Code auf einem Handy und Laptopbildschirm

Was sind IP Stresser/Booter?

IP Stresser oder auch Booter sind Services, mit denen sich ohne technisches Know-how und für kleines Geld Überlastungsangriffe auf Websites, Webapplikationen, APIs und IT-Infrastrukturen durchführen lassen.

Jetzt absichern mit dem Myra DDoS Schutz
Statistiken auf einem Handybildschirm

01

IP Stresser/Booter: eine Definition

IP-Stresser- bzw. Booter-Services ermöglichen Überlastungsangriffe auf Websites, Server oder Netzwerke. Sie lassen sich schon für eine geringe Gebühr als Dienstleistung von dubiosen Anbietern mieten, die sich zu Dutzenden im Internet tummeln und über eine simple Websuche auffindbar sind. Ihr Kundenkreis besteht vor allem aus Kriminellen ohne technische Kenntnisse, die mit wenigen Klicks Websites oder Webanwendungen per Distributed-Denial-of-Service-Attacke (DDoS) lahmlegen wollen, etwa um die Betreiber zu erpressen oder von weiteren Angriffen abzulenken.

Ablauf einer DDoS-Attacke mittels IP Stresser/Booter

02

Wie funktioniert ein IP Stresser/Booter?

IP-Stresser- oder Booter-Dienste offerieren häufig eine Vielzahl verschiedener Angriffsvektoren zur Zusammenstellung von Attacken nach dem Baukastenprinzip. Meist bieten sie ein Abomodell an: Je nach Abonnementstufe können Kriminelle einzelne, eine begrenzte Anzahl oder unbegrenzt viele Angriffe starten, die von wenigen Sekunden bis zu mehreren Stunden dauern. Die Preise rangieren zwischen einem niedrigen zweistelligen Betrag und mehreren hundert Euro – abhängig von Dauer und Anzahl der gleichzeitig durchgeführten Angriffe. Die Bezahlung erfolgt anonym in Form von Kryptowährungen wie Bitcoin.

Anbieter von DDoS-for-hire-Diensten agieren immer professioneller. Die Serviceleistungen reichen von einer intuitiven Benutzeroberfläche über Kundensupport bis hin zu Video-Tutorials. Mit wenigen Klicks in der Weboberfläche können die kriminellen Kunden die gewünschte Angriffsart auswählen, die IP-Adresse ihres Ziels festlegen und die Attacke über die Angriffsinfrastruktur des Booter-Dienstes starten. Durch eine Masse automatisierter Anfragen oder Datenpakete werden dabei System- bzw. Netzwerkressourcen von Webseiten, Webapplikationen, APIs oder IT-Infrastruktur gezielt überlastet, so dass sie für legitime Anwender:innen nur noch eingeschränkt oder gar nicht mehr verfügbar sind.

Früher mieteten die Betreiber webbasierter IP-Stresser- oder Booter-Dienste von Hosting-Anbietern eine Handvoll Server, die sie hinter Proxys verbargen und im Auftrag ihrer Kundschaft für gezielte DDoS-Angriffe einsetzten. Deren Schlagkraft war entsprechend durch die Anzahl und Leistungsfähigkeit der verwendeten Server beschränkt. Heute bieten DDoS-for-hire-Dienstleister in erster Linie einfachen Zugang zu selbst betriebenen oder angemieteten Botnetzen an, die ein deutlich höheres Schadpotenzial aufweisen. Solche Botnetze können aus hunderttausenden gekaperten Computern und IoT-Geräten bestehen, die ferngesteuert für illegale Aktivitäten wie DDoS-Attacken missbraucht werden.

03

Sind IP Stresser/Booter legal?

