Was ist eine Denial-of-Service (DoS) Attacke?

Eine Denial-of-Service Attacke (DoS) versucht einen Server so zu überfordern, dass dieser die Anfragen nicht mehr bearbeiten kann und dabei vielleicht zusammenbricht.

13 Mai 2022

Was passiert bei einer Denial-of-Service Attacke?

Bei einer Denial-of-Service Attacke, versucht ein Angreifer durch eine Vielzahl an Anfragen einen Server so zu überfordern, dass dieser nicht mehr in der Lage ist Anfragen zu bearbeiten und im schlimmsten Fall zusammenbricht. Bei einer einfachen Denial-of-Service Attacke überfordert der Angreifer meist einen Dienst. Diese Dienste:

HTTP Flooding

Dies ist die einfachste Variante einer Denial-of-Service Attacke. Hier bombardiert ein Angreifer den Webserver seines Ziels mit einer Vielzahl an HTTP Requests. Dazu muss er lediglich möglichst häufig beliebige Seiten seines Ziels aufrufen. Der Server kommt irgendwann nicht mehr mit der Anzahl an Anfragen klar und bricht zusammen.

Syn Flooding

Wenn eine Verbindung in TCI/IP basierten Netzwerken aufgebaut wird, dann wird zunächst ein sogenannter Handshake ausgeführt. Dazu werden SYN und ACK Pakte ausgetauscht. Der Client der die Anfrage schickt, beginnt hierbei mit dem Versand eines SYN-Paketes und der kontaktierte Client antwortet mit einem ACK-Paket. In diesen Paketen sind Daten zu dem jeweiligen Client enthalte, die wichtig für eine Verbindung sind, wie z.B. die IP-Adresse. Bei dem Syn Flooding schickt der Angreifer nun so viele SYN-Pakete an das Opfer. Dabei wird in den Paketen aber nicht die IP des Angreifers übertragen, sondern es wird eine andere im Internet erreichbare, gefälschte IP-Adresse gewählt. Nun versucht der angegriffene Client auf die ganzen SYN-Pakte zu antworten, indem er an die gefälschten IP-Adressen ein SYN-ACK-Paket schickt. Dadurch, dass die Clients hinter diesen Adressen, aber keine Verbindungsanfrage geschickt haben, reagieren sie aber nicht zurück. Der angegriffene Client versucht es über einen Zeitraum immer wieder eine Verbindung aufzubauen, bis er letztendlich aufgibt. Dabei verbraucht er all seine Verbindungskapazitäten und ist für andere Anfragen nicht mehr verfügbar.

UDP Flooding

Neben TCP/IP basierten Verbindungen gibt es noch einen UDP basierten Austausch an Daten. Das sogenannte User Datagram Protocol ist dabei verbindungslos und somit können auch ohne eine vorher aufgebaute Verbindung Daten übermittelt werden. Bei einer Denial-of-Service Attacke wird somit eine Vielzahl an an UDP-Paketen an zufällig gewählte Ports des Ziels gesendet. Das Zielsystem versucht nun zu ermitteln, welche Anwendung auf die übermittelten Daten wartet, ist dabei aber erfolglos. Das führt dann dazu, dass das Zielsysteme ein ICMP-Paket mit der Nachricht „Zieladresse nicht erreichbar“ an den Absender schickt. Werden hier besonders viele Anfragen gleichzeitig geschickt, kann dies zur Überlastung des Systems führen.

Ping Flooding

Das Programm Ping dient dazu, zu überprüfen, ob andere Rechner in einem Netzwerk erreichbar sind. Dabei schickt ein Rechner 1 einem Rechner2 einen Ping, wenn Rechner2 erreichbar ist, schickt dieser ein Pong zurück. Beim Ping Flooding schickt der Angreifer nun eine große Menge an Pings. Der angegriffene Rechner ist nun nur noch damit beschäftigt auf diese Pings zu antworten. Dies kann dann zu einem Systemabsturz kommen. Wie schnell es jedoch zu einem Systemabsturz kommt, ist abhängig von der Art und Größe der Pings, die ankommen. So sind alte Systeme in der Regel anfälliger dafür.

Mailbombing

Beim Mailbombing wird entweder eine sehr große E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden an Nachrichten bombardiert. Bei beiden Varianten führt es dazu, dass der Mail-Account verstopft wird. Dies kann dazu führen, dass der Mail-Server langsamer wird oder zusammenbricht. Diese Art von Denial-of-Service Attacke kann sehr einfach durchgeführt werden.

Was ist eine Distributed Denial-of-Service Attacke?

Neben der klassischen Denial-of-Service Attacke, gibt es noch die Distributed Denial-of-Service Attacke. Bei der klassischen Variante kommen meist einzelne Systeme zum Einsatz. Bei einer Distributed Denial-of-Service Attacke kommen dagegen viele unterschiedliche Systeme zum Einsatze. Des Weiteren wird hier ein großflächiger und koordinierter Angriff vollzogen. Durch die Vielzahl an gleichzeitig angreifenden Rechnern ist diese Art von Angriff sehr wirksam.
Ein solcher Angriff beansprucht viel mehr Netzwerkressourcen als der normale Netzwerkverkehr, woran man diese Art von Angriff gut erkennen kann.

