Trojaner werden häufig verwendet, um DDoS-Angriffe (Distributed Denial of Service) gegen Zielsysteme zu starten, aber was ist ein DDoS-Angriff und wie werden sie ausgeführt?
In seiner grundlegendsten Ebene überfordert ein DDoS-Angriff (Distributed Denial of Service) das Zielsystem mit Daten, sodass die Antwort des Zielsystems entweder verlangsamt oder ganz gestoppt wird. Um die notwendige Menge an Verkehr zu erzeugen, wird meistens ein Netzwerk von Zombie- oder Bot-Computern verwendet.
DDoS, Zombies und Botnets
Zombies oder Botnets sind Computer, die von Angreifern in der Regel durch den Einsatz von Trojanern gefährdet wurden. Dadurch können diese gefährdeten Systeme ferngesteuert werden. Zusammengenommen werden diese Systeme so manipuliert, dass der hohe Verkehrsfluss entsteht, der für einen DDoS-Angriff erforderlich ist.
Die Nutzung dieser Botnets wird häufig von Angreifern versteigert und gehandelt. Daher kann ein kompromittiertes System von mehreren Kriminellen kontrolliert werden, die jeweils unterschiedliche Zwecke verfolgen. Einige Angreifer verwenden das Botnet möglicherweise als Spam-Relay, andere dienen als Download-Site für schädlichen Code, andere als Hosts für Phishing-Betrug und andere für die oben genannten DDoS-Angriffe.
Wie geschieht ein DDoS-Angriff?
Es können verschiedene Techniken verwendet werden, um einen Angriff mit verteiltem Denial of Service zu erleichtern. Zwei der häufigsten sind HTTP GET-Anforderungen und SYN-Floods. Eines der berüchtigsten Beispiele für einen HTTP-GET-Angriff stammt vom MyDoom-Wurm, der auf die SCO.com-Website abzielte. Der GET-Angriff funktioniert wie sein Name vermuten lässt - er sendet eine Anfrage für eine bestimmte Seite (im Allgemeinen die Startseite) an den Zielserver. Im Fall des MyDoom-Wurms wurden von jedem infizierten System pro Sekunde 64 Anforderungen gesendet. Da Zehntausende von Computern vermutlich mit MyDoom infiziert waren, erwies sich der Angriff für SCO.com schnell als überwältigend und warf ihn mehrere Tage lang außer Betrieb.
Ein SYN Flood ist im Grunde ein abgebrochener Handshake. Die Internetkommunikation verwendet einen Dreiwege-Handshake. Der initiierende Client wird mit einem SYN initiiert, der Server antwortet mit einem SYN-ACK und der Client soll dann mit einem ACK antworten. Mit gefälschten IP-Adressen sendet ein Angreifer die SYN, was dazu führt, dass die SYN-ACK an eine nicht anfragende (und oft nicht vorhandene) Adresse gesendet wird. Der Server wartet dann ohne Erfolg auf die ACK-Antwort. Wenn eine große Anzahl dieser abgebrochenen SYN-Pakete an ein Ziel gesendet wird, sind die Serverressourcen erschöpft und der Server erliegt dem SYN Flood DDoS.
Es können auch mehrere andere Arten von DDoS-Angriffen gestartet werden, darunter UDP-Fragmentangriffe, ICMP-Floods und der Ping of Death.
