Ein DDoS-Angriff (Distributed Denial-of-Service) tritt auf, wenn mehrere Systeme die Bandbreite oder die Ressourcen eines Zielsystems (in der Regel einen oder mehrere Webserver) überfluten. Ein solcher Angriff ist oft das Ergebnis mehrerer kompromittierter Systeme (z. B. ein Botnetz), die das Zielsystem mit Datenverkehr überschwemmen. Ein Botnetz ist ein Netzwerk von Zombie-Computern, die so programmiert sind, dass sie Befehle ohne das Wissen des Besitzers erhalten. Wenn ein Server mit Verbindungen überlastet ist, können neue Verbindungen nicht mehr akzeptiert werden.
Die Hauptvorteile eines Angreifers bei der Verwendung eines Distributed Denial-of-Service-Angriffs bestehen darin, dass mehrere Maschinen mehr Angriffsdatenverkehr als eine Maschine generieren können, mehrere Angriffsmaschinen schwieriger abzuschalten sind als eine Angriffsmaschine und das Verhalten jeder Angriffsmaschine kann verstohlener sein, was das Nachverfolgen und Herunterfahren erschwert.
Ablauf des DDoS-Angriffs
Ein System kann auch mit einem Trojaner kompromittiert sein, sodass der Angreifer einen Zombie-Agenten herunterladen kann, oder der Trojaner kann einen solchen enthalten. Angreifer können auch mit automatisierten Tools in Systeme eindringen, die Fehler in Programmen ausnutzen, die auf Verbindungen von Remote-Hosts warten. Dieses Szenario betrifft hauptsächlich Systeme, die als Server im Internet fungieren. Ein SYN-Flood kann ebenfalls verwendet werden. Neuere Tools können DNS-Server für DoS-Zwecke verwenden. Anspruchsvollere Angreifer nutzen DDoS-Tools zum Zweck der Erpressung – sogar gegen ihre Konkurrenten.
Einfache Angriffe wie ein SYN-Flood können bei einer großen Anzahl von Quell-IP-Adressen auftreten, was den Eindruck eines gut verteilten DoS vermittelt. Diese Flutangriffe erfordern keine Beendigung des TCP-Dreiwege-Handschlags und versuchen, die SYN-Zielwarteschlange oder die Serverbandbreite zu erschöpfen. Da die Quell-IP-Adressen trivial gefälscht sein können, könnte ein Angriff aus einer begrenzten Anzahl von Quellen stammen oder sogar von einem einzelnen Host stammen.
