In meiner Bachelorarbeit habe ich mich mit der Bewertung von DDoS Protection Service (DPS)-Anbietern, insbesondere DOSArrest und Akamai, beschäftigt. Das übergeordnete Ziel war es, die potenziellen Schwachstellen in ihren Schutzmechanismen zu untersuchen. Der Umfang meiner Forschung war breit gefächert und umfasste eine Untersuchung der eine Million am häufigsten besuchten Domains. In der ersten Phase wurden die Domains kategorisiert, um ihre Zugehörigkeit zu einem der DPS-Anbieter oder zu anderen Unternehmen festzustellen. Dieser Prozess führte zur Identifizierung von etwa 5500 Domänen, die mit Akamai verbunden sind, und etwa 260 Domänen, die mit DOSArrest in Verbindung stehen. Anschließend wurde die Aufgabe in Angriff genommen, die Route über die DPS-Anbieter zu durchdringen, um den Ursprungsserver der Domain zu erreichen. Zu diesem Zweck wurden gängige Angriffsvektoren wie das Scannen von Subdomains und DNS-Sondierungen eingesetzt. Bei der Analyse der über diese Vektoren abgerufenen IP-Adressen wurde der Inhalt der Seiten verglichen, die durch das Senden von Anfragen sowohl an die IP-Adresse als auch an den DPS-Anbieter zurückgegeben wurden. Dabei wurde die Ähnlichkeit der beiden Seiten ermittelt, eine Berechnung, die durch den Levenshtein-Distanzalgorithmus erleichtert wurde. Die Unterscheidung zwischen DPS-Providern, Hosting-Providern und Proxy-Servern stellte jedoch eine Herausforderung dar, da der Datenverkehr möglicherweise zum DPS-Provider der Domain umgeleitet wird. Im Fall von Akamai konnten wir etwa 1200 IP-Adressen aufspüren, wobei sich die DNS-Einträge als die anfälligste Komponente erwiesen. Darüber hinaus wurde ein innovativer Angriffsvektor in die Methodik eingeführt. Dieser Vektor drehte sich um die Analyse historischer Schnappschüsse von Domain-Websites, die im Internet Archive gespeichert sind. Die detaillierte Prüfung wurde auf jährliche und monatliche Versionen für jede Domain ausgedehnt. Die Untersuchung umfasste die Identifizierung von fest kodierten IPs und referenzierten Subdomains. Auf diese Weise konnten die ursprünglichen IP-Adressen aufgedeckt werden. In Bezug auf Akamai haben wir rund 180 anfällige Domänen aufgedeckt, was etwa 3,5 % der Gesamtzahl entspricht. Darüber hinaus umfasste die Studie die Durchführung von fünf umfassenden groß angelegten Scans. Diese Scans wurden für Domains durchgeführt, die mit früheren Methoden keine Herkunfts-IP-Adressen geliefert hatten. Dazu leiteten wir Domain-as-Header-Anfragen an alle denkbaren IPv4-Adressen weiter und verglichen anschließend die Ergebnisse. Diese Analysen umfassten fast 14 Millionen erfolgreich abgerufene Seiten für jede Domain. Trotz eines Auswertungsintervalls von etwa 150 Stunden blieb der Ursprung in allen Fällen bis auf einen unauffindbar. Bei dieser Domäne war die Spanne besonders gering, da nur noch 28 IP-Adressen untersucht werden konnten.