DDoS (Distributed Denial of Service) ist ein Cyberangriff, bei dem ein Zielsystem – typischerweise ein Webserver oder eine Netzwerkinfrastruktur – durch massenhaft koordinierte Anfragen von vielen verteilten Quellen überlastet wird. Das Ziel ist es, den Dienst für legitime Nutzer unerreichbar zu machen. Im Gegensatz zu einem einfachen DoS-Angriff, der von einer einzelnen Quelle ausgeht, nutzt ein DDoS-Angriff ein Botnetz aus tausenden oder sogar millionen kompromittierten Geräten.

Wie funktioniert ein DDoS-Angriff?

Ein DDoS-Angriff läuft typischerweise in mehreren Phasen ab:

  1. Aufbau eines Botnetzes: Der Angreifer infiziert tausende Geräte mit Malware. Besonders anfällig sind IoT-Geräte wie IP-Kameras, Router oder Smart-Home-Geräte mit Standard-Passwörtern.
  2. Koordination über Command & Control (C2): Alle infizierten Geräte (“Bots” oder “Zombies”) werden von einem zentralen Server gesteuert und warten auf Befehle.
  3. Angriff starten: Auf Befehl senden alle Bots gleichzeitig Anfragen an das Ziel. Die kumulative Last übersteigt die Kapazität des Zielsystems.
  4. Überlastung: Der Zielserver kann keine legitimen Anfragen mehr verarbeiten – der Dienst ist nicht mehr erreichbar.

Eine wichtige Technik bei vielen DDoS-Angriffen ist IP-Spoofing: Die Angreifer fälschen die Absender-IP-Adresse ihrer Pakete. Dadurch ist die wahre Quelle des Angriffs schwer nachzuverfolgen, und bei Amplifikationsangriffen werden die verstärkten Antworten an das Opfer geleitet.

Arten von DDoS-Angriffen

DDoS-Angriffe werden nach der OSI-Schicht klassifiziert, auf der sie operieren:

Volumetrische Angriffe (Layer 3/4)

Diese Angriffe zielen darauf ab, die gesamte verfügbare Bandbreite zu verbrauchen. Sie nutzen oft Amplifikation: Der Angreifer sendet kleine Anfragen an öffentliche Server (z.B. DNS oder NTP) mit der gefälschten IP-Adresse des Opfers. Die Server antworten mit deutlich größeren Datenpaketen – direkt an das Opfer.

AngriffstypVerstärkungsfaktorBeschreibung
DNS Amplificationbis zu 70xAusnutzung offener DNS-Resolver
NTP Amplificationbis zu 206xMissbrauch des Monlist-Befehls älterer NTP-Server
Memcached Amplificationbis zu 51.000xHöchster bekannter Verstärkungsfaktor
SSDP Amplificationbis zu 30xAusnutzung von UPnP-Geräten
UDP Flood1xMassive Mengen von UDP-Paketen

Protokoll-Angriffe (Layer 3/4)

Diese Angriffe nutzen Schwachstellen in Netzwerkprotokollen aus, um Serverressourcen zu erschöpfen:

  • SYN Flood: Ausnutzung des TCP-Handshakes. Der Angreifer sendet massenhaft SYN-Pakete mit gefälschten IP-Adressen. Der Server reserviert Ressourcen für halboffene Verbindungen, die nie abgeschlossen werden.
  • ACK Flood: Überschwemmung des Ziels mit TCP-ACK-Paketen.
  • ICMP Flood (Ping Flood): Massive Mengen von ICMP-Echo-Requests überlasten das Netzwerk.

Anwendungsschicht-Angriffe (Layer 7)

Diese Angriffe sind besonders tückisch, da sie legitimen Traffic imitieren und schwerer zu erkennen sind:

  • HTTP Flood: Massive Mengen scheinbar legitimer HTTP-Anfragen. Jede Anfrage erfordert serverseitig Datenbankabfragen und Seitenaufbau.
  • Slowloris: Hält viele HTTP-Verbindungen offen, indem partielle Anfragen sehr langsam gesendet werden. Benötigt wenig Bandbreite, ist aber sehr effektiv gegen Apache-Server.
  • HTTP POST Flood: Sendet große Datenmengen in POST-Requests, die der Server verarbeiten muss.

