Einige VPN-Provider versprechen im Rahmen ihres Angebots „Schutz vor DDoS-Angriffen“. Im Kontext eines VPN-Anbieters kann das missverständlich sein – daher wollen wir darauf genauer eingehen und Unklarheiten beseitigen.
Denial of Service (DOS) kommt aus dem englischen und steht für die Verweigerung eines Dienstes. Die meisten Leser werden wissen, dass der Zweck von DDoS-Angriffen darin besteht, die Internetverbindung eines Opfers (temporär) lahmzulegen. Das wird erreicht indem das Ziel mit einer hohen Anzahl an überflüssigen Paketen überlastet wird, so dass legitime Anfragen nicht mehr bearbeitet werden können.
Es gibt unterschiedliche Arten von DDoS-Angriffen, die sich im Schweregrad unterscheiden. Für die meisten privaten Internetanschlüsse reicht schon ein simpler Angriff aus, um die Verbindung zu trennen. Kompliziertere Methoden greifen auf Botnets und so genannte Amplification zurück, dabei werden öffentlich verfügbare Dienste wie DNS und NTP benutzt, um noch mehr Traffic zu erzeugen. Solche Angriffe können quasi jede Anbindung lahmlegen. Im vergangenen Jahr erzeugte ein DDoS-Angriff über 1 Terabit/Sekunde Traffic. Es wurden dazu ans Internet angeschlossene Kameras mit einem Botnet infiziert. Martin McKeay, Mitglied des Security-Teams von Akamai äußerte dazu: „Wir werden Brownouts sehen – Phasen in denen ein Rechenzentrum, ein ISP, eine ganze Region mit so viel Traffic überlastet wird, dass die gesamte Region offline geht.“
Der Punkt ist, dass es keine adäquate Verteidigung gegen ernsthafte DDoS-Angriffe gibt. Allerdings ist das auch nichts, worüber sich der normale Internetnutzer sorgen machen muss. Niemand wird ein Botnet riskieren nur um einen einzelnen Nutzer anzugreifen.
Allerdings sind Heimanbindungen schon für wesentlich kleinere Angriffe anfällig – oft benötigt es nicht einmal einen auf mehrere Server verteilten (distributed) Angriff: Verfügt der Angreifer über einen Rechner mit einer Anbindung von 1 Gigabit oder mehr (lässt sich beispielsweise bei Amazon mieten) kann er alleine damit die meisten privaten Internetanschlüsse lahmlegen.
Dazu benötigt der Angreifer aber offensichtlich die öffentliche IP-Adresse des Nutzers und hier kommen VPN-Anbieter ins Spiel: Da ein VPN die vom Provider zugewiesene IP verbirgt, kann ein Angreifer lediglich die IP-Adresse des VPN-Servers herausfinden.
Zumindest begrenzt schützt also die Benutzung eines VPNs zwangsläufig vor DDoS-Angriffen, da VPN-Server normalerweise wesentlich besser angebunden sind, als der typische private Internetzugang. Und selbst wenn es dem Angreifer gelingt, den VPN-Server zu überlasten, kann der Nutzer einfach auf einen anderen Server wechseln: Perfect Privacy bietet über 25 Server mit Gigabit-Anbindung an und man kann den Server jederzeit kostenfrei wechseln, was nicht bei allen VPN-Anbietern selbstverständlich ist.
Wie erwähnt, muss ein Angreifer zunächst die IP des Opfers kennen, bevor er den Angriff ausführen kann. Das ist aber nur unter bestimmten Bedingungen möglich. Einige VPN-Provider preisen Ihren „DDoS Schutz“ als Vorteil für Gamer an. Dabei ist bei Internet-Spielen nur in den seltensten Fällen die IP-Adressen anderer Spieler zu sehen. Auf Game-Servern von Spiele-Plattformen wie Steam, EA oder Ubisoft werden grundsätzlich keine IP-Adressen weiterübermittelt. Das Problem bei Gaming besteht eher darin, dass die Spiele-Server selbst angegriffen werden und dann nutzt ein VPN bei den Spielern natürlich überhaupt nichts.
Es gibt mittlerweile nur noch wenige Dienste bzw. Protokolle, bei denen die Nutzer IP-Adressen von anderen sehen können und die meisten davon stammen aus dem letzten Jahrtausend. Beispielsweise wird in einigen IRC-Netzwerken (z.B. efnet) grundsätzlich die IP-Adresse für alle angezeigt. Neuere IRC-Netzwerke bieten aber meist eine Maskierungsosption an, so dass die IP verschleiert wird. Und auch BitTorrent-Clients zeigen die IP-Adressen der Peers an, aber aus offensichtlichen Gründen will man für BitTorrent ohnehin ein VPN verwenden.
Eine typische Methode, um an die IP eines Nutzers zu gelangen, ist ihn dazu zu bringen, eine Webseite zu besuchen, auf dessen Server der Angreifer Zugriff hat. Das kann über E-Mail, Social Media oder Chat-Nachrichten geschehen.
In diesem Fall bestehen aber wesentlich größere Gefahren, als einem DDoS-Angriff ausgesetzt zu werden: Beispielsweise kann der Computer dann durch Ausnutzung von Sicherheitslücken mit Schadsoftware infiziert werden. Daher sollte man auch nicht obskure Webseiten besuchen, die einem von unbekannten Personen „empfohlen“ werden.
Die DDoS-Bedrohung ist für Heimanwender also eher esoterisch. Und da die Verwendung eines VPNs wie oben beschrieben zwangsläufig die Bedrohung verringert, sind wir bei Perfect Privacy niemals auf die Idee gekommen, dies als ein „Feature“ anzupreisen.