Angriffsschema einer Distributed Denial-of-Service Attacke

Um diesen Angriff durchzuführen, verteilt eine Angreifer tausende Programme an viele Computer, einem sogenannten Botnetz. Um diese Computer zu kontrollieren nutzt der Angreifer meist einen Command-and-Control Server, der die Programme an die Computer verteilt. Diese Computer sind meist ungeschützt im Internet und sollten möglichst lange angeschaltet sein. Deshalb sind Universitätscomputer gerne genutzte Bots. Der Angreifer gibt dann das Kommando für die Computer im Botnetz, die dann gleichzeitig ein Ziel angreifen. Durch das Nutzen eines Botnetz, kann der Angreifer eine Vielzahl an Anfragen mehr schicken, als wenn er diesen Angriff alleine durchführen würde.

Schutzmaßnahmen gegen (Distributed) Denial-of-Service Attacke

Es gibt einige Maßnahmen, mit denen Sie eine (D)DoS Attacke erkennen können, bevor diese einen großen Schaden zufügen kann. Da diese nicht komplett zu vermeiden sind, ist es zudem wichtig einen Plan zu haben, falls es zu einem solchen Angriff kommt.

1. Netzwerkübersicht

Sie sollten ihr Netzwerk und dessen Schwächen kennen. Auf Basis dieses Wissens können Sie entscheiden welche Dienste wichtiger sind und somit besonders überwacht werden müssen.

2. Normalzustand des Netzwerkes ermitteln

Sie sollten den Normalzustand Ihres Netzwerkes und der Systeme kennen. DDoS Angriffe zeichnen sich über einen erhöhten Netzwerkverkehr aus. Sollten Sie en erhöhtes Aufkommen entdecken, können Sie schnell Maßnahmen ergreifen.

3. Gehärtetes System

Ihre System sollten gehärtet sein, dass bedeutet Sie nutzen beispielsweise keine unnötigen Dienste und haben strikte Rechtevergaben und starke Authentisierung.

4. Starke Firewall

Sie sollten über eine starke, vorgelagerte Firewall verfügen. Diese sollte nur absolut für das System notwendige und benötigte Protokolle zulassen. Eine Firewall kann zudem auffällige Datenpakete herausfiltern und Grenzwerte für Datenmengen in einem bestimmten Zeitraum festlegen.

5. SYN-Cookies

SYN-Cookies werden für Sicherheitslücken im TCP-Verbindungsaufbau eingesetzt. Sie sorgen dafür, dass die SYN-Pakete nicht mehr auf dem Ziel gespeichert werden, sondern als Crypto-Cookie an den Absender zurückgesendet werden. Dadurch wird der Speicher des Zielsystems bei dieser Art des Angriffs nicht überlastet. Es werden allerdings trotzdem Rechenkapazitäten des Ziels beansprucht, weshalb diese Maßnahme allein nicht immer ausreicht.

5. GeoIP prüfen

Falls Sie hauptsächlich Kunden aus einer bestimmten Region zum Beispiel nur Kunden aus Deutschland haben, können Sie Anfragen aus anderen Regionen der Welt mittels eines GEOIP Blockings verbieten. Da Angreifer in Botnetzen IP-Adressen aus der ganzen Welt nutzen, können sie mittels GeoIP-Blockings einen Angriff verhindern oder dessen Auswirkungen minimieren.

6. Ausweichlösungen bereitstellen

Im Falle eines Angriffs sollten Sie trotzdem in der Lage sein, ihr Geschäft weiter zu betreiben oder Informationen weiterzugeben. Deshalb sollten Sie Ausweichlösungen bereitstellen, die einfach zu aktivieren sind. Dies kann beispielsweise eine statische Website sein, auf der Sie Informationen bereitstellen können.

7. Strategien bereitlegen

Sie sollten sich Pläne und Strategien für den Fall eines Angriffs zurechtlegen. Dazu gehören zum Beispiel die Kontaktierung zuständiger Personen für die Dienste oder die Bereitstellung von Ausweichlösungen. Diese Strategien sollten in Security-Trainings besprochen und geübt werden, damit im Ernstfall so wenig Schaden wie möglich entsteht.

8. Zugriff auf interne und wichtige Ressourcen

Auch im Falle eines Angriffs sollten interne und wichtige Ressourcen Ihres Unternehmens zugänglich sein. Dazu gehören insbesondere Personal und Infrastruktur.

FAQ

Was ist eine Denial-of-Sevice Attacke?

Eine Denial-of-Service Attacke (DoS) versucht einen Server so zu überfordern, dass dieser die Anfragen nicht mehr bearbeiten kann und dabei vielleicht zusammenbricht. Bei der klassische Variante versucht ein Angreifer einen Service des Ziels mit einer großen Menge an Anfragen zu überfordern.

Was ist eine Distributed Denial-of-Service Attacke?

Eine Distributed Denial-of-Service Attacke (DDoS) versucht einen Server so zu überfordern, dass dieser die Anfragen nicht mehr bearbeiten kann und dabei vielleicht zusammenbricht. Bei einer Distributed Denial-of-Service (DDoS) Attacke nutzt der Angreifer ein Botnetz an vielen verschiedenen Computern, die gleichzeitig angreifen. Dadurch ist diese Art der Attacke in der Regel erfolgreicher.

Wie kann man sich vor Denial-of-Service Attacken schützen?

Es gibt viele verschiedene Möglichkeiten sich vor einer (Distributed) Denial-of-Service Attacke zu schützen. Eine der wichtigsten ist dabei eine gute und starke Firewall. Um weitere Maßnahmen zu entdecken, klicken Sie hier.