Eine sehr effektive Möglichkeit bietet außerdem die Auswertung des Datenverkehrs im Backbone des Netzwerkes. Im Angriffsfall lassen sich darüber angreifende IP-Adressen oder auch ganze Subnetze mit Bot-Aktivität sperren. Provider können DDoS-Angriffe jedoch erst abwehren, wenn eine DDoS-Attacke bereits läuft. Das BSI empfiehlt, mit dem Provider entsprechend vorher Methoden und Strategien zu vereinbaren und Notrufnummern auszutauschen, um im Bedarfsfall schnell reagieren zu können. Entsprechende DDoS-Schutzpakete der Provider sollten neben technischen Maßnahmen und Toolkits auch Verfahrensregeln für den Notfall enthalten.
SYN-Flood: DDoS-Attacke auf Protokollebene
Bei den DDoS-Angriffen auf Protokollebene ist die SYN-Flood-Attacke eine der bekanntesten Angriffsarten. Um die Methode zu verstehen, ist es notwendig, sich mit den Netzwerkprotokollen und speziell mit TCP-Verbindungen zu befassen. Das weithin verbreitete Transmission Control Protocol (TCP) ist das Protokoll der Wahl, wenn es darum geht, dass Systeme sich miteinander über das Internet verbinden.
Zum Aufbau einer TCP-Verbindung auf Layer 4 sendet der Client ein Paket. Der Server empfängt das SYN-Paket, notiert den Empfang in einer Verbindungstabelle und schickt ein SYN-ACK-Paket zurück. Der Client sendet dann ein ACK-Paket (von englisch acknowledgement, also als Quittierung) als Empfangsbestätigung an den Server, um den Verbindungsaufbau abzuschließen. Dieser Vorgang wird als „Drei-Wege-Handshake” bezeichnet.
Während eines SYN-Flood-Angriffs sendet der von Malware befallene Client eines Botnetzes massenhaft SYN-Pakete, jedoch niemals eine Bestätigung zum Abschluss des Handshakes. Dadurch wartet der Server auf eine Antwort für diese halboffenen TCP-Verbindungen, wobei er ständig neue Verbindungen durch ankommende Pakete offen halten muss. Nach kurzer Zeit ist es nicht mehr möglich, weitere Verbindungen herzustellen – und die Website ist nicht mehr erreichbar.
HTTP-Flood: Eine DDoS-Attacke auf Anwendungsebene
DDoS-Attacken auf der Anwendungsschicht (Layer 7) basieren auf bereits aufgebauten Verbindungen und haben sich zu einer der häufigsten Angriffsformen entwickelt. Sie zielen darauf ab, die Überlastung einer Webapplikation durch eine Flut von HTTP-Anfragen hervorzurufen – daher auch der Name „HTTP-Flood”.
Attacken auf der Applikationsebene werden häufig nicht sofort bemerkt, da es sich um Standard-URL-Anfragen handelt, die sich wie regulärer Traffic verhalten. Nur entsprechende Layer-7-Schutzmaßnahmen und Zugriffsauswertungen, die automatisch auf ungewöhnliche Auslastung reagieren, bieten hier wirksamen Schutz und können einen Angriff tatsächlich abwehren.
DNS-Amplification: DDoS-Angriff zur Überlastung des Datennetzes
Beim DNS-Amplification-Angriff (engl. „amplification” für Verstärkung) konzentrieren Angreifer:innen gezielt DNS-Datenströme auf den Internetanschluss der Zielsysteme, um diese damit zu blockieren. Sie nutzen dabei den Effekt, dass Namensserver in bestimmten Fällen auf kurze Anfragepakete mit sehr langen Paketen antworten. Je nach DNS-Anfrage sendet der Server unterschiedlich lange Pakete zurück. Solch eine Anfrage kann beispielsweise die nach der Adresse zu einem bestimmten Namen sein. Durch diese Methode ist es möglich, aus einer 60 Bytes umfassende Anfrage eine mehr als 3.000 Bytes lange Antwort provozieren. Das Datenvolumen vergrößert sich also um den Faktor 50.
Bei einem dokumentierten Angriffsfall auf die Antispam-Organisation „spamhaus.org” führte eine 36-Byte-Anfrage zu Antworten von über 3.000 Zeichen, was fast einer Vergrößerung um den Faktor 100 entspricht. Besonders heimtückisch bei dieser Angriffsart ist, dass für Opfer derartiger Angriffe meist nur die IP-Adressen der Nameserver sichtbar sind, nicht aber die des oder der eigentlichen Angreifer:in.
DRDoS: Die Sonderform der DDoS Attacke
Bei einer Distributed-Reflected-Denial-of-Service-Attacke (DRDoS) handelt es sich um eine Sonderform des DoS-Angriffs. Hierbei werden der betroffene Server oder die Website nicht direkt, sondern über einen Dritten angegriffen. Meist handelt es sich dabei reguläre Internetdienste, die durch IP-Spoofing oder andere Techniken manipuliert werden, um Traffic auf das jeweilige Ziel zu leiten.