DoS - Denial of Service

Denial of Service, kurz DoS, ist ein Angriff auf die Verfügbarkeit oder Erreichbarkeit eines Dienstes, Servers oder ein ganzes Netzwerk. In der Regel wird dabei ein Dienst, ein Server oder ein ganzes Netzwerk mit Verbindungsversuchen überflutet. Die Folge ist, dass der Dienst, der Server oder das Netzwerk überlastet und nicht mehr erreichbar sind. Der Angriff ist in der Regel beabsichtigt, kann aber auch durch eine fehlerhafte Software ausgelöst werden.

Da ein Webserver heute oftmals zu einem erfolgreichen Geschäftsmodell gehört, sind viele Unternehmen von der Seite her angreifbar. Deshalb schützen große Unternehmen ihre IT-Infrastruktur gegen DoS-Angriffe, in dem sie die IT entsprechend dimensionieren und Maßnahmen ergreifen, um schädliche Angriffe herauszufiltern. Einen absoluten Schutz gegen DoS-Angriffe gibt es jedoch nicht.

DoS-Angriffstypen

Typischerweise reichen Verbindungsversuche auf UDP- oder TCP-Ebene aus, um ein Ziel in die Knie zu zwischen. Ein Angriff auf Anwendungsebene erfordert mehr Kenntnisse über die laufende Anwendung, kann dann aber noch mehr Hardware-Ressourcen binden und das Ziel noch schneller und nachhaltig in die Knie zwingen.

DDoS - Distributed Denial of Service

DDoS - Distributed Denial of Service

Eine besonders böswillige Variante ist Distributed Denial of Service, kurz DDoS. Bei einem DDoS werden sehr viele Zugriffe von vielen verteilten Systemen auf den Zielrechner ausgeführt. Diese Systeme sind Teil eines Botnetzes, dass von einem Kontrollsystem gesteuert wird. Auch hier soll das Zielsystem durch Überlastung unerreichbar gemacht werden.
Dazu löst der Angreifer über ein Botnetz eine große Anzahl von Anfragen auf das Zielsystem aus. Zum Beispiel auf einen Webserver. Dabei wird dieser einzelne Webserver so oft aufgerufen, dass er komplett ausgelastet ist und irgendwann keine neuen Anfragen entgegen nehmen kann. Die Webseite ist für reguläre Besucher nicht mehr erreichbar. Selbiges kann man mit jedem Service oder Dienst machen, der über das Internet erreichbar ist.

Reflection-Angriff

Reflection-Angriff

Unter Reflection versteht man, dass sich ein Angreifer die gute Anbindung unbeteiligter Server zunutze macht, um ein Ziel anzugreifen. Ein Kontroll-Server schickt Datenpakete an diese Server. Die Datenpakete sind dabei mit der IP-Adresse des Ziels versehen. Die Server generieren dabei Traffic, der auf das Ziel gerichtet ist.

Wer ist ein DoS-Angreifer?

Die Beteiligten hinter einem DoS-Angriff sind in der Regel arbeitsteilig organisiert. Es gibt Botnetz-Betreiber, die ihr Netz an Händler vermieten, die wiederum über Web-Frontends Angriffs-Aufträge zahlender Kunden entgegennehmen. Die Hintermänner eines Angriffs und der Botnetzbetreiber bleiben in jedem Fall verborgen.

Die ausgelöste Traffic-Flut eines Botnetzes stammt meist von Rechnern ahnungsloser Personen aus der ganzen Welt. Häufig handelt es sich um Systeme, die nur sehr schlecht gewartet werden und selten ein Update von Betriebssystem und Anwendungen erhalten. Beispielsweise, weil diese sehr umfangreich ausfallen und mangels schnellem Internet darauf verzichtet wird. Über Trojaner werden Schadprogramme auf die Rechner argloser Nutzer geschleust. In Summe bilden sie ein Botnetz, dass für DoS-Angriff missbraucht werden kann. Die Personen merken davon meistens nichts, dass ihr Rechner infiziert und missbraucht wird.
In Zukunft wird die Anzahl der Bots in den Botnetzen noch steigen, weil durch das Internet of Things (IoT) die Anzahl gefährdeter und angreifbarer Netzwerk-Komponenten zunehmen wird.

Gründe für DoS

  • Erpressung
  • Unterdrückung unliebsamer Meinungsäußerung oder -veröffentlichung
  • politischen Gegner provozieren
  • Cyberkrieg

In Zukunft gesellen sich dazu Angreifer aus Staaten oder staatsnahen Organisationen, die große Teile des Internets lahmlegen können.

Maßnahmen gegen DoS-Angriffe

Gegen DoS-Angriffe hilft nur, die maximale Bandbreite des Servers zu erhöhen. Ein zweiter Schritt kann darin bestehen, so viel wie möglich des DoS-Traffics zu blockieren. Am besten schon beim übergeordneten Provider. Das Filtern verbraucht aber auch schon einen gewissen Teil an Ressourcen, weshalb das nur teilweise funktioniert. Oftmals ist es so, dass man den bösartigen Traffic nur schwer von normalen Zugriffen unterscheiden kann.

Weitere verwandte Themen:

Teilen:

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!