DDoS Allgemein

Aus Qloc Wiki
Wechseln zu: Navigation, Suche

Was ist eine DoS-/DDoS-Attacke?

Nicht jedes Netzwerkproblem ist eine DoS-/DDoS-Attacke. Als DoS-/DDoS-Attacke wird eine mutwillige Netzwerküberlastung bezeichnet, dessen Ziel die Nichtverfügbarkeit der Dienste ist. Als DoS-Attacke wird ein Angriff von einem einzelnen System bezeichnet. Bei einer DDoS-Attacke wird die Netzwerküberlastung durch eine große Anzahl an Systemen (Botnetzen) verursacht.
Weitere Informationen dazu finden Sie auf der Webseite des BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/DoS/dos_node.html

Wie funktioniert der DDoS Schutz?

In diesem Artikel finden Sie einen Überblick der verschiedenen Abwehrtechniken.

Darf ich selbst (D)DoS Angriffe tätigen?

Gemäß § 303b StGB handelt es sich sowohl bei einem Versuch als auch bei einer erfolgreichen Durchführung um eine Computersabotage und somit um eine Straftat. Das Tätigen von den entsprechenden Angriffen wird gemäß unserer AGBs nicht toleriert und kann jederzeit zur fristlosen Kündigung führen.

Welche Angriffstypen gibt es?

Grundsätzlich unterscheidet man zwischen den folgenden drei Angriffstypen:

  • Bandbreiten-Überlastung: Die Netzwerk-Kapazität des Servers wird überlastet mit dem Ziel der Nicht-Erreichbarkeit.
  • Ressourcen-Überlastung: Die System-Ressourcen des Servers werden überlastet, um zu verhindern, dass der Server auf erwünschte Anfragen antwortet.
  • Exploit: Nutzung von Software-Sicherheitslücken, mit dem Ziel die Kontrolle über den Server zu erlangen oder der Nicht-Erreichbarkeit.
Angriffs Prinzipien

Folgend finden Sie häufig eingesetzte Prinzipien, um für die Nicht-Erreichbarkeit der Systeme zu sorgen. Sowohl diese als auch viele weitere (D)DoS Angriffe werden durch den von uns angebotenen automatischen DDoS Schutz gefiltert.

  • IP Fragmentation ( Ressourcen-Überlastung ):

IP-Datenpakete enthalten einen Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Dies sorgt für eine Speicherüberlastung des Angriffsziels.

  • ICMP Echo Request Flood ( Ressourcen-Überlastung ):

Es werden (Ping) Datenpakete in großen Mengen an das Angriffsziel gesendet. Das Angriffsziel versucht diese Anfragen zu beantworten, ist jedoch mit der großen Anzahl überfordert

  • TCP SYN Flood ( Ressourcen-Überlastung ):

Eine große Menge an TCP-Verbindunganfragen werden an das Angriffsziel gesendet.

  • TCP Spoofed SYN Flood ( Ressourcen-Überlastung ):

Eine große Menge an TCP-Verbindunganfragen werden an das Angriffsziel gesendet, welche jedoch eine gefälschte Quell-IP-Adresse enthalten.

  • UDP Flood ( Bandbreiten-Überlastung ):

Eine große Menge an UDP-Paketen werden an das Angriffsziel gesendet, welche jedoch keinen vorherigen Verbindungsaufbau benötigen.

  • UDP Fragment Flood ( Ressourven-Überlastung ):

UDP-Datenpakete enthalten einen Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Dies sorgt für eine Speicherüberlastung des Angriffsziels.

  • Ping of Death ( Exploit ):

Ausnutzung von Implementierungsfehler in Betriebssystemen, die durch spezielle ICMP Pakete das System zum Absturz bringen.

Vorsorge vor (D)DoS Angriffen

Häufig werden (D)DoS Angriffe in Form von Protokoll Angriffen durchgeführt. Dabei werden häufig Dienste wie der Linux SSH Server und MySQL Datenbanken angegriffen. Die folgenden Tipps verhindern keine (D)DoS Angriffe und schützen nicht vor dessen folgenden, sondern können nur die Wahrscheinlichkeit eines (D)DoS verringern.

  • SSH-Port ändern

SSH-DDoS Attacken werden häufig durch Automationen und von Botnetzen verursache. Diese versuchen mit vielen Login Versuchen das richtige Root-Kennwort eines Linux Servers herauszubekommen. Um möglichen Angreifern die Verbindung zu erschweren empfehlen wir die Änderung des SSH Ports. Eine Anleitung dazu finden Sie hier.

  • iptables und richtige Konfiguration der Dienste

Von außen sollten nur notwendige Dienste erreichbar sein. Beispielsweise sollte ein MySQL Server nur von localhost oder von bestimmten IP Adressen erreichbar sein. Dies können Sie meist in den Diensten selbst (bei MySQL in /etc/mysql/my.cnf und in den Datenbanken) selbst oder mit iptables konfigurieren.

  • ICMP-Echo Request deaktivieren

Mit Hilfe von Ping Anfragen lässt sich testen, ob der entsprechende Server noch erreichbar ist. Dies kann jedoch auch für Angriffe ausgenutzt werden. Mit sogenannten ICMP-Echo Request Floods werden übermäßig viele "ping" Anfragen an den Server gesendet, welche diesen überlasten. Durch das Deaktivieren des ICMP Protokolls per iptables können Sie diese Gefahr einschränken:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP