DDoS-Angriffe und das Projekt Fénix

Es ist Ihnen sicher schon passiert, dass Sie eine Webseite nicht erreichen konnten, oder Sie haben gehört, dass bestimmte Webseiten durch einen sogenannten DDoS-Angriff lahmgelegt wurden. Was DDoS-Angriffe genau sind, wer in der Regel dahintersteckt und warum sie durchgeführt werden, erfahren Sie hier.

Bereits der Name verrät, wie sich ein DDoS-Angriff zeigt. Es handelt sich um die Abkürzung des englischen Ausdrucks „Denial of Service", also Dienstverweigerung. Wird ein solcher Angriff auf einen Server durchgeführt, antwortet die Webseite nicht mehr — sie stellt ihre Dienste nicht mehr bereit. Das erste „D" im Namen steht für die Abkürzung des Wortes „Distributed" — das bedeutet, dass der Angriff durch eine größere Anzahl von Nutzern gleichzeitig durchgeführt wird.

Wenn sich eine Gruppe von Tätern entscheidet, einen Server anzugreifen, verabreden sie sich, die Webseite zur gleichen Zeit zu besuchen. Für DDoS-Angriffe lassen sich aber auch unzureichend gesicherte Computer ahnungsloser Nutzer einsetzen. Solche Computer sind meist im Voraus infiziert — meist mit einem sogenannten „Backdoor". Es handelt sich um Malware, die ein normaler Nutzer kaum erkennen kann. Beim Verdacht einer Infektion achten Sie auf Anzeichen wie verminderte Prozessorleistung, schlechteren Internetzugang oder problematisches Verhalten von Anwendungen. Hundertprozentige Sicherheit gibt aber stets eine Konsultation mit einem IT-Profi. Grundvoraussetzung für die Sicherheit bleibt jedoch ein gesicherter Computer und ein aktualisiertes Antivirenprogramm.

Bemerkenswert ist, dass besonders in diesem Jahr DDoS-Angriffe zum Trend wurden, ausgelöst durch eine große Zahl von Botnets, die aus verwundbaren IoT-Geräten (Internet of Things) bestehen. Kameras mit Standardeinstellungen im Heimnetz sind, als ginge man mit Honig beschmiert in einen Wald voller Bären.

Überlastung des Servers durch Angreifer-Anfragen

Server sind auf eine erwartete Belastung dimensioniert. Während eines DDoS-Angriffs scheitert die Kommunikation, der Server schafft es nicht, neben den Angreifer-Anfragen auch Kunden-Anfragen abzufertigen. Manche Server hören je nach Konfiguration auf, Seiten mit Inhalt anzuzeigen — nicht nur während des Angriffs, sondern einige ihrer Elemente bleiben auch nach dessen Ende dysfunktional.

DDoS- und DoS-Angriffe sind insbesondere dadurch spezifisch, dass sie keine Straftat und nichts Illegales sind. Angreifer begehen durch den Besuch einer Webseite keine Straftat. Es kommt dabei auch nicht zu Diebstahl oder Missbrauch jeglicher Daten — Angreifer „überlasten" den Server lediglich überproportional. DDoS-Angriffe sind oft das Werk verschiedener Aktivisten, die mit ihren Taten ihren Unmut mit den Betreibern der jeweiligen Webseiten oder ihrem Inhalt ausdrücken wollen. Es kann sich aber auch etwa um eine Form des Wettbewerbskampfes handeln. Im Ausland gab es sogar Fälle, in denen ein DDoS-Angriff tatsächlich eine Art Guerilla-Werbung für ein Anti-DoS-Produkt war. Ziel von DDoS-Angriffen werden aber auch Nachrichten-Server oder sogar Banken. Manchmal wird für das Beenden eines DDoS-Angriffs Lösegeld verlangt — zur Wahrung der Anonymität meist in der Kryptowährung Bitcoin.

Wie erkennt man, dass der eigene Server Gegenstand eines DDoS-Angriffs geworden ist? Erstes und Hauptanzeichen ist der Server-Absturz oder seine deutliche Verlangsamung. Die Betriebssysteme Windows und Linux verfügen über den Dienst Netstat, der Ihnen hilft festzustellen, ob Sie Opfer eines Angriffs geworden sind. Es genügt, die Eingabeaufforderung zu öffnen und „netstat -an" einzugeben. Einen DDoS-Angriff erkennen Sie an der Auflistung von IP-Adressen, die mit benachbarten Ports verbunden sind. Wichtig ist auch die Verfolgung des Traffics, der bei einem DDoS-Angriff abnormal wächst.

Cloud-Dienste

Wie wehrt man sich gegen DDoS-Angriffe? In der IT-Welt gilt leider, dass nur wenig hundertprozentig ist. Sehr wichtig ist Prävention. Modernste Router erkennen automatisch abnormales Verhalten in Form ungewöhnlich vieler Anfragen und können den Zugang von der jeweiligen Adresse blockieren. Eigentümer einiger Server versuchen, DDoS-Angriffe durch präventive Blockierung des Zugangs aus bestimmten Ländern — etwa China oder Russland — vorzubeugen. Ein geeigneter Schritt ist auch die Verstärkung der Server-Leistung, also die Dimensionierung auf das Zwei- bis Dreifache des üblichen Betriebs. Diese Maßnahme lohnt sich auch für Online-Shops, die in der Vorweihnachtszeit belastet sind, oder für Nachrichten-Server. Eine teilweise Lösung kann auch die Nutzung von Cloud-Diensten sein.

Bei einem bereits laufenden Angriff ist die Mitwirkung Ihres Internet-Anbieters nötig. Dieser führt die Schritte durch, die nötig sind, um den Verkehr umzuleiten und die Server-Kapazität zu verstärken. Wird der Angriff aus dem Ausland geführt, werden die ausländischen Leitungen getrennt. Selbstverständlich erfolgt auch der Versuch, die Quelle zu erkennen und sie direkt zu blockieren. Außerdem ist es möglich, anspruchsvollere Webseiten-Elemente außer Betrieb zu setzen und Besucher über die Nichtverfügbarkeit zu informieren.

In der Tschechischen Republik entstand 2013 als Antwort auf massive DoS-Angriffe auf wichtige tschechische Medien das Projekt Fénix. Es wird vom Verband NIX.CZ — der neutralen Hardware-Plattform für die gegenseitige Vernetzung von Internet-Netzen — getragen. Wie der Name des Projekts schon andeutet, ist sein Ziel, Opfern von DoS-Angriffen zu helfen, aus der Asche aufzuerstehen — also die Verfügbarkeit von Internet-Diensten der an dieser Aktivität beteiligten Subjekte zu ermöglichen. Technisch ist das sehr kompliziert, aber vereinfacht gesagt verbinden sich die mitwirkenden Netze unter vorab festgelegten Bedingungen so, dass sie bei einer massiven Überlastung des Netzes die Angriffsquelle koordiniert abkoppeln und die Funktion des „inneren Internets" so sicherstellen, dass der Großteil des Verkehrs erhalten bleibt.

Man könnte sagen, dass es sich um eine Art Elite-Club handelt — aber im besten Sinne des Wortes. Die Mitglieder müssen eine Reihe administrativer und technischer Bedingungen erfüllen, und das gesamte Projekt steht zugleich auf gegenseitigem Vertrauen und Engagement für die gemeinsame Sache. Durch die Mitgliedschaft im Projekt Fénix erfüllen Betreiber nicht nur einen wichtigen Präventionsschritt — sie haben auch die Gewähr, dass sie im Falle eines Angriffs nicht mit dem gesamten Problem allein bleiben.