Was passiert eigentlich bei einem DDoS oder Flooding ?

  • Der Zweck solcher Angriffe ist es "nur", den Webspace oder Server soweit zu beschäftigen oder zu überlasten, dass er irgendwann nicht mehr genügend Ressourcen hat, um den eigentlichen Inhalt der Seite zeigen zu können.


    Auf Angreiferseite kommt es dabei zunächst auf die reine "Technik-Power" an.
    Der Angreifer sendet also keine "besonders originellen Codes" an den Angegriffenen, um ihn zu knacken... im Gegenteil.
    Er sendet einfachste Befehle, die jeder Server normalerweise "ganz nebenbei" abarbeitet.


    Aber auch die einfachsten Befehle kosten, in der Masse, an Rechenpower. Je mehr solche Anforderungen kommen, desto mehr Power wird benötigt, um sie abzuarbeiten. Diese Power wird successive dem eigentlichen Internetauftritt entzogen.


    Rechenbeispiel:

    Zitat

    Wenn eine Internetseite 1 MB RAM beötigt um 1 Mio Abfragen abzuarbeiten .. insgesamt aber nur 10 MB RAM hat, dann benötigt man gerade einmal 1 Mio x 10 = 10 Mio. Anfragen, damit der komplette RAM für die Abfragen verbraucht wird.
    Sobald dieser Wert erreicht ist, kann diese Beispielseite nicht mehr aufgerufen werden.
    Das Ziel des Angreifers ist erreicht. Er muss jetzt immer nur noch diese Anzahl an Abfragen senden, um die Seiten "unten zu halten"


    Vorsicht. Das war nur ein Rechenbeispiel. Die Werte entsprechen nicht der Realität.
    Was ein Server wirklich leisten kann, wird kein Betreiber veröffentlichen.


    In der Regel wird ein einzelner Angreifer versuchen, nur soviel Technik einzusetzen, wie unbedingt nötig ist. Er wird also "langsam beginnen" und immer mehr Ressourcen aufwenden, um sein Ziel zu erreichen.
    Da die Angriffsstärke immer weiter zunimmt, merkt man es auch als Besucher einer Internetseite, ob so ein Angriff gerade am Laufen ist: Die Seite baut immer langsamer auf, stockt kurz einmal völlig .... und wenn der Server (kurzzeitig) überlastet ist, dann bekommt man eine Fehlerseite angezeigt.


    Auf der Seite des "Verteidigers" werden dagegen immer mal wieder ein paar Ressourcen frei. Deshalb laufen Internetseiten zu Beginn eines Angriffs immer verschieden schnell. Der Webspace spielt (tempomäßig) Achterbahn... mal rauf und mal runter.


    Ob und wann der Angreifer sein Ziel erreicht, kommt auf zwei Faktoren an:


    1) Rechenpower
    Stehen ihm nur begrenzte Ressourcen zur Verfügung, wird er sein Ziel nie erreichen. Er kann maximal stören und verlangsamen. Vielleicht noch für einige Sekunden den anderen Sever lahmlegen. mehr wird er aber nicht schaffen.
    Kann er aber immer mehr Ressourcen aktivieren, kann er es schaffen den Server zu überlasten.


    2) Zeit
    Während eines Angriffs kann der Verteidiger natürlich Gegenmaßnahmen ergreifen. Diese dienen zunächst einmal der Ressourcenoptimierung. Auch ein kurzzeitig überlasteter Server kann also "wieder auf die Beine kommen".
    Der Angreifer muss jetzt immer wieder neue Ressourcen aktivieren, um diese Optimierungen auch ausgleichen zu können.
    Es kommt jetzt also darauf an, wie lange der Angreifer immer weitere Ressourcen aktivieren kann .. und wie lange er diese Ressourcen für einen einzelnen Angriff bereitstellen und halten will und kann.


    In der Regel führen Angriffe nur selten zu einer Langzeitstörung. Die Angreifer haben entweder nicht die nötigen Ressourcen oder nicht die nötige Ausdauer, um einen Server längere Zeit überlasten zu können.


    Natürlich gibt es auch Ausnahmen von dieser "Regel":
    Wenn ein Bot-Netzwerk aktiviert wird und auf der Verteidiger-Seite nicht genügend Reaktionszeit verbleibt, dann führt auch der Beginn eines Angriffs schon direkt zur Serverüberlastung. In der Vergangenheit wurden schon global agierende Unternehmen durch so eine massive Überlast für Stunden und Tage so massiv gestört, dass sie nicht mehr erreichbar waren.


    Welche Gegenmaßnahmen gibt es gegen solche Angriffe ?


    1) Sicherheitssperren
    Diese beruhen in der Regel auf einer IP-Erkennung. Um eine IP zu erkennen und auszusperren, wird Rechenkraft benötigt. Jede IP muss kurz geprüft werden, um dann ausgeschlossen zu werden.
    Auch wenn eine solche Sperre gegen einzelne Angreifer Wirkung zeigt, so kann so jedoch genauso überlastet werden wie die anderen Anforderungen, die ein Server abarbeiten muss.
    Spätestens der Angriff eines Bot-Netzwerkes "zwingt auch die Sicherheitssperre in die Knie".


