Module 06: Advanced Denial of Service

DDoS Arsenal

Untersuche die Anatomie moderner Überlastungsangriffe. Von roher Gewalt (Volumetrisch) bis hin zu hochpräzisen Protokoll-Exploits.

Select Attack Vector

Layer 3/4: Volumetric
Layer 4: Protocol
Layer 7: Application

Target System Monitor

IP: 10.0.0.12 (Lab Instance)

Online

CPU Usage

2%

Memory

180MB

Inbound Traffic

12 Kbps
// Waiting for packet stream...

Amplification Attacks

Bei Amplification-Angriffen (DNS, NTP, Memcached) sendet der Angreifer eine kleine Anfrage mit der gefälschten (spoofed) Absender-IP des Opfers an einen öffentlichen Server. Der Server antwortet mit einem riesigen Datenpaket an das Opfer. Ein 10-Byte Paket kann eine 5000-Byte Antwort auslösen (Faktor 500!).

Command: Memcached Flooding

python3 memcached-flood.py --target 10.0.0.12 --port 11211 --threads 100

The Slowloris Vibe

Im Gegensatz zu Floods ist Slowloris leise. Es öffnet hunderte Verbindungen und sendet Daten extrem langsam (Byte für Byte). Der Webserver hält diese Verbindungen offen und wartet auf das Ende – bis sein Limit erreicht ist.

Code Example (Python Snippet)

for s in list_of_sockets:
    s.send("X-a: b\r\n".encode("utf-8")) # Send incomplete headers
Attack Type Top Tool Linux Command (Example)
SYN Flood hping3 hping3 -S --flood -p 80 [Target]
HTTP Flood GoldenEye ./goldeneye.py http://[Target] -s 500
UDP Flood LOIC / LOIS loic-cmd -target [Target] -port 53

DDoS Master-FAQ

Verteidigungsstrategien & Tiefenwissen

01. Was ist der fundamentale Unterschied zwischen DoS und DDoS?

Der Unterschied liegt in der Skalierbarkeit und dem Ursprung des Angriffs:

  • DoS (Denial of Service): Ein Angriff von einem einzelnen System. Leicht zu blockieren durch einfaches IP-Blocking an der Firewall.
  • DDoS (Distributed Denial of Service): Ein koordinierter Angriff von tausenden infizierten Geräten (Botnetz). Eine IP-Sperre ist hier wirkungslos, da der Traffic global verteilt ist.
02. Warum sind Amplification Attacks technisch so effizient?

Amplification nutzt das Prinzip des asymmetrischen Traffics. Der Angreifer sendet eine winzige Anfrage (z.B. 60 Bytes) an einen Dienst (DNS, NTP) mit der gefälschten Absender-IP des Opfers. Der Dienst antwortet dem Opfer mit einem massiven Paket (bis zu 50.000 Bytes).

Ein Hebel-Faktor von 1:100 bedeutet: Mit 10 Mbit/s Upload erzeugt der Angreifer 1 Gbit/s Last beim Opfer.
03. Wie bricht eine SYN-Flood den TCP 3-Way-Handshake?

Normalerweise antwortet ein Server auf ein SYN-Paket mit einem SYN-ACK und reserviert Speicherplatz für die Verbindung. Bei einer SYN-Flood schickt der Angreifer niemals das finale ACK zurück. Der Server hält die "halboffene" Verbindung im RAM, bis keine neuen legitimen Nutzer mehr angenommen werden können (Backlog Queue Overflow).

04. Warum ist "Slowloris" schwerer zu erkennen als eine UDP-Flood?

Slowloris verbraucht kaum Bandbreite und sieht für einfache Monitoring-Tools wie normaler HTTP-Traffic aus. Der Angriff hält Verbindungen offen, indem er unvollständige Header extrem langsam sendet. Da die Pakete "legal" wirken, greifen klassische Volumen-Filter nicht. Erst eine Inspektion der Verbindungsdauer (Timeouts) entlarvt den Angriff.

05. Was ist "Cloud-Scrubbing" und wann brauche ich es?

Wenn ein Angriff größer ist als deine Internetleitung (z.B. 100 Gbit/s Angriff auf 1 Gbit/s Leitung), nützt eine lokale Firewall nichts. Scrubbing Center (von Anbietern wie Cloudflare) leiten deinen Traffic um, filtern die bösartigen Pakete in Hochleistungs-Zentren aus und schicken nur den "sauberen" Traffic an deinen Server zurück.

06. Wie ist die rechtliche Lage bei DoS-Stresstests?

DoS-Angriffe ohne explizite, schriftliche Genehmigung des Zielinhabers sind als Computersabotage strafbar. In professionellen Audits werden "Stresstests" nur in abgesprochenen Zeitfenstern durchgeführt, um den realen Betrieb nicht zu gefährden. Unwissenheit schützt hier nicht vor Strafe!