Unterschied zwischen DoS und DDoS

MerkmalDoSDDoS
QuelleEine einzelne MaschineViele verteilte Maschinen (Botnetz)
RückverfolgbarkeitRelativ einfachSehr schwierig
Traffic-VolumenBegrenztPotenziell enorm (Terabits/s)
AbwehrIP-Sperre oft ausreichendKomplexe Mitigationsstrategien nötig
Aufwand für AngreiferGeringErfordert Botnetz-Infrastruktur

Bekannte DDoS-Angriffe

Diese historischen Angriffe zeigen die Dimension und Auswirkungen von DDoS:

JahrZielVolumenBesonderheit
2016Dyn (DNS-Anbieter)~1,2 TbpsMirai-Botnetz; Twitter, Netflix, Reddit offline
2018GitHub1,35 TbpsMemcached Amplification; größter Angriff seiner Zeit
2023Google Cloud398 Mio. RPSHTTP/2 Rapid Reset; Rekord bei Anfragen pro Sekunde
2024Cloudflare5,6 TbpsBisher größter gemessener DDoS-Angriff

Der Dyn-Angriff 2016 war besonders bedeutsam: Das Mirai-Botnetz nutzte hunderttausende IoT-Geräte mit Standard-Passwörtern. Der Angriff zeigte erstmals, wie verwundbar die Internet-Infrastruktur durch unsichere IoT-Geräte ist.

Schutzmaßnahmen gegen DDoS

Eine effektive DDoS-Abwehr erfordert mehrere Schutzebenen:

Netzwerkebene

  • Rate Limiting: Begrenzung der Anfragen pro IP-Adresse
  • Blackhole Routing (RTBH): Angriffsverkehr wird auf Routing-Ebene verworfen
  • BGP Flowspec: Granulare Filterregeln auf Router-Ebene
  • Überdimensionierte Bandbreite: Mehr Kapazität als der Angreifer aufbringen kann

Cloud-basierte Mitigation

Dienste wie Cloudflare, Akamai oder AWS Shield leiten den Traffic durch ihre global verteilten Netzwerke. Diese können selbst Angriffe mit mehreren Terabit pro Sekunde absorbieren. Das Anycast-Routing verteilt den Angriffsverkehr automatisch auf viele Rechenzentren.

Anwendungsebene

  • Web Application Firewall (WAF): Erkennt und blockiert bösartige HTTP-Anfragen
  • CAPTCHA: Unterscheidet Menschen von Bots bei verdächtigen Anfragen
  • Verhaltensanalyse: Machine Learning erkennt Anomalien im Traffic-Muster

Das Mirai-Botnetz

Mirai ist eines der berüchtigtsten DDoS-Botnetze und demonstriert das Risiko unsicherer IoT-Geräte:

Funktionsweise von Mirai:
1. Scannt das Internet nach IoT-Geräten (Kameras, Router, etc.)
2. Versucht Login mit bekannten Standard-Passwörtern (admin/admin, root/12345...)
3. Infiziert das Gerät und löscht die Malware-Binärdatei zur Tarnung
4. Wartet auf Befehle vom Command & Control Server
5. Führt auf Befehl koordinierte DDoS-Angriffe durch

Nach der Veröffentlichung des Mirai-Quellcodes entstanden zahlreiche Varianten wie GorillaBot (2024), das bis zu 51.000 Angriffe pro Tag durchführte. Die wichtigste Lektion: Standard-Passwörter bei IoT-Geräten immer ändern!

DDoS in der IT-Ausbildung

Als Fachinformatiker für Systemintegration wirst du mit DDoS-Schutzmaßnahmen in Kontakt kommen – etwa bei der Konfiguration von Firewalls, Load Balancern oder der Integration von CDN-Diensten. Für Fachinformatiker für Anwendungsentwicklung ist das Verständnis von Rate Limiting und der sichere Umgang mit HTTP-Anfragen relevant.

In der IHK-Prüfung können DDoS-Angriffe im Kontext von IT-Sicherheit, Netzwerktechnik oder Notfallmanagement abgefragt werden. Wichtig ist das Verständnis der Grundprinzipien: Wie funktioniert die Verteilung des Angriffs? Welche Schichten sind betroffen? Welche Schutzmaßnahmen gibt es?