Meist geben sich DDoS-for-hire-Dienstleister einen legalen Anstrich, indem sie ihre Services als Stresstest-Tool für Webseiten-Betreiber bewerben. Davon leitet sich auch der Begriff „IP Stresser“ ab. Aber mit dem Verzicht auf einen Identitätsnachweis bei Nutzung und anonymen Bezahloptionen öffnen die Anbieter dem illegalen Einsatz ihrer Dienste Tür und Tor und erschweren zugleich die Strafverfolgung. Grundsätzlich gilt: Stresstests auf eigene IT-Infrastrukturen sind zwar legal. Der unautorisierte Einsatz von IP-Stresser- bzw. Booter-Diensten gegen fremde Ziele verstößt jedoch gegen die Gesetzgebung der meisten Länder. In Deutschland wird dies gemäß § 303b StGB als Computersabotage angesehen und strafrechtlich verfolgt. Wer eine DDoS-Attacke durchführt oder DDoS-for-hire-Dienste entwickelt, anbietet oder nutzt, muss laut Europol mit Gefängnisstrafen und/oder Geldstrafen rechnen.

04

Bekannte Beispiele für IP Stresser/Booter

Wie bereits erwähnt, gestaltet sich die Strafverfolgung von Nutzern und Betreibern illegaler IP-Stresser- oder Booter-Dienste schwierig. Dennoch gelang es Ermittlern in den vergangenen Jahren immer wieder, DDoS-for-hire-Services zu schließen:

vDos

Bis zu seiner Schließung im Herbst 2016 galt vDoS in der Cybercrime-Szene als zuverlässigster und leistungsfähigster Booter-Dienst. Laut Recherchen des Investigativjournalisten und IT-Security-Experten Brian Krebs war er insgesamt für mehr als zwei Millionen DDoS-Attacken verantwortlich. Allein in den vier Monaten von April bis Juli 2016 hat vDoS demnach 277 Millionen Sekunden DDoS-Traffic erzeugt, was einer Gesamtdauer von über acht Jahren entspricht. Der Dienst warb mit Attacken von bis zu 50 GBit/s – mehr als genug, um Webseiten oder Infrastrukturen ohne dedizierten DDoS-Schutz lahmzulegen. Dafür verlangte vDoS Abogebühren von rund 20 bis 200 Dollar pro Monat, die in Bitcoin oder via Paypal bezahlt werden konnten. Die beiden damals 18 Jahre alten Betreiber des illegalen Stresstest-Anbieters wurden 2016 im Auftrag des FBI in Israel festgenommen. Sie sollen ihre Angriffsinfrastruktur auch an andere Booter-Dienste wie Lizard Stresser und PoodleStresser vermietet und so innerhalb von zwei Jahren mehr als 600.000 Dollar eingenommen haben. 2020 verurteilte ein israelisches Gericht die beiden Angeklagten aufgrund ihrer Minderjährigkeit zum Tatzeitpunkt jeweils zur Mindeststrafe von sechs Monaten gemeinnütziger Arbeit.

Webstresser.org

Webstresser.org war einer der weltgrößten und aktivsten DDoS-for-hire-Services, ehe er Ende April 2018 in der international abgestimmten Operation „Power Off“ von Strafverfolgungsbehörden vom Netz genommen wurde. Für eine Abogebühr ab 15 Dollar pro Monat konnten Kriminelle über den Dienst Multi-Gigabit-DDoS-Angriffe starten. Webstresser.org hatte Europol zufolge kurz vor seiner Schließung mehr als 136.000 registrierte Nutzer:innen und war bis dahin für rund vier Millionen DDoS-Attacken verantwortlich. Dazu zählten laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2018 etwa Überlastungsangriffe auf mehrere Banken und zahlreiche andere Finanz- und Regierungsdienstleister in den Niederlanden, in deren Folge Kundinnen und Kunden tagelang keinen Zugang mehr zu ihren Bankkonten hatten.

Quantum Stresser

Quantum Stresser wurde zusammen mit 14 weiteren Booter-Diensten Ende 2018 in einer konzertierten Aktion internationaler Strafverfolgungsbehörden geschlossen. Laut FBI war er seit 2012 aktiv und damit einer der am längsten bestehenden Services seiner Art. Quantum Stresser hatte mehr als 80.000 Abonnenten und soll allein 2018 zur Durchführung von rund 50.000 DDoS-Attacken genutzt worden sein. Die Ermittler kamen dem Betreiber auf die Schliche, weil er für eine Pizzabestellung zu sich nach Hause dieselbe E-Mail-Adresse verwendete, mit der er auch seinen kriminellen Angriffsdienst registriert hatte. Im Februar 2020 wurde der damals 24-Jährige aus dem US-Bundesstaat Pennsylvania angesichts seines schlechten Gesundheitszustands zu einer relativ milden Strafe von fünf Jahren Haft auf Bewährung verurteilt.

