DDos Schutz

DDoS Schutz – Sicher hast du schon mal davon gehört oder gelesen. Doch was das genau bedeuten mag und welche Auswirkungen es haben könnte, ist dir noch nicht bewusst. Diese Methode ist eines der beliebtesten Hackmethode, um einer Firma oder einer Website Schaden zuzufügen. Aber wie funktioniert das? Wie können Einzelpersonen solch ein Hack durchführen? Aus Hollywood Filmen kennen wir Hack Angriffe. Im wahren Leben sind diese Hack Attacken nicht weniger verheerend. Sie können einen immensen Schaden anrichten. Doch natürlich ist man diesen nicht so einfach ausgesetzt. Es gibt Mittel und Wege, sich davor zu schützen. Doch zunächst sollte geklärt werden, was genau DDoS ist und welchen enormen Schaden es mit sich bringen kann. Lese dir die folgenden Abschnitte durch und erfahre, wie du dich am besten schützen kannst. Denn, nur derjenige, der vorsorgt, kann sich in Sicherheit wiegen.

Was ist genau DDoS?

Als Erstes sollten man erst mal verstehen, was DDoS ist. DDoS ist ein Unterbegriff von DoS, was so viel bedeutet wie Denial-of-Service. DDoS bedeutet wiederum Distributed-Denial-of-Service, auf Deutsch: Verteilte verweigerung des Dienstes. Hierbei wird der Server über seine Bandbreite oder dessen Ressourcen belastet, bis er kollabiert. Wie kann man sich das vorstellen? Wir vereinfachen das ganze Prinzip, um es dir zu verdeutlichen. Stelle dir einen Server mit einem großen Arbeitsspeicher vor. Dieser Speicher ist für eine gewisse Anzahl an Besuchern für die Website ausgelegt. Bedeutet grob erklärt, du rufst mit deiner IP-Adresse eine Seite auf. Nun werden Informationen an den Server geschickt, der wiederum auf deine Anfrage antwortet. Zwischen der IP-Adresse und dem Server besteht also eine direkte Verbindung. Jetzt stelle dir vor, mehrere Menschen besuchen gleichzeitig die Seite. Wenn es zu viele auf einmal sind, so ist der Arbeitsspeicher voll, und der Server reagiert nicht mehr.

Jetzt aber folgendes Szenario. Bei einem normalen DoS Angriff, bedient man sich einem Tool, welches genau dazu führen soll. Doch das wäre nicht sicher, denn die IP-Adresse würde hierbei zurückverfolgt werden können. Allerdings will man genau dieses vermeiden. Was könnte man also tun? Nun man bedient sich einer anderen IP-Adresse. Klingt einfach, ist es aber nicht. Hierbei muss man sich das so vorstellen, es werden Rechner mit einem oder mehreren Trojanern infiziert. Also du bedienst dich an einem Rechner, der wiederum einen anderen PC bedient. Dieser PC bedient sich an weitere 5 PCs die man Comander & Controller nennt. Mit diesen 5 PCs steuerst du dann deine sogenannten Bot-Armee.

Netz mit Bot’s

Was ist mit einer Bot–Armee gemeint? Ganz einfach. In Deutschland sind, laut dem Bundeskriminalamt, jeder 9 PC in einem Bürogebäude betroffen. Diese PC‚s sind wenig geschützt und sehr anfällig für solche Attacken. Wie das ganze funktioniert? Mit den 5 Commander & Controller PC’s bedienst du dich nun an die anderen Computer. Sobald sich der Trojaner einschaltet, öffnet sich im Hintergrund der Webbrowser. Natürlich bekommt der Nutzer nichts davon mit. Um solch einen Angriff zu starten, benötigt es Zeit. So etwas kann schon Wochen dauern, bis zu Monaten. Jedoch wenn der Angriff startet, so ist er um so verheerender. Sobald man sein Botnetz zusammen gestellt hat, beginnen alle PCs um dieselbe Uhrzeit dem Server eine Anfrage zu stellen. Je mehr Bots es sind, desto größer die Wahrscheinlichkeit, den Server runter zu fahren. Durch eine große Anzahl an Bots kann man auch große Firmen angreifen.

