Ein DDoS‑Angriff (Distributed Denial of Service) ist ein Angriff, bei dem ein Dienst, eine Website oder ein Server durch eine große Menge künstlich erzeugter Anfragen überlastet wird. Ziel ist es, den Dienst für legitime Nutzer unerreichbar zu machen.
Wie ein DDoS‑Angriff funktioniert
- Angreifer kontrollieren viele kompromittierte Geräte (ein Botnetz).
- Diese Geräte senden gleichzeitig enorme Mengen an Anfragen an das Zielsystem.
- Der Server oder die Netzwerkverbindung wird überlastet.
- Der Dienst reagiert nicht mehr oder bricht komplett zusammen.
Typische Formen von DDoS‑Angriffen
Volumenbasierte Angriffe
Überfluten die Bandbreite mit riesigen Datenmengen.
Beispiel: UDP‑Floods.
Protokollangriffe
Nutzen Schwächen in Netzwerkprotokollen aus.
Beispiel: SYN‑Floods.
Angriffe auf Anwendungsebene
Zielen auf spezifische Funktionen einer Anwendung.
Beispiel: HTTP‑GET‑Floods gegen Webserver.
Ziele von DDoS‑Angriffen
- Websites oder Dienste lahmlegen
- Erpressung (z. B. Drohung mit Angriffen gegen Lösegeld)
- Ablenkung, um parallel andere Angriffe durchzuführen
- Wettbewerbsschädigung
- Politische oder ideologische Motive
Anzeichen für einen laufenden DDoS‑Angriff
- Plötzliche, extreme Auslastung von Server oder Netzwerk
- Website lädt sehr langsam oder gar nicht
- Dienste brechen sporadisch ab
- Ungewöhnliche Traffic‑Spitzen aus vielen Ländern gleichzeitig
- Monitoring zeigt massive Anfragen von vielen IP‑Adressen
Schutzmaßnahmen
Technische Maßnahmen
- DDoS‑Mitigation‑Services (z. B. über Cloud‑Anbieter)
- Load Balancing und Traffic‑Filter
- Rate‑Limiting
- Firewalls und Intrusion‑Prevention‑Systeme
- Anycast‑Netzwerke zur Lastverteilung
Organisatorische Maßnahmen
- Notfallplan für Cyberangriffe
- Monitoring und Frühwarnsysteme
- Zusammenarbeit mit Hosting‑ und Sicherheitsanbietern
Abgrenzung zu DoS
- DoS | Angriff von einer einzelnen Quelle
- DDoS | Angriff von vielen verteilten Quellen (Botnetz)
