DDoS (Distributed Denial of Service) Attacke

Die Bezeichnung DDoS ist einer Erweiterung von DoS. DoS steht für “Denial of Service”, DDoS steht für “Distributed Denial of Service”.
DoS heißt also grob übersetzt “Verweigerung eines Dienstes”, und basiert auf dem Prinzip, daß Computer nur eine begrenzte Leistungsfähigkeit haben. Jemand, der eine DoS-Attacke auf einen Webserver durchführt, ruft dazu so häufig wie möglich Webseiten von diesem Webserver ab (automatisiert mit Hilfe von Programmen, die die Seite mehrfach pro Sekunde herunterladen können). Dadurch gerät der Webserver an seine Grenzen und kann legitime Besucher der Webseiten nicht bedienen.
Ein kleines Vergleichsbeispiel zwischendurch: eine einzelne Person schickt so viele erdachte Strafanzeigen an einen Staatsanwalt, daß dieser überfordert wird und keine echten Strafanzeigen mehr bearbeiten kann.
Nun hat aber ein einzelner Angreifer nur begrenzte Kapazitäten und kann auch schnell herausgefiltert werden, deswegen werden ernsthafte Angriffe per DDoS, also “Distributed” durchgeführt. Dazu werden möglichst viele Computer mit sehr leistungsfähigen Trojanischen Pferden infiziert. In der Regel wird vielen Computer-Nutzern unter einem Deckmantel jenes Trojanische Pferd untergeschoben (im Prinzip auf die gleiche Art und Weise, wie sich ja auch Viren/Würmer sehr erfolgreich verbreiten).
Diese Trojanischen Pferde empfangen nun im Hintergrund Befehle vom Verursacher, und greifen dann – so gut wie immer ohne Wissen des Computerbesitzers – gemeinsam den Webserver an. Durch diese Methode hat der Verursacher nicht nur wesentlich mehr Leistung zur Verfügung, sondern bleibt auch anonymer.
Oder um es mit dem Beispiel auszudrücken: der Angreifer schickt seine Strafanzeigen nicht mehr selber, sondern überredet mit Hilfe eines Kettenbriefes viele unbedarfte und leichtgläubige Menschen, dies für ihn zu tun.

Zu erkennen ist so eine Attacke eben an gehäuften Zugriffen von bestimmten Computern. Wenn bestimmte Computer bei AOL (als Beispiel) mehrere Tausend Male am Tag auf eine Webseite zugreifen, ist das leicht erklärlich – diese sind u.U. Zwischenstationen für alle AOL-Benutzer, und diese Zwischenstationen (Gateways) erkennt man meist an ihrem Namen (DNS). Wenn allerdings Adressen auf den Server zugreifen, die T-Online (oder andere Anbieter) nur Heimanwendern (die sich per Modem oder DSL ins Internet einwählen) zuweist, sind Zweifel angebracht. Eine T-Online-Heimanwender-Adresse, die in der Woche 600.000 mal Webseiten herunterlädt, ist schwer zu erklären. Das würde bedeuten, daß der Benutzer eine Woche lang ohne Unterbrechung sekündlich eine andere Webseite auf dem Server anschaut. Diese Frequenz kann eigentlich nur von Programmen, die dies automatisieren, erreicht werden.
Im normalen Betrieb sieht man in den Top 10 oder Top 20 der besuchenden Computer (eine Statistik, die die meisten Webserver-Provider anbieten) zu 90% bekannte Gateway-Rechner (wie die erwähnten von AOL und anderen Providern). Wechselt das aber plötzlich und auf einmal sind 90% der häufigsten ‘Besucher’ der Seiten Privatmaschinen mit zudem einer derart hohen Frequenz wie oben beschrieben, und wechseln diese auch noch regelmäßig (Anbieter wie T-Online weisen den Heimanwender täglich neue Adressen zu, so daß der infizierte Computer zwar der gleiche bleibt, aber jeden Tag von einer anderen Adresse angreift), liegt die Wahrscheinlichkeit sehr sehr hoch, daß es sich um einen DDoS-Angriff handelt.