IP Spoofing

IP Spoofing bedeutet, dass man IP Pakete versendet, mit gefälschter IP-Adresse. Was ist mit IP Pakete gemeint? Mit dem Versenden der IP Pakte ist eine Quelladresse enthalten. Diese Quelladresse zeigt in der Regel, die Herkunft dieses Paketes an. Doch verfälscht man die Kopfdaten, so kann man  es aussehen lassen, als würde die Anfrage von einem anderen PC kommen. So können Eindringlinge sich als jemand anderes ausgeben. Das wirkliche gefährliche daran ist, wenn die IP-Adresse eines bekannten Hosts eingesetzt wird. Somit können sensible Daten aufgegriffen werden, wie Passwörter oder Kreditkarten. Dies gehört ebenfalls zu einer Form der DDoS Attacken. Allerdings funktioniert es andersherum. Hierbei trägt der Hacker die Quelladresse des Opfers ein. Somit werden alle Anfragen die getätigt werden, auf diese Adresse geantwortet, die dann die DoS Attacke herbeiführen. Somit kann auch das Opfer nicht mehr zurückverfolgen, woher der Angriff stammt. Ein sehr beliebtes Verfahren ist es, die DNS, Domain Name Systems, als Reflektor zu nutzen. So einen Fall nennt man auch DNS Amplification Attack, doch dazu kommen wir noch.

DDoS als Protest angewandt

DDoS Attacken wurden auch schon als Form für Proteste verwendet.Viele Angriffe kennen wir aus dem Fernsehen oder haben es schon mal von diversen Internet Nachrichten gelesen gehabt. Doch kann man dies als Protest betrachten oder ist es doch eine Cyber- Kriminalität? Hier trennen sich Meinungen, während eine Gruppe es als legitim ansieht, ist es für die Regierung immer noch eine kriminelle Machenschaft. Natürlich ist der Hintergrund der Tat ein wichtiges Motiv. So sind Lösegeld Forderungen eine Straftat, die ins Gefängnis führen kann. Gruppen wie Anonymus oder andere Hacker haben genau diese Art von Proteste genutzt, um ihre Anforderungen an die Regierung oder der Ungerechtigkeit im Netz Kund zu tun. Auch hier ist ein DDoS Schutz eine optimale Lösung, um sein Unternehmen vor solchen Eingriffen von Protestwellen zu schützen.

Es kam auch schon vor, dass User im Internet unfreiwillig an einer DDoS Attacke teilnahmen. Das gelingt, in dem man im Netz einen Link verteilt, der eigentlich was anderes verspricht. Dadurch öffnet sich ein Tab, der den Angriff startet. Nun ist es nicht getan, wenn man einfach nur auf abbrechen drückt. Man muss schon den ganzen Tab schließen. Das DDoS Attacken strafbar sind, sollte jedem schon bewusst sein. Doch kann solch ein versehentlicher Angriff schon eine Strafe mit sich ziehen? Wenn man die Tabs sofort schließt, so muss man sich keine Sorgen darüber machen. Allerdings kann es schon schwieriger werden, nachzuweisen, wenn man länger darauf verweilt. In den USA erhält man für eine DDoS Attacke bis zu 10 Jahren Haft.

Was sind die Auswirkungen?