Netzwerkverbindungen

05

Welche Gefahren gehen von IP-Stresser- bzw. Booter-Diensten aus?

DDoS-for-hire-Tools wie IP Stresser und Booter machen es auch technisch wenig versierten Kriminellen immer leichter, wirksame Überlastungsangriffe durchzuführen. Wie das BSI schon 2019 in seinem Lagebericht zur IT-Sicherheit in Deutschland ausführte, ist in den letzten Jahren eine regelrechte „Dienstleistungsindustrie für Cybercrime-as-a-Service“ entstanden. Der vereinfachte Zugang zu Botnetzen über Booter-Dienste und eine zunehmende Professionalisierung der illegalen Services trägt entscheidend dazu bei, dass die Zahl der DDoS-Angriffe kontinuierlich ansteigt.

IP Stresser oder Booter ermöglichen sowohl Attacken auf der Vermittlungs- und Transportschicht (Layer 3/4) als auch auf der Anwendungsebene (Layer 7). Kriminelle kombinieren auch vermehrt mehrere Angriffsarten zu Multivektor-Attacken, die parallel auf verschiedene Netzwerkschichten zielen. Hinter DDoS-Angriffen steckt meist die Absicht, die anvisierten Ziele zu erpressen oder andere kriminelle Handlungen vorzubereiten, durchzuführen oder zu vertuschen – beispielsweise Datendiebstahl oder -manipulation.

06

Wie lassen sich DDoS-Angriffe abwehren?

Insbesondere für Unternehmen stellen mittels IP-Stresser- oder Booter-Diensten durchgeführte DDoS-Attacken eine ernsthafte Bedrohung dar. Um finanzielle Schäden und Reputationsverluste durch angriffsbedingte Störungen oder Ausfälle zu vermeiden, sollten Firmen ihre Webressourcen und IT-Infrastruktur präventiv mit einem dedizierten DDoS-Schutz für die Layer 3, 4 und 7 absichern. Entsprechende Schutzlösungen lassen sich etwa als Managed Service beziehen. Sie bieten eine dynamische Angriffserkennung und filtern schädlichen Traffic aus dem eingehenden Datenstrom noch bevor dieser die Firmenserver erreicht. Als Service für Unternehmen und Betreiber größerer Webseiten stellt das BSI eine Übersicht qualifizierter DDoS-Mitigation-Dienstleister bereit.

Produkt DDoS Protection Layer 7

Myra DDoS Protection für unterbrechungsfreie Services

Unsere fortschrittlichen DDoS-Abwehrtechniken innerhalb der Application Security sorgen dafür, dass Ihre Anwendungen selbst bei den stärksten DDoS-Angriffen verfügbar und leistungsfähig bleiben. Wir nutzen intelligente Traffic-Analyse und Mustererkennung, um schädlichen Datenverkehr zu identifizieren und zu blockieren.

Mehr erfahren
Code auf einem Bildschirm

07

IP Stresser/Booter: Das müssen Sie wissen?

IP Stresser oder Booter sind DDoS-for-hire-Services, mit denen auch Personen ohne technisches Wissen mit wenigen Klicks Überlastungsangriffe auf Websites, Webapplikationen, APIs und IT-Infrastrukturen durchführen können. Dafür verlangen die illegalen Dienste in der Regel nur ein paar Euro in Kryptowährung für ein Abopaket. Die zunehmende Verbreitung und Professionalisierung solcher Cybercrime-as-a-Service-Angebote führen zu einem stetigen Anstieg von DDoS-Angriffen, die ein enormes Schadpotenzial aufweisen. Daher sollten sich Unternehmen präventiv dagegen absichern, etwa mit einem dedizierten DDoS-Schutz.