung durchgeführt haben, sollten Sie eine gute Vorstellung davon haben, was in dem Netzwerk vor sich geht, das Sie ins Visier nehmen. Hier ist ein Beispiel für ein bestimmtes System, das Sie angreifen möchten. Es ist 192.168.1.16 (ein Windows 2008 Domain Controller und Webserver).

Um es anzugreifen, befolgen Sie diese 5 Schritte:

1. Starten Sie Ihr bevorzugtes Werkzeug zum Angreifen von Systemen. Ich mag die Low Orbit Ion Cannon (LOIC). Das ist das am einfachsten zu verstehende Werkzeug, weil es ziemlich offensichtlich ist, was es tut.

Andere DoS-Tools, die für Angriffe verwendet werden können, sind XOIC, HULK, DDOSIM, R.U.D.Y. und Tor’s Hammer.

2. Geben Sie die IP-Adresse des Servers an, den Sie angreifen wollen, in diesem Fall 192.168.1.16. Lock on to it.

3. Wählen Sie einen Port, von dem Sie wissen, dass er offen ist und der eingehende Verbindungen akzeptiert. Wählen Sie zum Beispiel Port 80, um einen webbasierten Angriff durchzuführen.

4. Wählen Sie TCP, um anzugeben, welche Ressourcen gebunden werden sollen.

5. Klicken Sie auf die Schaltfläche, um den Angriff zu starten.

Sie werden sehen, dass die angeforderten Daten schnell ansteigen.

Der Datenanstieg kann sich irgendwann etwas verlangsamen, zum Teil, weil Sie Ressourcen auf dem Client verbrauchen, und auch, weil der Server selbst entweder keine Ressourcen mehr hat oder beginnt, sich gegen Ihren Angriff zu verteidigen.

Was tun, wenn der Host beginnt, sich zu verteidigen

Einige Hosts können so konfiguriert werden, dass sie nach Mustern suchen, Angriffe erkennen und beginnen, sich zu verteidigen. Um ihre Verteidigung zu kontern, können Sie:

  1. Den Angriff kurzzeitig stoppen (indem Sie auf die gleiche Schaltfläche klicken, die Sie zum Starten des Angriffs angeklickt haben).

  2. Ändern Sie den Port, den Sie angreifen.

  3. Verlangsamen Sie den Angriff ein wenig, um Verwirrung zu stiften.

In unserem Beispiel ändern Sie den Port von Port 80 auf Port 88 (wenn Sie sich den Screenshot auf dem erweiterten Port-Scanner ansehen, werden Sie sehen, dass Port 88 ebenfalls offen ist). Sobald Sie die Einstellungen geändert haben, können Sie den Angriff fortsetzen, indem Sie erneut auf die Schaltfläche „Angriff“ klicken.

Sie greifen jetzt einen anderen Port (der einem anderen Dienst entspricht) auf eine etwas andere Weise und mit einer anderen Geschwindigkeit an. Geschwindigkeit ist nur wichtig, wenn man von einem Client aus angreift.

So würde ein Angriff aussehen, wenn man diese Art von DoS von nur einem Rechner aus macht.

Was ist ein DDoS-Angriff? Angriff auf mehrere Clients gleichzeitig

Ein DDoS-Angriff (Distributed Denial of Service) wird mit dem Ziel durchgeführt, eine Website oder einen Dienst lahmzulegen, indem sie mit mehr Informationen oder Datenverarbeitung überflutet werden, als die Website verarbeiten kann. Er ist praktisch dasselbe wie ein DoS-Angriff, mit dem Unterschied, dass er von vielen verschiedenen Rechnern gleichzeitig ausgeführt wird.

Abhängig von der Situation kann ein einzelner Client, der auf diese Weise angreift, die Leistung des Servers unmittelbar beeinträchtigen oder auch nicht, aber ein DDoS-Angriff muss nicht bei einem einzigen Client aufhören. Normalerweise würden Sie diesen Angriff gegen verschiedene Ports zu verschiedenen Zeiten durchführen und versuchen, zu überprüfen, ob sich Ihre Aktionen auf die Dienste auswirken. Noch besser ist es, wenn der Server abgeschaltet wird.