Je nach Angriff, kann es dazu kommen, dass der Server über Stunden belastet ist. Das eigentliche Ziel des Angriffes ist es, so viel Schaden anzurichten, wie nur möglich. Nun, wie die Auswirkung sein können, gerade bei Online Dienstleister, kann man sich vorstellen. Wenn deine Tätigkeit im Netz beruht, so ist ein Server Ausfall ein enormer Verlust. 1. Umsatzverluste, in einigen Fällen bis zu 30.000 US-Dollar. 2. Produktionsverlust, sollten wichtige Funktionen des Netzwerkes lahmgelegt sein, so können die Produktivität der Mitarbeiter zum Erliegen kommen. 3. Rufschädigung, Kunden können es verübeln, wenn sie mitkriegen, dass dem Unternehmen Datenschutzverletzungen vorliegen. 4. Diebstahl, durch solch einen Angriff können Kreditkarten oder andere Daten der Kunden entnommen werden.

All diese Punkte können einen langfristigen Schaden mit sich bringen. So ein Angriff kann sogar existenzschädigend sein. Hinter solch einem Angriff stehen oft, verärgerte Kunden, die Konkurrenz, oder einfache Spaßvögel, die sich selbst etwas beweisen wollen. Doch häufiger kommen wirtschaftliches Interesse hinzu. Lösegeld Erpressungen sind ein häufiges Phänomen. Sollten diese bezahlt sein, so werden die Angriffe aufhören. Es sind schon einige Firmen auf solch eine Erpressung eingegangen.

Wie kann man sich davor schützen?

Es gibt unzählige Anbieter, die Schutz vor solch einer DoS Attacke bieten. Doch sollte man sich schon den geeignetsten aussuchen. Im Grunde beginnt der Schutz damit, dass neben der Verbindung zum Server, eine Art Schleuse ist, die die Angriffe abwehrt. Die Schleuse in diesem Fall variiert je nach Anbieter unterschiedlich. Sollte der Server einen Angriff erkennen, so fängt er an die empfangenen Daten zu Filtern. Diese Variante nennt man On-Premise. Bei diesem Fall wird ein Appliance meist an den Provider installiert. Der Vorteil hierbei ist, der Schutz greift sofort ein und erfordert keine Änderung an den Netzwerken.

Eine weitere Option ist die ″in the Cloud″. Hierbei wird ein großteils des Angriffs direkt an der Ausgangspunkt abgefangen. Der DNS Eintrag des Unternehmens wird im „Scrubbing-Center„, einem Säuberung-d

ienst, des Providers umstrukturiert in eine virtuelle Adresse, Proxy Service. Der da eingehender Verkehr, wird geprüft und nur sauberer Traffic durchgelassen. Der Datenverkehr wird über das BGP, Boder Gateway Protocoll, einem Routing Protokoll, an das Scrubbing Center weitergeleitet. Der saubere Traffic wird über einen GRE-Tunnel, Generic Routing Encapsulation, übertragen. Die Cloud Variante können große Angriffe abwehren und sind mit am effektivsten. Cloud Lösung wird oftmals eine „ON Demand„ Option angeboten, sollte der Verdacht auftauchen, einer DDoS Attacke, so wird der Datenzufluss umgeleitet. Der Nachteil hierbei ist, es müssen manuelle Eingriffe erfolgen in die Netzwerkkonfiguration. Dadurch verzögert sich der Schutz. Es gibt allerdings Unternehmen, die eine dauerhafte DDoS Schutz anbieten.

Kann DDoS mich auch als Kleinunternehmer treffen?

Es gibt natürlich auch diejenigen, die sagen, dass sie weitgehend eine kleine Firma seien, bzw. ein Mensch nur in dieser Firma arbeitet. Im Online Marketing kein Einzelfall. Einige gehen daher davon aus, keinen DDoS Schutz zu benötigen. Doch das ist ein falscher Ansatz. Denn DDoS Attacken können unter anderen auch Kleinunternehmen treffen, in einigen Fällen steckten schon verärgerte Kunden dahinter, die einen enormen Schaden davon tragen. Es kann sogar soweit gehen, dass ihre Existenz zerstört wird durch solch eine Attacke. Daher ist auch hier dringend geboten, sich ebenfalls zu schützen. Zu dem nutzen Konkurrenten die Attacke aus, um ihre Mitstreiter aus dem Verkehr zu ziehen.

