Sicherheits-Hacker

DDOS jak żyć?

DDOS oder Distributed Denial-of-Service.

Dies ist einfach eine Art von Angriff, der darauf abzielt, den Dienst zu überlasten, um den Zugriff darauf zu verhindern. Man kann es mit Bussen zur Hauptverkehrszeit oder überfüllten Straßen in einer Großstadt vergleichen. Wenn die Straße eine Kapazität von 100 Autos pro Minute hat, was passiert dann, wenn 200 Autos pro Minute dort durchfahren wollen? Eine bestimmte Straße wird einfach blockiert und die Wartezeiten verlängern sich. Wenn es zu einem Unfall kommt, wird die Straße komplett blockiert und es gibt keine Möglichkeit zum Überqueren.
Ein weiteres Beispiel aus dem Computerbereich: Nehmen wir an, wir haben einen 10-Gbps-Link, irgendwann werden wir Opfer eines DDOS-Angriffs und verschiedene Computer senden uns Daten, die die maximale Kapazität des Links überschreiten, was dazu führt, dass dieser komplett blockiert wird, außerdem kann der plötzlich erhöhte Datenverkehr unsere Server-Ressourcen voll auslasten und dazu führen, dass das Programm, das für eine bestimmte Aufgabe verantwortlich ist (z. B. Webserver), einfach abstürzt und nicht mehr reagiert, und manchmal sogar zu einem Neustart des gesamten Servers kommt.

Arten und Mittel – Direkt

Es gibt sehr viele Möglichkeiten, einen Angriff durchzuführen, und jede hängt von Ihren Fähigkeiten ab. Die häufigsten Möglichkeiten sind:

Verwendung von Heimroutern

Immer häufiger trifft man auf Angriffe auf Heimrouter, die gleiche Angriffsart gibt es viele, ein Beispiel sind spezielle E-Mails, die Links enthalten. Die Folgen sind oft einfachste Änderungen der DNS-Server, und hier empfehle ich jedem, mit dem F-secure-Router-DNS-Test-Tool zu überprüfen, ob eine solche Änderung auf Ihrem Server vorgenommen wurde. Diese Änderung ermöglicht es uns, den Datenverkehr eines unwissenden Opfers auf einen beliebigen Server in der Welt zu leiten, was oft von _einigen_ Regierungen genutzt wird, um DDOS-Angriffe auf Websites zu starten. Ein fortgeschrittener Angriff besteht darin, ein Rootkit in unseren Router einzuschleusen und damit ein ganzes Paket von Möglichkeiten, beginnend mit dem Zugriff auf das Innere und Äußere des Netzwerks, dem vollständigen Mitlesen des Datenverkehrs, d.h. welche Seiten wir öffnen und dem Erlernen aller Daten, die wir über das Internet senden, weshalb die Verschlüsselung von Webseiten so wichtig ist.
Sobald ein Angreifer Zugriff auf einen Router hat, kann er Anfragen für eine Verbindung zu einem bestimmten Standort aussenden, zum Beispiel 10 Mal pro Sekunde. Stellen Sie sich vor, was passieren würde, wenn ein Angreifer 100 oder mehr solcher Router hätte.

Verwendung von „gekaperten“ Servern

Die Zeiten, in denen Hacker in Websites oder Server einbrachen, nur um Informationen zu hinterlassen, dass sie eingebrochen sind oder um einfach nur Chaos zu stiften, sind längst vorbei. Jetzt, nach einem Einbruch, wird ein sogenannter „Hack“ installiert. Hintertür – der einzige Eingang, der es dem Angreifer ermöglicht, diesen Server für seine Zwecke wie DDOS-Angriffe zu nutzen. Warum Server? weil sie meist an Internetverbindungen mit hoher Bandbreite wie 10Gb/s angeschlossen sind und die Nutzung mehrerer solcher Server enormen Traffic erzeugen kann, und wenn wir nur 10% der Ressourcen nutzen, merkt niemand, dass ein solcher Server übernommen wird, und reagiert nicht.

Arten und Mittel – Indirekt

NTP, DNS, SNMP – oder UDP

Was sind diese magischen Abkürzungen? Nun, NTP ist ein Protokoll, das zur Zeitsynchronisation zwischen Computern verwendet wird, praktisch jeder Computer ist damit ausgestattet, und es ist die Schwäche dieses Protokolls, die viele Menschen schwindelig macht. Wie funktioniert das? Nun, in der Spezifikation des NTP-Protokolls gibt es so etwas wie das Senden einer Anfrage an den Zeitserver nach den IP-Adressen der Computer, die mit ihm verbunden sind(Befehl monlist). Darauf antwortet der Server mit den IP-Adressen von bis zu 600(!) der letzten Adressen, die eine Zeitsynchronisation angefordert haben. Hier werden viele Leute denken, nun ja, es wird antworten, aber auf Sie, also wo ist das Problem? Das Problem ist die letzte magische Abkürzung im Header, UDP. Es ist ein zustandsloses Protokoll, d.h. ich schicke einen Brief und kann (unter günstigen Umständen) jeden beliebigen Computer der Welt als Absenderadresse angeben. Das heißt, wenn wir eine 1 Mb/s-Verbindung haben, die eine vorbereitete Abfrage sendet, können wir diese sogar auf 500Mb/s erhöhen, was bereits viele Verbindungen auf der Welt blockieren kann. Der Angriff ist ähnlich wie bei jedem anderen Protokoll, wir senden eine Anfrage an einen Proxy-Server, der das Opfer unwissentlich angreift.
Glücklicherweise wächst das Bewusstsein derjenigen, die diese Art von Diensten verwalten, und sie beginnen, Sperren oder Einschränkungen für die gefährlicheren Elemente der Protokolle einzuführen.