Wenn der Angriff die gewünschte Wirkung zeigt, können Sie ihn ausweiten, indem Sie das LOIC auf einem Dutzend (oder sogar Hunderten) von Rechnern gleichzeitig ausführen. Viele dieser Aktionen lassen sich in Skripten abbilden, d. h. Sie können den Datenverkehr aufzeichnen und ihn über die Befehlszeile auf verschiedenen Zielen wiedergeben. Oder Sie können ihn als Teil eines Skripts von verschiedenen Angreifern abspielen, die Ihre Kollegen, Ihre Zombies oder beide sein können. Oft wird Malware (Botnets, siehe unten) verwendet, um die Angriffe zu starten, da Malware so getaktet werden kann, dass sie genau zum selben Zeitpunkt startet.

Dann wird die Geschwindigkeit weniger wichtig, da hundert verschiedene Clients gleichzeitig angreifen. Man kann die Dinge bei jedem einzelnen Client verlangsamen und immer noch in der Lage sein, einen ziemlich effektiven Angriff zu starten.

Der Bildschirm würde auf jedem einzelnen Rechner gleich aussehen, wenn man den Angriff von Hunderten oder Tausenden von Rechnern aus startet, als würde man ihn auf einem einzigen Rechner durchführen.

Was ist ein Botnet?

Wie von der Internet Society erklärt:

„Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Benutzer-Computern (Bots), die mit bösartiger Software (Malware) infiziert sind, die es den Computern ermöglicht, von einem Betreiber (Bot-Herder) über einen Command-and-Control-Server (C&C) ferngesteuert zu werden, um automatisierte Aufgaben auf Geräten auszuführen, die mit vielen Computern verbunden sind, wie z. B. das Stehlen von Informationen oder das Starten von Angriffen auf andere Computer. Botnet-Malware ist so konzipiert, dass ihre Betreiber die Kontrolle über viele Benutzer-Computer auf einmal erhalten. Dadurch können Botnet-Betreiber Computer- und Bandbreitenressourcen in vielen verschiedenen Netzwerken für böswillige Aktivitäten nutzen.“

Obwohl sie für Hacker eine große Hilfe sind, stellen Botnets für einen Großteil der Online-Gesellschaft eher eine Geißel dar. Botnets:

  • Können sich über weite Entfernungen verbreiten und sogar in verschiedenen Ländern operieren.

  • Schränken die Offenheit, die Innovation und die globale Reichweite des Internets ein.

  • Beeinträchtigen grundlegende Nutzerrechte, indem sie die Meinungs- und Redefreiheit blockieren und die Privatsphäre verletzen.

Wie man einen DDoS-Angriff durchführt

Um mehr als 256 gleichzeitige DDoS-Angriffe zu starten, die ein System zum Absturz bringen, kann ein Team von mehreren Nutzern gleichzeitig die High Orbit Ion Cannon (HOIC) verwenden, und Sie können das Add-on-Skript „Booster“ einsetzen.

Um einen DDoS-Angriff durchzuführen, suchen Sie einen Dienst aus, wählen Sie einen offenen Port und überwältigen Sie den Dienst, indem Sie die folgenden Schritte ausführen:

  1. Starten Sie HOIC.

  2. Erhöhen Sie die Threads.

  3. Zielen Sie auf die gewünschte URL.

  4. Erhöhen Sie die Leistung auf Hoch.

  5. Wählen Sie Ihren Booster.

  6. Starten Sie den Angriff.

Warum führen illegale Hacker DoS- und DDoS-Angriffe durch?

DoS- und DDoS-Angriffe sind äußerst zerstörerisch und können einige Arbeit erfordern, um sie zu starten, aber sie werden von Cyberkriminellen als Waffe gegen einen Konkurrenten, als eine Form der Erpressung oder als Deckmantel verwendet, um die Extraktion sensibler Daten zu verbergen.

Außerdem werden Angriffe manchmal aus einem oder mehreren der folgenden Gründe durchgeführt:

  • Internetbasierte Revierkämpfe.

  • Ausdruck von Wut oder Bestrafung.

  • Zum Üben oder um zu sehen, ob es möglich ist.