Angriffe verschiedener Art

Die häufigsten DDoS Attacken, passieren im Layer 3, 4. Das wird dir nicht viel sagen, wenn du dich nicht mit Computer gut genug auskennst. Doch diese Schichten oder auch Layer genannt, sind die anfälligen Stellen für eine DDoS Attacke. Damit der DDoS Schutz agiert, sollte man eben auf diese besonders achten. Doch sollte man auch die Funktionen der Schichten verstehen.

• DDoS Schutz – Layer 1 Bitübertragung

Übertragung der Bits über physische Verbindungen wie z. B. Kabel oder Funk

• DDoS Schutz – Layer 2 Sicherung

Um Übertragungsfehler zu erkennen und zu beheben hat die 2. Schicht eine Datenflusskontrolle und eine Fehlererkennung und Behebung Mechanismus. Hier findet ebenfalls die Adressierung der Pakete statt (IP Spoofing)

• DDoS Schutz – Layer 3 Vermittlung

In dieser Schicht befindet sich die logische Adressierung der Endgeräte statt, was man auch Routing nennt. Wegfindung, Sender und Empfänger.

• DDoS Schutz – Layer 4 Transport

Die Schicht dient der fehlerfreien Datenübertragung der Pakete in die richtige Reihenfolge. Die Datenpakete werden dann in entsprechender Anwendung zugeordnet.

• DDoS Schutz – Layer 5 Sitzung

In dieser Ebene liegt der Server fest welche Station wann und wie lange gesendet wird. Organisiert die Verbindung

• DDoS Schutz – Layer 6 Darstellung

Bestimmt das Datenformat  und wandelt diese um. Auch genannt Protokollumwandlung.

• DDoS Schutz – Layer 7 Anwendung

Dateien Eingabe und Ausgabe, in dieser Form werden Funktionen zur Anwendung bereit gestellt.

Angriffe der Ebene 3 /4

Dies sind mit Abstand die häufigsten Angriffe, einer DDoS Attacke. Die meisten DDoS-Attacken zielen es auf die Transport- und Vermittlungsschichten eines Kommunikationssystems ab. In diesem Fall wie bereits oben erklärt, Layer 3 und 4. Die Transportschicht überträgt das Protokoll zwischen zwei Hosts in einem Netzwerk, worüber kommuniziert wird. Angriffe wie diese sollen die Netzwerkschnittstelle mit Angriffsverkehr überlasten, um somit die Ressourcen zu überfordern, damit die Fähigkeit auf legitimen Datenverkehr zu reagieren verweigert wird. Dabei zielen Angriffe dieser Art darauf ab, die Switch-Kapazität zu sättigen, oder eine Netzwerkkarte des Servers zur Abwehr des Angriffs zu überfordern. Bedeutet, den Server mit Überfluss an Anfragen zum Kollabieren bringen.

Hierbei ist die Variante der On Premise Lösung nicht ausreichend. Wenn der Angreifer mehr Traffic sendet, als das Netzwerk verarbeiten kann, so helfen auch keine zusätzliche Hardware Tools. Große Layer 3/4 Angriffe entstammen fast immer aus einer Reihe von Quellen. Diese vielen Quellen senden jeweils Angriffsverkehr an eine einzige Internet-Adresse. Dadurch wird eine Welle erzeugt, mit dem der Server nicht umgehen kann. Dieser Angriff findet also verteilt statt. Der Angriff kann von einer Gruppe von Menschen stattfinden oder wie oben erwähnt, von einem Botnetz geleitet werden.

