Evtl. ist es den einen oder anderen Aufgefallen. Gestern waren einige der populärsten Internetdienste nicht erreichbar. Betroffen waren davon vor allem US Unternehmen wie Netflix, PlayStation Network, Twitter, CNN, Soundcloud, Spotify und weitere. Vor allem Besucher aus den USA hatten Probleme die Dienste zu erreichen. Aber auch Besucher aus Deutschland, Frankreich und Großbritannien berichteten von Problemen. Grund dafür war ein massiver DDoS Angriff auf den DNS Anbieter Dyn. Laut diversen Experten wohl einer der schwerwiegendsten DDoS Angriffe die es je gab.

Was ist ein DDoS Angriff

Bei einem DDoS-Angriff werden Server, mithilfe von einer massive Anzahl von sinnlosen Anfragen lahmgelegt. Ein Server kann nur eine bestimmte Anzahl an Anfragen gleichzeitig bearbeiten. Je mehr Anfragen kommen, desto mehr hat der Server abzuarbeiten. Sollten aber zu viele gleichzeitige Anfragen ankommen, so geht dieser in die Knie und antwortet nicht mehr. Das passiert manch mal auch unbeabsichtigt, wenn der Server für einen Besucheransturm nicht gewappnet ist. Oft trifft man das bei Online Shops oder Ticketbörsen an, wenn besondere Angebote oder Kartenvorverkäufe losgehen.

Bei einem DDoS Angriff, wird dieses Verhalten ganz bewusst genutzt. Über ein Bot-Netzwerk von mehreren Rechnern, werden dann gezielt tausende von Anfragen an den Server gesendet, damit dieser nicht mehr Reagiert. Die gestrige Aktion muss eine vorher gut geplante, große und gezielte Aktion gegen die Dienste gewesen sein. D.h. die Angreifer wussten genau was sie machen und vor allem wie.

Welche Auswirkungen hat ein DDoS Angriff

Die direkte Auswirkung ist denke ich klar. Der Server reagiert nicht mehr und kann keine Anfragen mehr beantworten. Alle Webseiten und Dienste auf diesen Server sind dann tot. Normalerweise wird auch immer nur gezielt ein Dienst oder Server angegriffen. Wobei natürlich die großen Dienste wie Twitter etc. mehrere Server haben, wo der Dienst läuft. Bei der gestrigen Aktion wurden aber nicht konkret die Dienste direkt angegriffen, sondern die Server von der Firma Dyn. Diese sind einer der größten DNS Server Anbieter der Welt. Vor allem im Enterprise Bereich hat die Firma Dyn viele Kunden. Im Privaten Bereich dürfte die Firma Dyn für ihren DynDNS Dienst bekannt sein. Die großen Firmen setzen natürlich nicht auf den DynDNS Dienst, sondern nutzen die DNS Infrastruktur, der ihnen von Dyn im Enterprise Bereich angeboten wird.

Die gestrigen Angreifer haben also nicht die Server der Internetdienste direkt, sondern die DNS Server von Dyn angegriffen. DNS Server fungieren wie ein Adressbuch für das Internet. Wenn du eine Domain aufrufst, wird diese Anfrage von DNS Server zu DNS Server weitergeleitet, bis der DNS Nameserver der für die Domain zuständig ist erreicht wird und deine Anfrage an den entsprechenden Server leitet. Wenn nun gezielt diese DNS Server lahmgelegt werden, können alle Domainanfragen zu Domains die auf diesen Server liegen, nicht beantwortet werden. Daher waren gestern gleich mehrere große Dienste tot, da diese alle auf Dyn als DNS Anbieter setzen.

Was kann man gegen DDoS machen

Gegen DDoS gibt es leider keine direkte Prävention. Je größer ein Server ist, je mehr Anfragen kann er natürlich beantworten. Allerdings kann ein Server nicht bis in das unermessliche Wachsen. Ausserdem macht das je nach Größe der Webseite auch wirtschaftlich keinen Sinn. Klar kann man mit Load Balancer die aufkommende Last auf mehrere Server verteilen, davon machen aber auch meist nur große Webseiten gebrauch, da es sehr kostenintensiv ist. Damit könnte man zumindest einen DDoS Angriff abfangen oder verkürzen, aber vermutlich nicht verhindern.

Wenn ein DDoS Angriff läuft, gibt es nur wenige Möglichkeiten. Eine ist natürlich das Abschalten des Servers. Keine schöne Art, da deine Webseite nicht erreichbar wäre, aber ist sie ja so auch nicht durch den DDoS. Eine weitere Möglichkeit ist das ausweichen auf einen anderen Server. D.h. du setzt eine andere Server Instanz auf und änderst den Domaineintrag. Da macht es sich bezahlt, wenn du deine Webseite auf CloudServer hast, da hier sehr schnell eine weitere Instanz aufgemacht werden kann. Das ändern des Domaineintrages dauert allerdings etwas, bis er auf allen DNS Server auf der Welt gültig bzw. bekannt ist. Teilweise bis zu 24h.

Das alles hilft aber nur, wenn der Server direkt angegriffen wird. Wenn so wie gestern die DNS Server angegriffen werden, hilft das nicht. Hier kann man nur mithilfe von GeoDNS etwas dagegen machen. Dabei werden weltweit verschiedene DNS Nameserver verwendet, um je nach geografischer Lage des Besuchers schnell entsprechende Antworten zu den richtigen Servern zu geben. Damit wäre die Webseite dann nur in bestimmen Teilen der Erde nicht erreichbar.

Bei kleinen DDoS Angriffen, könnte man auch eine Sperrliste einrichten, um eingehende Anfragen von entsprechenden IP Adressen zu blockieren. Bei großen Angriffen ist das aber fast unmöglich.

Fazit

Das Szenario zeigt, was passieren kann wenn alles Zentralisiert und Vernetzt ist. Vor allem warum man sich nicht unbedingt abhängig machen sollte von externen Diensten. Klar lässt sich das nicht in jeder Lebenslage vermeiden. Aber zum Beispiel bei SmartHome würde ich auf externe Anbieter verzichten. Um seine eigene Webseite vor DDoS zu schützen, kann man nur wenig machen. Bei kleineren Webseite sollte das kein Thema sein, weil da DDoS Angriffe nicht attraktiv sind. Ein DDoS Angriff soll ja größtmöglichen Wirtschaftlichen Schaden zuführen. Große Dienste wie Twitter, PlayStation und co. werden Unmengen an Geld in die Hand nehmen und versuchen sich zu schützen. Das dies nicht immer erfolg hat, hat man am gestrigen Angriff gesehen.