  • Zum „Spaß“, Chaos zu verursachen.

Der durch DDoS-Angriffe verursachte Schaden ist extrem hoch. Cisco hat einige augenöffnende Fakten und Schätzungen veröffentlicht:

  • Die Zahl der weltweiten DDoS-Angriffe wird sich von 7,9 Millionen im Jahr 2018 auf 15,4 Millionen bis 2023 verdoppeln.

  • Die durchschnittliche Größe eines DDoS-Angriffs liegt bei 1 Gbit/s, was ein Unternehmen komplett vom Netz nehmen kann.

Eine ITIC-Umfrage aus dem Jahr 2019 ergab, dass „eine einzige Stunde Ausfallzeit 98 % der Unternehmen inzwischen mindestens 100.000 US-Dollar kostet. Und 86 % der Unternehmen sagen, dass die Kosten für eine Stunde Ausfallzeit 300.000 US-Dollar oder mehr betragen.“ Vierunddreißig Prozent geben an, dass ein einstündiger Ausfall 1 bis 5 Millionen Dollar kostet.

Ein aktuelles Beispiel für einen DDoS-Angriff ist der Angriff auf Amazon Web Services im Februar 2020. Der Cloud-Computing-Riese wurde angegriffen und sendete drei Tage lang bis zu 2,3 Terabyte Daten pro Sekunde.

Wenn Sie sich einen Überblick über die weltweiten Angriffe verschaffen möchten, die in Echtzeit (oder in der Nähe davon) stattfinden, sehen Sie sich eine Karte der Bedrohungen durch Cyberangriffe an.

Wie Sie Ihr Unternehmen vor DoS- und DDoS-Angriffen schützen

Um Ihr Unternehmen vor DoS- und DDoS-Angriffen zu schützen, hier einige Empfehlungen:

  1. Installieren Sie Sicherheitssoftware und halten Sie sie mit den neuesten Patches auf dem neuesten Stand.

  2. Sichern Sie alle Passwörter.

  3. Benutzen Sie Anti-DDoS-Dienste, um legitime Spitzen im Netzwerkverkehr zu erkennen und nicht einen Angriff.

  4. Haben Sie einen Backup-ISP, damit Ihr ISP-Anbieter Ihren Datenverkehr umleiten kann.

  5. Verwenden Sie Dienste, die massiven Angriffsverkehr auf ein Netzwerk von Servern verteilen.

  6. Aktualisieren und konfigurieren Sie Ihre Firewalls und Router, um betrügerischen Datenverkehr abzuweisen.

  7. Integrieren Sie Anwendungs-Frontend-Hardware, um Pakete zu überprüfen und zu klassifizieren.

  8. Nutzen Sie ein selbstlernendes KI-System, das den Datenverkehr leitet und analysiert, bevor er die Computer des Unternehmens erreicht.

  9. Setzen Sie einen ethischen Hacker ein, um ungeschützte Stellen in Ihrem System zu suchen und zu finden.

Es ist eine schwierige Aufgabe, Ihr Unternehmen vor DoS- und DDoS-Angriffen zu schützen, aber die Ermittlung Ihrer Schwachstellen, ein Verteidigungsplan und die Entwicklung von Abhilfemaßnahmen sind wesentliche Elemente der Netzwerksicherheit.

Erfahren Sie mehr über Ethical Hacking

Ethical Hacking ist ein wichtiges und wertvolles Instrument, das von IT-Sicherheitsexperten im Kampf gegen teure und potenziell verheerende Cyberverletzungen eingesetzt wird. Es nutzt Hacking-Techniken, um Informationen über die Wirksamkeit von Sicherheitssoftware und -richtlinien zu erhalten, so dass ein besserer Schutz von Netzwerken in die Wege geleitet werden kann.

Die grundlegenden Prinzipien, die man beim legalen Hacken befolgen sollte, sind:

  • Nutzen Sie Ihr Wissen niemals zum persönlichen Vorteil.

  • Tun Sie es nur, wenn Sie das Recht dazu haben.

  • Verwenden Sie bei Ihren Angriffen keine raubkopierte Software.

  • Sein Sie immer integer und vertrauenswürdig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.