Was ist eine DoS / DDoS Attacke?


Grafik: Bei einer DDoS Attacke werden die Angriffsziele über eine Vielzahl verteilter Rechner-Systeme solange mit Anfragen "befeuert", bis der Dienst überlastet und ausfällt.
DoS steht für Denial of Service (Dienstverweigerung) und bezeichnet den Ausfall eines Dienstes innerhalb der Informationstechnik, z.B. den Internetzugang, Betriebsysteme oder auch Host-Dienste wie http. Eine Überlastung von Infrastruktursystemen und ein Ausfall eines oder mehrerer Dienste kann grundsätzlich vielfältige Ursachen haben. Im Zusammenhang mit DoS / DDoS werden gezielte Attacken durch externe Angreifer auf Server, einzelne Komponenten oder ganze Datennetze ausgelöst. DDoS- (sogenannte Distributed Denial of Service) Attacken stellen eine häufige Variante dar, bei denen der Angriff gezielt über eine Vielzahl verteilter Systeme oder ganzer "Botnetze" ausgelöst wird, um auch größere Angriffsziele "lahmzulegen" und den Ausgangspunkt der DDoS Attacke zu verschleiern. Dabei werden Server und deren gehosteten Systeme wie Webseiten, E-Commerce-Systeme, Anwendungen mit Anfragen überflutet, bis das System überlastet und ausfällt. Gerade in Zeiten der wachsender Kollaborationsnetzwerke und digitaler Kommunikation entfalten DDoS Attacken heute signifikante Schäden in der Geschäftswelt. Mit dieser Art der Cyber-Kriminalität wird u.a. das Ziel verfolgt, Lösegeld von Unternehmen zu erpressen, Wettbewerbern zu schaden oder Protestaktionen auszulösen.

DDos-Anbieter Benchmark

Kriterium / Anbieter
Name des Dienstes IncapsulaArbor CloudLink11 DDoS ProtectionDDOS ProtectionMyra
Standorte/Länder Weltweit Weltweit Frankfurt, Hamburg, Stuttgart, London Israel (HQ), EMEA, NA, SA, APAC k.A.
Gründungsjahr 2009 2000 2005 1996 k.A.
Anzahl der Mitarbeiter 1.000+ 600 26 1000 k.A.
Anzahl der Mitarbeiter (Deutschland) 10 n.a. 25 25 k.A.
Anzahl (DDoS-) Kunden weltweit 5000 1.000+ k.A. >300 k.A.
Anzahl (DDoS-) Kunden in Deutschland > 200 n.a. k.A. >50 k.A.



Sie werden angegriffen und möchten eine akute DDoS Attacke abwehren?

DDoS Attacke abwehren


Sie möchten eine DDoS Beratung und Angebote zum DDoS Schutz anfordern?

DDoS Beratung


Sie möchten unser Whitepaper "DDoS - Attacken nachhaltig abwehren" herunterladen?

Whitepaper herunterladen










Warum ist ein Schutz vor DDoS Angriffen notwendig?

Allein im ersten Halbjahr 2015 hat das Bundesministerium für Sicherheit in der Informationstechnik (BSI) 29.437 DDoS Angriffe in Deutschland verzeichnet, was einem Zuwachs von rund 17 Prozent gegenüber dem Vorjahreszeitraum entspricht. Gleichzeitig ist die Bandbreite der DDoS Angriffe von 1,315 auf 1,435 Gbps und die durchschnittliche Paketrate von 469,889 auf 665,691 Kpps um 42 Prozent deutlich angestiegen. In 2016 stieg die Zahl der untersuchten DDoS Attacken laut dem DDoS Intelligence Report von Kaspersky Lab im ersten Quartal 2016 gar um das Vierfache Volumen an. Zwar konzentrieren sich die registrierten DDoS Angriffe in den meisten Fällen auf nur wenige Länder, jedoch ist auch Deutschland unter den Top 10 auf der Liste der betroffenen Angriffsziele. Durchschnittlich verursacht eine erfolgreiche DDoS Attacke einen Schaden von rund 50.000 USD. Laut einer aktuellen Umfrage von Kaspersky Lab ist heute bereits jedes sechste Unternehmen Opfer einer DDoS Attacke geworden, im Bereich der Großunternehmen gar jedes vierte Unternehmen. Insbesondere Onlineshop-/ E-Commerce-Anbieter, IT-Dienstleister, Onlinespiele-Betreiber, Unternehmen aus der Finanzindustrie wie Banken und Versicherungen sowie Behörden und Regierungen waren in der Vergangenheit massiven DDoS Angriffen ausgesetzt, die sich in der Dauer der Angriffe deutlich unterscheiden und sich teilweise auf über 24 Stunden erstrecken können.