Attacken auf dieser Ebene erfordern natürlich gute Erfahrung, um entgegenzutreten. Dem Angreifer ist es herzlichst egal, ob er eine Antwort erhält. Dadurch, muss das Paket, welches er sendet, nicht formatiert sein, da er alle gesendeten Pakete verfälscht, einschließlich der IP-Adresse, sieht es so aus, als würden diese Angriffe von einer unbegrenzten Anzahl an Quellen stattfindet. Dabei helfen leider auch keine Hardware Tools oder sonstige Filter.

Doch es geht auch anders – Attacken auf Layer 7

Eine neue Welle der Angriffe findet auf der 7. Ebene statt. Hierbei werden Angriffe speziell auf Aspekte einer Applikation zurückgeführt. Ein Beispiel hierfür, wäre der „Slow Red„ Angriff, der Pakete langsam über verschiedene Verbindungen an den Zielserver führt. Dadurch, dass der Apache Server jedes mal einen neuen thread erstellt für jede neue Anfrage, kann der „Thread – Pool„ eines Webservers ausgeschöpft werden. Angriffe auf Layer 7 benötigen weniger Bandbreite als Attacken im Bereich 3 oder 4 . Sie konzentrieren sich auf die Features wie HTTP, SNP, FTP, etc.

Gerade die HTTP Flut ist eins der bekanntesten Formen für eine DDoS Attacke. Es ist um einiges schwieriger auf Layer 7 einen Angriff festzustellen, da man die Pakete die versendet werden, nicht von den echten unterscheiden kann. Angriffe dieser Art richten sich auf die Post Anfragen, da diese verbrauchsabhängig sind und zum Anwendungsabsturz führen können. HTTP Angriffe sind mit am schwierigsten zu identifizieren, da das Volumen der Pakete nicht unregelmäßig sind, und somit zu einer Fehlinterpretation führen kann. Bei ständiger Überwachung kann man diese Attacken umgehen.

Arbeite mit den Profis

Auf Social Media Market hast du die Möglichkeit, deine eigene Website zu erhalten. Diese ist auch ebenfalls DDoS geschützt. Woher kommt dieser Schutz? Wir haben viele Anbieter getestet und probiert. Heute kann man sagen, dass die Seite sich wohl den besten Partner ausgesucht hat. Jeder der sich eine Website erstellt, egal bei welchem Anbieter, sollte achten, ob dieser eine DDoS Schutz anbietet. Folglich auch, sollte das Unternehmen größer sein, schauen, bei welchem Anbieter man diesen DDoS Schutz aufsucht. Wie schon oben genannt, existieren etliche Anbieter, die vor DDoS schützen. Nach unseren Tests und Recherche hat sich dabei ein Anbieter besonders heraus kristallisiert.

Ein Anbieter mit verschiedenen Möglichkeiten – Cloudflare

In unserem Fall haben wir und für die Cloud Lösung entschieden. Da sie eine deutlich bessere Variante darstellt, als die On Premise Alternative. Cloudflare bietet mehrere Pakete an, vom kostenfreien bis hin zum individuellen Angebote, jeder findet hier sein Paket. Durch ein Netzwerk werden Angriffe auf die Cloudflare globales Anycast-Netzwerk geleitet. Sollte ein Angriff gestartet werden, so werden die globale Kapazität und die Vielzahl an Servern genutzt, um Angriffe zu absorbieren. Im Falle einer Attacke auf die Layer 3 und 4 kann Cloudflare somit jedes Angriffspaket daran hindern, den Server jemals zu erreichen. Cloudflare versteckt die IP-Adresse ihn ihren eigenen Servern und unterteilt den Verkehr in guten und bösen Traffic. Der gute Traffic wird an die jeweiligen Servern weiter geleitet, die Bösen werden in eine endlose Schleife weiter gelenkt, sodass der Angriff keinerlei Wirkung auf die Server ausüben kann.

