Ein Denial-of-Service-Angriff ist ein Sicherheitsereignis, das auftritt, wenn ein Angreifer legitime Nutzer daran hindert, auf bestimmte Computersysteme, Geräte, Dienste oder andere IT-Ressourcen zuzugreifen. Denial-of-Service (DoS) Angriffe überfluten typischerweise Server, Systeme oder Netzwerke mit Datenverkehr, um die Ressourcen des Opfers zu überwältigen und den Zugriff für legitime Nutzer zu erschweren oder unmöglich zu machen.
Während ein Angriff, der einen Server zum Absturz bringt, oft durch einen einfachen Neustart des Systems erfolgreich bewältigt werden kann, können Flooding-Angriffe schwieriger zu beheben sein. Die Erholung von einem verteilten Denial-of-Service (DDoS) Angriff, bei dem der Angriffsverkehr von einer großen Anzahl von Quellen kommt, kann sogar noch schwieriger sein.
DoS- und DDoS-Angriffe nutzen oft Schwachstellen in der Art und Weise, wie Netzwerkprotokolle den Netzwerkverkehr handhaben; zum Beispiel durch die Übertragung einer großen Anzahl von Paketen an einen anfälligen Netzwerkdienst von verschiedenen Internetprotokoll (IP)-Adressen, um den Dienst zu überwältigen und ihn für legitime Nutzer nicht verfügbar zu machen.
Anzeichen eines DoS-Angriffs
Das United States Computer Emergency Readiness Team (US-CERT) stellt einige Richtlinien zur Verfügung, um festzustellen, wann eine DoS-Attacke im Gange sein könnte. US-CERT sagt, dass die folgenden Punkte auf einen solchen Angriff hinweisen können:
Verschlechterung der Netzwerkleistung, insbesondere beim Versuch, im Netzwerk gespeicherte Dateien zu öffnen oder beim Zugriff auf Websites;
eine Unfähigkeit, eine bestimmte Website zu erreichen;
Schwierigkeiten beim Zugriff auf eine Website; und
ein höheres Volumen an Spam-E-Mails als üblich.
Eine DoS-Attacke verhindern
Experten empfehlen eine Reihe von Strategien, um sich gegen DoS- und DDoS-Attacken zu verteidigen, beginnend mit der Vorbereitung eines Incident Response Plans im Voraus.
Wenn ein Unternehmen vermutet, dass ein DoS-Angriff im Gange ist, sollte es seinen Internet Service Provider (ISP) kontaktieren, um festzustellen, ob es sich bei dem Vorfall um eine tatsächliche DoS-Attacke handelt oder um eine Leistungsverschlechterung, die durch einen anderen Faktor verursacht wurde. Der ISP kann bei der DoS- und DDoS-Abwehr helfen, indem er den bösartigen Datenverkehr umleitet oder drosselt und Load Balancer einsetzt, um die Auswirkungen des Angriffs zu reduzieren.
Unternehmen können auch die Möglichkeit prüfen, Denial-of-Service-Angriffserkennungsprodukte für den DoS-Schutz zu verwenden; einige Intrusion Detection Systeme, Intrusion Prevention Systeme und Firewalls bieten DoS-Erkennungsfunktionen. Andere Strategien beinhalten den Abschluss eines Vertrages mit einem Backup-ISP und die Verwendung von Cloud-basierten Anti-DoS
Botnetz-DDoS-Verteidigung
Verteidigung gegen einen Botnet-gesteuerten Distributed-Denial-of-Service-Angriff
Es gab zwar schon Fälle, in denen Angreifer von den Opfern Zahlungen für die Beendigung von DoS- oder DDoS-Attacken gefordert haben, aber der finanzielle Profit ist in der Regel nicht das Motiv hinter dieser Art von Angriffen. In vielen Fällen wollen die Angreifer der Organisation oder Person, die Ziel des Angriffs ist, Schaden zufügen. In anderen Fällen versuchen die Angreifer einfach, das Opfer zu sabotieren, indem sie der größten Anzahl von Opfern den größten Schaden oder die größten Unannehmlichkeiten zufügen. Wenn ein Täter eines DoS-Angriffs identifiziert wird, können auch die Gründe für den Angriff aufgedeckt werden.
