- Was sind DoS- und DDoS-Angriffe?
- Wie werden DoS/DDoS-Angriffs-Tools kategorisiert?
- Low and slow attack tools
- Angriffstools für die Anwendungsschicht (L7)
- Angriffswerkzeuge für die Protokoll- und Transportschicht (L3/L4)
- Welche DoS/DDoS-Angriffs-Tools werden häufig verwendet?
- Low Orbit Ion Cannon (LOIC)
- High Orbit Ion Cannon (HOIC)
- Slowloris
- R.U.D.Y (R-U-Dead-Yet)
- Wie kann ich mich gegen DoS/DDoS-Tools verteidigen?
Was sind DoS- und DDoS-Angriffe?
Denial-of-Service (DoS)- und Distributed-Denial-of-Service (DDoS)-Angriffe sind böswillige Versuche, den normalen Betrieb eines gezielten Servers, Dienstes oder Netzwerks zu stören, indem sie es mit einer Flut von Internet-Datenverkehr überschwemmen.
DoS-Angriffe erreichen diese Störung, indem sie böswilligen Datenverkehr von einer einzelnen Maschine – in der Regel einem Computer – senden. Sie können sehr einfach sein; ein einfacher Ping-Flood-Angriff kann durch das Senden von mehr ICMP-Anfragen (Ping) an einen Zielserver erfolgen, als dieser effizient verarbeiten und beantworten kann.
DDoS-Angriffe hingegen verwenden mehr als einen Rechner, um bösartigen Datenverkehr an ihr Ziel zu senden. Oft sind diese Rechner Teil eines Botnets – einer Ansammlung von Computern oder anderen Geräten, die mit Malware infiziert wurden und somit von einem einzelnen Angreifer ferngesteuert werden können. In anderen Fällen starten mehrere einzelne Angreifer DDoS-Angriffe, indem sie zusammenarbeiten, um Datenverkehr von ihren einzelnen Computern aus zu senden.
DDoS-Angriffe sind im modernen Internet aus zwei Gründen immer häufiger und schädlicher. Erstens haben sich moderne Sicherheitstools entwickelt, um einige gewöhnliche DoS-Angriffe zu stoppen. Zweitens sind DDoS-Angriffs-Tools relativ billig und einfach zu bedienen.
Wie werden DoS/DDoS-Angriffs-Tools kategorisiert?
Es gibt eine Reihe von Tools, die für DoS/DDoS-Angriffe angepasst werden können oder ausdrücklich für diesen Zweck entwickelt wurden. Bei der ersten Kategorie handelt es sich häufig um „Stressoren“ – Tools, deren erklärter Zweck es ist, Sicherheitsforschern und Netzwerkingenieuren bei der Durchführung von Stresstests für ihre eigenen Netzwerke zu helfen, die aber auch zur Durchführung echter Angriffe verwendet werden können.
Einige sind spezialisiert und konzentrieren sich nur auf eine bestimmte Schicht des OSI-Modells, während andere so konzipiert sind, dass sie mehrere Angriffsvektoren ermöglichen. Zu den Kategorien von Angriffstools gehören:
Low and slow attack tools
Wie der Name schon sagt, verwenden diese Arten von Angriffstools ein geringes Datenvolumen und arbeiten sehr langsam. Sie sind darauf ausgelegt, kleine Datenmengen über mehrere Verbindungen zu senden, um die Ports eines Zielservers so lange wie möglich offen zu halten, und beanspruchen die Ressourcen des Servers so lange, bis er keine weiteren Verbindungen mehr aufrechterhalten kann. Einzigartig ist, dass niedrige und langsame Angriffe zuweilen auch dann wirksam sein können, wenn kein verteiltes System wie ein Botnet verwendet wird, und dass sie in der Regel von einem einzelnen Rechner aus eingesetzt werden.
Angriffstools für die Anwendungsschicht (L7)
Diese Tools zielen auf die Schicht 7 des OSI-Modells ab, auf der internetbasierte Anfragen wie HTTP erfolgen. Mit einem HTTP-Flood-Angriff, bei dem ein Ziel mit HTTP-GET- und POST-Anfragen überschwemmt wird, kann ein böswilliger Akteur einen Angriffsverkehr starten, der nur schwer von normalen Anfragen von tatsächlichen Besuchern zu unterscheiden ist.
Angriffswerkzeuge für die Protokoll- und Transportschicht (L3/L4)
Weiter unten im Protokollstapel nutzen diese Werkzeuge Protokolle wie UDP, um große Mengen an Datenverkehr an einen Zielserver zu senden, z. B. bei einem UDP-Flood. Während diese Angriffe einzeln oft unwirksam sind, werden sie typischerweise in Form von DDoS-Angriffen durchgeführt, bei denen der Nutzen zusätzlicher angreifender Maschinen die Wirkung erhöht.
Welche DoS/DDoS-Angriffs-Tools werden häufig verwendet?
Einige häufig verwendete Tools sind:
Low Orbit Ion Cannon (LOIC)
Das LOIC ist eine Open-Source-Anwendung für Stresstests. Es ermöglicht die Durchführung von Angriffen auf TCP- und UDP-Protokollschichten über eine benutzerfreundliche WYSIWYG-Oberfläche. Aufgrund der Beliebtheit des ursprünglichen Tools wurden Derivate entwickelt, mit denen Angriffe über einen Webbrowser gestartet werden können.
High Orbit Ion Cannon (HOIC)
Dieses Angriffstool wurde entwickelt, um das LOIC zu ersetzen, indem seine Fähigkeiten erweitert und Anpassungen hinzugefügt wurden. Unter Verwendung des HTTP-Protokolls ist HOIC in der Lage, gezielte Angriffe zu starten, die nur schwer zu entschärfen sind. Die Software ist darauf ausgelegt, dass mindestens 50 Personen an einem koordinierten Angriff arbeiten.
Slowloris
Slowloris ist eine Anwendung, mit der ein langsamer Angriff auf einen Zielserver gestartet werden kann. Es benötigt eine relativ begrenzte Menge an Ressourcen, um eine schädliche Wirkung zu erzielen.
R.U.D.Y (R-U-Dead-Yet)
R.U.D.Y. ist ein weiteres Tool für langsame Angriffe, das es dem Benutzer ermöglicht, über eine einfache Point-and-Click-Schnittstelle Angriffe zu starten. Der Angriff zielt darauf ab, den angegriffenen Server langsam zu überwältigen, indem er mehrere HTTP-POST-Anfragen öffnet und diese Verbindungen so lange wie möglich offen hält.
Wie kann ich mich gegen DoS/DDoS-Tools verteidigen?
Da DoS- und DDoS-Angriffe verschiedene Formen annehmen, erfordert ihre Abwehr eine Vielzahl von Taktiken. Zu den gängigen Taktiken zum Stoppen von DDoS-Angriffen gehören:
- Ratenbegrenzung: Begrenzung der Anzahl von Anfragen, die ein Server innerhalb eines bestimmten Zeitfensters akzeptiert
- Web Application Firewalls: Tools, die den Webverkehr auf der Grundlage einer Reihe von Regeln filtern
- Anycast-Netzwerkverbreitung: Platzieren eines großen, verteilten Cloud-Netzwerks zwischen einem Server und dem eingehenden Datenverkehr, um zusätzliche Rechenressourcen bereitzustellen, mit denen auf Anfragen reagiert werden kann.
Cloudflare wendet all diese Strategien und mehr an, um die größten und komplexesten DoS- und DDoS-Angriffe abzuwehren. Erfahren Sie mehr über den DDoS-Schutz von Cloudflare und wie er funktioniert.