Bei einem DDoS-Angriff erlangt ein Hacker die Kontrolle über ein Netzwerk aus mehreren mit dem Internet verbundenen Rechnern, einschließlich IoT-Geräten. Eine Malware-Infektion verwandelt diese gehackten Rechner in Bots, die zusammen ein Botnetz bilden. Hacker nutzen Botnetze aus der Ferne für verschiedene Zwecke wie Clickbaiting, Spam-Versand oder Bitcoin-Mining. Bei einem DDoS-Angriff werden Botnetze verwendet, um Anfragen an ein Zielsystem, insbesondere Webserver, zu senden. Dies führt zu einer Überlastung der Kapazität des Zielsystems und zu einem Denial-of-Service für den normalen Datenverkehr.
DDoS – Eine Definition
Ein Distributed-Denial-of-Service-Angriff (DDoS-Angriff) ist die Überflutung einer Online-Website oder eines Online-Dienstes mit großen Mengen an unerwünschtem Datenverkehr. Ein Hacker übernimmt die Kontrolle über mehrere Systeme und nutzt sie, um die Ressourcen oder die Bandbreite von Zielsystemen zu überfluten und den Benutzerzugriff einzuschränken. Ein DDoS-Angriff kann dazu führen, dass das betroffene System verlangsamt wird oder ganz ausfällt.
Die Konzepte von DDoS: Arten von Angriffen und Auswirkungen
Für einen DDoS-Angriff muss ein Angreifer mehrere Systeme kompromittieren. Dazu manipuliert er zunächst mehrere Rechner und IoT-Systeme und infiziert sie mit Malware, die eine Fernsteuerung ermöglicht. Indem er die kompromittierten Systeme als mehrere Quellen verwendet, kann der Angreifer jedem Einzelnen befehlen, Anfragen an eine bestimmte Ressource zu senden und diese zu überfluten. Amplifikationstaktiken ermöglichen es dem Angreifer, massiven Datenverkehr von einem Botnet zu erzeugen. Beim DNS-Verstärkungsangriff verwendet ein Hacker beispielsweise eine gefälschte IP-Adresse, um Anfragen zu senden, so dass der DNS-Server mit ungewöhnlich großen Datenmengen antwortet. Die populärsten Angriffsarten sind SYN-flood, UDP-flood, NTP-amplification und Multi-vector amplification (gebündelte Szenarien).
Verschiedene Protokolle
DoS-Angriffe werden mit verschiedenen Protokollen durchgeführt, darunter UDP, HTTP, ICMP und NTP. Eine UDP-Flut beispielsweise überflutet ein gezieltes System mit dem User Datagram Protocol (UDP), wobei das Hauptziel darin besteht, die zufälligen Ports in einem entfernten Host zu überfluten. Eine ICMP-Flut überlastet die anvisierten Ressourcen/Systeme schnell mit ICMP-Echo-Request-Paketen, ohne auf die Antwort der Ressource zu warten. Das Ziel besteht darin, ausgehende und eingehende Bandbreite zu verbrauchen. Ein NTP-Verstärkungsangriff ermöglicht es einem Täter, öffentliche NTP-Server auszunutzen, um die Zielressourcen mit UDP-Verkehr zu überlasten. Der HTTP-Flood-DDoS-Angriff macht es Hackern möglich, legitime HTTP-POST- oder GET-Anforderungen auszunutzen, um Webanwendungen oder Server anzugreifen.
DDoS-Angriffstools und ihre Wirkung
Es gibt verschiedene DDoS-Angriffstools, die von Hackern verwendet werden können. Beispielsweise ist LOIC (Low Orbit ION Cannon) ein Open-Source DoS-Tool, mit dem DDoS-, HTTP-, UDP- und TCP-Angriffe ausgeführt werden können. Ein HOIC (High Orbit ION Cannon)-Tool kann eine riesige Menge an HTTP-POST- und GET-Anfragen erzeugen, um einen gezielten Anwendungsserver zu überlasten. Es gibt auch andere Werkzeuge wie R-U-Dead-Yet (R.U.D.Y.), Slowloris, HULK, XOIC, DDoSIM und PyLoris.
Verwendung von Wireshark zur Analyse eines DoS-Angriffs
Wireshark ist ein Open-Source-Netzwerkanalyse-Tool, mit dem Traffic in Echtzeit erfasst und grafisch aufbereitet dargestellt wird. Es ermöglicht die Analyse des Netzwerkverkehrs und die Erkennung von verdächtigem Traffic, der auf einen DDoS-Angriff hindeutet. Wireshark zeigt detaillierte Informationen über die erfasste Paketstruktur an, wie Ursprung, Paketgröße und Dauer.
Botnetze und wie sie erstellt werden
Ein Botnetz besteht aus einem Netzwerk von Rechnern, einschließlich IoT- und privaten Computern, die mit dem Wissen ihrer Besitzer durch eine Malware-Infektion kontrolliert werden. Ein Cyberkrimineller kann die Rechner mit verschiedenen Mitteln mit Malware infizieren, damit sie den aus der Ferne gesendeten Anweisungen und Befehlen folgen können. Dabei werden verschiedene Protokolle wie HTTP-Websites und IRC verwendet. Botnetze nutzen auch Netzwerke zur Anonymisierung von Verbindungsdaten wie Tor oder I2P, um die Entdeckung und Zerstörung der Infrastruktur zu verhindern.
Steuerung und Kontrolle von Botnetzen, Botnetz-Verkehr
Sobald ein Angreifer ein Botnetz erstellt hat, werden verschiedene Befehls- und Kontrollkanäle und Protokolle verwendet, um das Botnetz anzuweisen, den Verkehr zu einem System zu leiten. Es gibt verschiedene Techniken und Protokolle wie Telnet-Botnets, IRC-Protokoll, HTTP und P2P-Protokoll, die für die Steuerung und Kontrolle von Botnetzen verwendet werden.
Schadsoftware im Internet of Things
Im Internet der Dinge (IoT) sind immer mehr Alltagsgegenstände mit dem Internet verbunden. Allerdings stagniert die Sicherheit von IoT-Geräten auf niedrigem Niveau und Angreifer finden immer neue Strategien, um diese Geräte für Attacken einzusetzen. Die Mehrzahl der IoT-Geräte besitzt keine ausreichenden Sicherheitsmechanismen und sind daher anfällig für Missbrauch. So sind in den vergangenen Jahren gigantische Botnetze aus IoT-Geräten entstanden.
Analyse von DDoS-Angriffen mithilfe von Wireshark- und Log-Dateien
Nachdem ein DDoS-Angriff verifiziert wurde, kann das Sicherheitspersonal Rohprotokolle aus dem Dienst ziehen und diese analysieren. Log-Analysatoren helfen dabei, verdächtigen Traffic zu untersuchen und visuelle Details aus dem Webverkehr zu generieren