    2) Domain-Umstellung/Umleitung
    Der Angreifer will in der Regel erreichen, dass die Seite nicht mehr gezeigt wird. Er kann die Seite sowohl über die Server-IP der Seite als auch über die Domain erreichen.
    Schalte ich die Domain auf einen anderen Server (auf dem eine Kopie der Seite liegt) .. und habe für die "eigentliche Seite" noch eine andere Domain ... verteilt sich die eigene Rechenpower eben auf zwei Server und 2 Domains.


    Um die Seite zu überlasten, muss der Angreifer jetzt also auch immer beobachten (wollen), ob man die Domain zwischenzeitlich einfach auf einen anderen Server umleitet.
    Hat er sich nur auf die Server-IP konzentriert, wird er weiterhin "sinnlos gegen einen Server anrennen", während die eigentliche Seite längst über einen Server erreichbar ist.. und dort störungsfrei läuft.
    Hat man mehrere Domains zur Verfügung, muss der Angreifer alle unter Beobachtung halten.


    Es besteht also eine große Chance, dass man durch so eine Domain-Umstellung, die Last des Angreifers entweder auf den falschen Server konzentriert .. oder er sich eben mit mehreren Servern "beschäftigen muss" = seine Angriffspower wird aufgesplittet und ist nicht mehr stark genug, um die Webseite dauerhaft zu überlasten.


    Auch hier wieder: Gegen ein Bot-Netzwerk hilft das nicht lange.


    3) Seite offline schalten
    Auch das ist in der Regel nur eine Sperrfunktion, wenn das Offlineschalten durch die Funktion eines CMS/Forums geschieht. Auch sie kann "überrannt" werden.


    4) Zielordner umbenennen
    Wenn der Angriff gegen die Seite/Domain erfolgt (und nicht direkt gegen den Server), kann man den Angriff ins Leere laufen lassen.
    Jetzt kommt es auf die "Stärke des Angreifers" an: Hat er nur genügend Power um das CMS zu überlasten ? Dann wird durch diese Maßnahme das CMS entlastet und es könnte weiter laufen.
    ABER .. die Maßnahme ist sinnlos.. weil ... dann kann ja keiner mehr das CMS erreichen.. auch andere Besucher nicht.
    Es ist also nur dann sinnvoll, wenn das Ziel des Angriffs ist, die Seite zu hacken und zu übernehmen. Mit dem Umbenennen der Ordner bringt man die Seite selbst offline für alle anderen Besucher.
    Da man das Ziel eines Angriffs nie kennt, wäre es also nur eine "Verzweiflungslösung" .. die einen Angriff aber nie abblocken kann.


    5) Inhalte löschen
    Ja genau ... wir löschen den Inhalt der Seite, damit der Angreifer "direkt mit dem Server zu tun hat". Kein Content = volle Power für die Anfragen. Jetzt greifen auch Sicherheitssperren des eigentlichen Servers. Je nach Betreiber wird der Webspace also irgendwann einmal komplett gesperrt oder entfernt.
    Da mit einem Webspace auch eine IP verbunden ist, "tappt der Angreifer dann eben im Dunkeln rum".


    OK. Der Webspace ist dann wahrscheinlich weg. Der Angreifer hat sein Ziel also erreichen können.



    Floodings sind ein "Kampf der Ressourcen" im Internet
    . Sie sind der "richtige Cyber War", der täglich stattfindet.
    Gewinner wird derjenige sein, der mehr Ressourcen als der Andere zur Verfügung hat.


    Für einen Hoster ist es gut, wenn er im Notfall auf ein Cloud zurückgreifen kann.
    Zunächst steht ihm zunächst einmal die gesamte Rechenpower des eigenen Rechenzentrums zur Verfügung.
    Großer Hoster betreiben eigene Rechenzentren oder haben die Möglichkeit, die Last auf mehrere Rechenzentren zu verteilen.
    Leider kostet Rechenpower aber auch Geld. Die Grenzen des Verteidigers sind also dort gesetzt, wo Rechenpower und Finanzen am Ende ankommen.
    Angreifer bedienen sich dagegen sehr oft kostenloser Ressourcen wie z.B. privaten Rechnern, die in einem Bot-Netzwerk zusammnegeschlossen, gemeinsam einen Angriff durchführen.


    Das Ganze war jetzt übrigens eine Zusammenfassung und Kombination aus allgemein erhältlichen Kenntnissen.
    Weder Angreifer noch Hoster geben ihre Taktik offen bekannt.
    Mal sind es Ressourcen und mal diverse "Kniffe" , mit denen mal Angriff und mal Verteidigung Erfolg haben.


    Auch wenn ein Angriff einen Hoster down bringt ... er wird nie dauerhaft so stark aufrecht erhalten werden (können). Irgendwann hat auch der Angreifer ein "Einsehen" , dass es sich für ihn nicht mehr lohnt. Auch ihm werden die "Ressourcen wegbrechen", denn die wird er in der Regel auf das nächste Ziel konzentrieren (wollen).


    Außerdem besteht für ihn die Gefahr, dass ihm der Angegriffene auf die Spur kommt .. und in einer konzertierten Aktion zwischen verschiedenen Hostern und Behörden , ausfindig macht oder selbst angreift.
    Mehrere Hoster können gemeinsam recht schnell einen Angreifer "knacken".. und Hoster arbeiten heute im Punkt "Angreifer unschädlich machen" oft zusammen.. weil jeder Angreifer eine Gefahr für jeden werden kann.