DNS Amplification Attack

Wie schon oben kurz erwähnt, dient dieser Angriff für die Quell Adresse des Opfers. Der Angreifer stellt eine Anfrage einer großen DNS Zonendatei. Jetzt kann man sich schon denken, wer die Antwort erhält. Die Anfrage selbst macht nur einen Bruchteil aus, von der Antwort, die das Opfer erhält. Durch einen Zufluss auf die Layer 3 und 4 überschreitet die Antwort die vorgegeben GPS. Somit wird über die Bandbreite der Server die Anforderung komplett belastet, womit eine weitere DDoS Attacke zustande kommt. DNS Amplification Attacken gehören zu einer weiteren Unterform des DoS an. Man nennt sie DRDoS. Ebenfalls hat sich hier Cloudflare am besten geeignet. Diese stellen einen Schutz vor genau solchen Angriffen. Die Flut an Datenwellen wird von der Cloudflare Datencentern blockiert und der herkömmliche Datenfluss kann sich getrost fortsetzen, ohne dabei einen Kollaps zu erleiden.

Hierbei gilt es zu verstehen, dass Kriterien erfüllt sein müssen, für eine DNS Amplification Attacke. Eine Anfrage kann unter falscher Quelladresse versendet werden. Die Antwort ist wesentlich größer als die Anfrage selbst. Die DNS erfüllt genau diese Kriterien und ist somit eins der am meisten genutzten Ziele einer DRDoS Attacke.

Smurf Attacke

Auch dieses ist oben schon erwähnt worden. Bei einer Smurf Attacke sendet der Angreifer Anfragen an die Broadcastadresse. Diese leitet die Anfrage an alle Geräte weiter, die wiederum die

Anfrage an das gewünschte Endziel weitergeben. Somit täuscht der Angreifer die IP-Adresse des Opfers vor. Das Ziel kann die angegebene IP-Adresse nicht überprüfen und leitet diese an alle Geräte weiter, die sich ebenfalls in diesem Netzwerk befinden. Dadurch ist eine Erweiterung des Angriffs möglich und der Angreifer kann das ganze bis zu 5 Endgräten verfünffachen. Jedoch muss man auch hinzufügen, dass Smurf Attacken längst nicht mehr gegenwärtig sind. Da die meisten Anbieter ihrer Broadcast Adresse so konfiguriert haben, dass keine Anfragen solcher Art weitergeleitet werden können.

Die Lösung –  Cloudflare für einen optimalen DDoS Schutz

Cloudflare hat unsere Meinung nach, die besten Voraussetzung, um sich und seine Seite zu schützen. Die verschiedenen Pakte erlauben dir auch einen Einblick zu gewähren und das ganze näher zu verstehen. Zudem sind neben der guten Produktpalette, ein guter Kundenservice zu verzeichnen. Ihre größte Aufgabe ist es, das Netz sicherer zu machen, vor Angreifern solcher Art. Erst vor Kurzem hat Cloudflare durch ihren DDoS Schutz, den größten Angriff in der Geschichte des Internets abgewandt. Der Angriff erfolgte auf eine 100 Gpbs Übertragung, wobei der Angriff selbst mit 300 Gpbs zu kennzeichnen war. Dieser Angriff war so enorm, dass dieser sogar in den New York Times erschien und Cloudflare zum besten Anbieter in Sachen Internet Schutz kürte. Erstelle deine eigene Seite und überzeuge dich selbst. Ein Schutz vor DDoS Attacken ist dringend zu raten, da wenn der Angriff stattfindet, es meistens schon zu spät ist. Daher ist Vorsicht besser als Nachsicht. Diese Ausgabe für einen solchen Schutz sollten man eher als eine Investition sehen, gerade wenn man bemüht ist im Online Geschäft Fuß zu fassen. Besuche dazu die Seite von Cloudflare und schaue dir die einzelnen Produkte an. Cloudflare übernimmt automatisch die bestehende DNS Einstellungen von der Domain ohne eine Unterbrechung bzw. Down time herbeizuführen.