Grafik: Bei DDoS Attacken bleibt die Identität der Angreifer aufgrund der Verwendung einer Vielzahl mit Schadsoftware infizierter Rechnersysteme (Botnet) in den meisten Fällen verschleiert.

„Was die Gefahr der Denial of Service Attacken in Deutschland aber neben der steigenden Anzahl und Komplexität der DDoS Angriffe so präsent macht ist die zunehmende Vernetzung technischer Systeme und deren Öffnung für das Internet nach innen und außen“, weiß Michael Gottwald (SoftSelect GmbH). „Insbesondere im Zusammenhang mit den Entwicklungen der Industrie 4.0, dem Internet der Dinge und den wachsenden Kollaborationsnetzwerken mit Lieferanten, Kunden und Servicepartnern eröffnen sich hier Cyber-Kriminellen stetig neue Angriffsflächen. Im Kontext industrieller Steuerungskomponenten im produzierenden Gewerbe gewinnt die Bedrohung durch DoS und DDoS Angriffe zunehmend an Bedeutung. Die Akzeptanz von Lösungen für die Industrie 4.0 wird daher ganz entscheidend von der Entwicklung eines ganzheitlichen Risikomanagements und von übergreifenden IT-Sicherheitsstandards abhängen.“

DDoS Attacken, die heute bereits für eine Hand voll Dollar in Auftrag gegeben werden können, haben sich vielerorts zu einem rentablen Geschäftsmodell für Cyber-Erpresser entwickelt, zumal das Tracing bzw. die Rückverfolgung der Angriffe dabei kaum mehr möglich ist. 

Schutz vor DDoS Angriffen - Trügerische Sicherheit

„Leider verlassen sich heute zu viele Unternehmen in puncto DDoS-Schutz und die Abwehr von DDoS Attacken auf ihren Internet Service-Provider. Dass jedoch der Schutz vor DDoS Angriffen vielfach nicht zum Leistungsportfolio der Service-Provider oder Webhosting-Anbieter gehört und viele Dienstleister ohnehin gar nicht in der Lage sind, einen wirksamen und adäquaten Schutz vor komplexen DDoS Attacken zu bieten, ist den Unternehmen häufig gar nicht bewusst“, gibt  Michael Gottwald von SoftSelect zu bedenken. „Hinzu kommt, dass auch die internen Verantwortlichkeiten, ob der Schutz vor DDoS Angriffen in den Bereich der IT-Abteilung, der Geschäftsführung, der etwaigen Security- und Compliance-Abteilung oder dem Risikomanagement zuzuordnen ist, häufig nicht klar definiert sind.“

Arten von DoS und DDoS Angriffen


Grafik: Für die DoS / DDoS Attacke machen sich Angreifer Sicherheitslücken von PCs zunutze, um Schadsoftware zu installieren, diese zu einem jederzeit aktivierbaren "Bot-Netz" zusammenzuschließen und schließlich gezielte Angriffe auf den Zielserver auszuüben.
Während sich DoS und DDoS Attacken früher vorwiegend noch auf die Netzwerkebene (Layer bzw. Schicht zwei bis vier nach dem OSI Schichtenmodell) konzentrierten, werden heute auch vermehrt Angriffe auf der Anwendungsebene (bis Layer sieben) des Zielsystems durchgeführt. Dabei lassen sich eine Vielzahl von DDoS Angriffsarten unterscheiden. Die am häufigsten genutzten Angriffsarten lassen sich grob wie folgt klassifizieren:

volumenbasierte Überlastungsangriffe

die auch „Flooding“ genannte Methode zielt darauf ab, die Bandbreite der Internetanbindung zu überlasten, indem ein die jeweilige Bandbreite übersteigendes Datenvolumen vom gekaperten Botnet erzeugt und an das Netzwerk gesendet wird. Auf diese Weise wird das Ziel mit Datenpaketen „überschwemmt“ mit der Folge, dass das Netzwerk oder einzelne Komponenten wie Server, Firewall oder Router unter der Datenlast zusammenbrechen und auch der legitime Datenverkehr  sein Ziel nicht mehr erreicht. Typische Beispiele für volumenbasierte DDoS Überlastungsangriffe sind u.a. das Flooding von SYN- oder SYN-ACK-Paketen (Daten-Flooding zur Vermeidung eines erfolgreichen 3-Wege-Handshakes zwischen Client und Server auf dem TCP Protokoll), ICMP-Paketen (z.B. Pings, die der Server der Reihe nach versucht, zu beantworten) oder eine Smurf-Attacke, bei der ein Ping-Paket mit einer Echo-Anfrage an das Zielsystem gesendet wird, das wiederum von den Clients seines gesamten Netzwerkes  Antworten erhält und so die Datenüberflutung auslöst.

DDoS Angriff auf der Anwendungs- und Infrastrukturebene

Attacken auf der Anwendungsebene verfolgen das Ziel, die Prozesse und Ressourcen für den siebten Layer wie die SMTP und http Protokolle, die z.B. für die Email-Dienste oder Kommunikation über den Web-Browser verantwortlich sind, lahmzulegen. Gezielte Angriffe auf den Webserver und die darüber bereitgestellten Webseiten sind gegenüber den volumenbasierten Angriffen von herkömmlichen Firewalls schwieriger zu identifizieren, da die http Anfragen kaum von legalen bzw. menschlichen Webanfragen zu unterscheiden sind. In der Vergangenheit ist insbesondere die Anzahl und Komplexität dieser sogenannten „Layer 7 Attacken“ weiter angewachsen.

DNS Angriffe

Das Domain Name System übersetzt den angezeigten Domänennamen in numerische IP-Adressen. Da das DNS heute von nahezu allen Client-Systemen zur Verknüpfung von Anfragen verwendet wird, ist das Domain Name System ein attraktives Ziel für Angreifer, um den Zugriff auf sämtliche Web- und E-Mail-Anwendungen zu verhindern. Eine beliebte Angriffsmethode ist der Versand von fehlerhaften UDP- (User Data Protocol – Netzwerkprotokoll auf dem dritten Layer) Paketen, die der DNS-Server versucht zu beantworten. In der Folge verbraucht er seine Ressourcen alleinig für die fehlerhaften Flooding-Anfragen und steht nicht mehr für legitime Anfragen zur Verfügung. Bei einer DNS Amplification Attacke werden die Angriffe noch verstärkt, indem der Angreifer seine IP-Adresse verschleiert und stattdessen die IP-Adresse des Opfers übermittelt, so dass der DNS-Server eine Flut von Antworten an das Ziel-System versendet und so die Internetverbindung überlastet.

DDoS Multi-Vektor-Attacken

In der Praxis werden jedoch die Angriffe immer  koordinierter und kombinieren mit sogenannten Multi-Vektor-Angriffen verschiedenste Angriffstechniken, um  adaptiv auf Abwehrmechanismen des Opfers zu reagieren und Lücken in der Abwehrstrategie auszunutzen. Die Anzahl der Multi-Vektor-Attacken ist in den vergangenen Jahren deutlich angestiegen.


Sie werden angegriffen und möchten eine akute DDoS Attacke abwehren?

DDoS Attacke abwehren


Sie möchten eine DDoS Beratung und Angebote zum DDoS Schutz anfordern?

DDoS Beratung


Sie möchten unser Whitepaper "DDoS - Attacken nachhaltig abwehren" herunterladen?

Whitepaper herunterladen










(default) 0 query took ms
NrQueryErrorAffectedNum. rowsTook (ms)