In Verbindung mit DOS

DOS oder Denial of Service wird von einem einzelnen Angreifer durchgeführt, der eine Schwäche in einem Server oder einer Anwendung ausnutzt, um diese zu verlangsamen. Dies ist z. B., wenn die Anwendung gezwungen wird, zeitaufwändige Berechnungen durchzuführen, indem ein großer Teil der Server-Ressourcen für diese Aufgabe delegiert wird. Diese können später für DDOS verwendet werden, oder einfach die abgefangenen Computer delegieren, um DOS-verursachende Anfragen zu senden. Dieser Angriff ist schwieriger auszuführen, aber oft effektiver, da er nicht so viele Ressourcen des Angreifers erfordert. Allerdings ist es für das Opfer oft einfacher, das Problem zu lösen, da es nur Änderungen an der Anwendung vornehmen muss, z. B. durch Hinzufügen eines CAPTCHA.

Was ein DDOS nicht ist

Bei DDOS handelt es sich nicht um einen Hackerangriff im vollen Sinne des Wortes. Denn es bricht nicht die Sicherheit, sondern verhindert nur, dass andere Personen den Dienst nutzen. Wenn man zum Beispiel in eine Bank einbricht und Geld stiehlt, ist das Diebstahl, weil das Geld verschwindet. In dieser Situation ist DDOS kein Einbruch, sondern zum Beispiel das Blockieren der Eingangstür, wodurch die Leute keinen Zugang zum Geld haben, das im Safe sicher ist. Daher werden DDOS-Attacken oft von allen Seiten kritisiert, sowohl von „white hat“, „grey hat“ und „black hat“, und die dafür verantwortlichen Personen haben meist keine umfassenden IT-Kenntnisse und wollen nur um jemanden zu verletzen. Manchmal kommt es aber auch vor, dass man auf diese Weise Kunden zur Konkurrenz abschrecken will, durch DDOS eines großen Online-Shops zum Beispiel vor Weihnachten, um Kunden abzuschrecken und zu sich zu ziehen.

Wie man sich verteidigt

Wie sich während der Weihnachtsfeiertage 2014 gezeigt hat, ist die Verteidigung nicht einfach (große DDOS-Angriffe auf die Netzwerke Sony PSN und Microsoft Xbox live verhinderten das Online-Spielen auf ausgewählten Konsolen für bis zu zwei Tage). Denn wie in einer Sanduhr kann nur ein kleiner Teil des Sandes an der engsten Stelle durchfliegen. Um dies zu ändern, müssen Sie zunächst herausfinden, welcher Teil Ihrer Infrastruktur oder Anwendung „erweitert“ werden muss – Erhöhung der Bandbreite oder Hinzufügen von Ressourcen zu Ihrem Server. Dies kann jedoch ein nicht endender und ständig ressourcenintensiver Prozess sein. Oder führen Sie einfach eine Filterung der Sandkörner ein, bevor sie in die Warteschlange zur Absiebung fallen. Durch das Blockieren von UDP-Paketen, die wir nicht erwarten (siehe indirekter Angriff), d.h. wenn wir nur einen internen Zeitserver verwenden, können wir die NTP-Kommunikation, die durch unser Gateway läuft, komplett blockieren, und wenn wir einen internen DNS-Server haben, können wir ihm die Möglichkeit geben, sich nur mit der Außenwelt zu verbinden, um Anfragen zu stellen oder DNS-Antworten zu empfangen, und wenn wir diejenigen sind, die DNS-Zonen für die Welt bereitstellen, können wir darüber nachdenken, die Anzahl der DNS-Antworten für eine bestimmte IP zu begrenzen, was schwierig zu implementieren ist und es ist möglich, dass wir nur Anfragen blockieren, die nicht für den Angriff verwendet werden. Eine bessere Lösung ist es, JEDE DNS-Anfrage nur über TCP zu beantworten, was es schwieriger macht, unseren Server für Angriffe auf andere zu nutzen. Das heißt, die Implementierung einer gut gemanagten Firewall.

Verwendung des „Schilds“

Also mittelalterliche Methoden, wenn jemand uns angreift, müssen wir uns mit einem Schild schützen, unser Hosting bietet als Standard eine Verteidigung gegen DDOS, und wir werden alles tun, um Ihre Seite auch während eines Angriffs zugänglich zu machen. Sie schlafen, wir arbeiten.

Tags

Bitte beachten Sie, dass Sie durch die Nutzung der Website, ohne Ihre Browsereinstellungen zu ändern, der Datenschutzerklärung und der Speicherung von Cookies zustimmen, die ein effizientes Funktionieren unserer Website ermöglichen.