Viele hochkarätige DoS-Angriffe sind eigentlich verteilte Angriffe, was bedeutet, dass der Angriffsverkehr von mehreren Angriffssystemen geleitet wird. Während DoS-Attacken, die von einer einzigen Quelle oder IP-Adresse ausgehen, einfacher zu entschärfen sind, weil die Verteidiger den Netzwerkverkehr von der angreifenden Quelle blockieren können, sind Angriffe, die von mehreren angreifenden Systemen ausgehen, viel schwieriger zu erkennen und abzuwehren. Es kann schwierig sein, legitimen Verkehr von bösartigem Verkehr zu unterscheiden und bösartige Pakete herauszufiltern, wenn Pakete von IP-Adressen gesendet werden, die scheinbar überall im Internet verteilt sind.
Arten von DoS-Angriffen
Zusätzlich zur Unterscheidung zwischen einer Single-Source-Denial-of-Service-Attacke und einer DDoS-Attacke, können DoS-Attacken nach den Methoden kategorisiert werden, die bei dem Angriff verwendet werden.
Bei einem verstärkten Denial-of-Service-Angriff über das Domain Name System (DNS) generiert der Angreifer manipulierte DNS-Anfragen, die scheinbar von einer IP-Adresse im Netzwerk des Opfers stammen, und sendet sie an falsch konfigurierte DNS-Server, die von Dritten verwaltet werden. Die Verstärkung erfolgt, wenn die zwischengeschalteten DNS-Server auf die gefälschten DNS-Anfragen antworten. Die Antworten von zwischengeschalteten DNS-Servern auf die gefälschten Angriffsanfragen können mehr Daten enthalten als gewöhnliche DNS-Antworten, was mehr Ressourcen zur Verarbeitung benötigt. Dies kann dazu führen, dass legitimen Nutzern der Zugriff auf den Dienst verweigert wird.
Angriffe auf der Anwendungsebene erzeugen gefälschten Verkehr zu Internetanwendungsservern, insbesondere DNS-Servern oder HTTP-Servern. Während einige Denial-of-Service-Angriffe auf der Anwendungsschicht einfach darauf beruhen, Anwendungsserver mit Netzwerkdaten zu überfluten, beruhen andere auf der Ausnutzung von Schwächen oder Sicherheitslücken im Anwendungsserver des Opfers oder im Anwendungsprotokoll selbst.
Ein Buffer-Overflow-Angriff ist ein Sammelbegriff, der am häufigsten für DoS-Angriffe verwendet wird, die mehr Datenverkehr an eine Netzwerkressource senden, als die Entwickler, die sie entworfen haben, jemals erwartet haben. Ein Beispiel für einen solchen Angriff ist das Versenden von Dateien mit 256 Zeichen langen Dateinamen als Anhang an Empfänger, die Netscape- oder Microsoft-E-Mail-Clients verwenden; die länger als erwarteten Dateinamen waren ausreichend, um diese Anwendungen zum Absturz zu bringen.
Bei einem DDoS-Angriff kann der Angreifer Computer oder andere mit dem Netzwerk verbundene Geräte verwenden, die mit Malware infiziert und Teil eines Botnetzes sind. Verteilte Denial-of-Service-Angriffe, insbesondere solche, die Botnets nutzen, verwenden Command-and-Control (C&C) Server, um die Aktionen der Botnet-Mitglieder zu steuern. Die C&C-Server diktieren, welche Art von Angriff gestartet werden soll, welche Arten von Daten übertragen werden sollen und auf welche Systeme oder Netzwerkressourcen der Angriff abzielen soll.
Der Ping-of-Death-Angriff missbraucht das Ping-Protokoll, indem er Anforderungsnachrichten mit übergroßen Nutzdaten sendet, was dazu führt, dass die Zielsysteme überlastet werden, nicht mehr auf legitime Anfragen reagieren und möglicherweise die Systeme der Opfer zum Absturz bringen.
Ein SYN-Flood-Angriff missbraucht das Handshake-Protokoll von TCP, mit dem ein Client eine TCP-Verbindung mit einem Server aufbaut. Bei einem SYN-Flood-Angriff leitet der Angreifer einen großen Strom von Anfragen ein, um TCP-Verbindungen mit dem Opferserver zu öffnen, ohne die Absicht, die Schaltungen tatsächlich zu vollenden. Die Kosten für die Erzeugung des Stroms von SYN-Anfragen sind relativ gering, aber die Beantwortung solcher Anfragen ist ressourcenintensiv für das Opfer. Das Ergebnis ist, dass ein erfolgreicher Angreifer legitimen Nutzern den Zugriff auf den anvisierten Server verweigern kann.
State exhaustion Attacken – auch bekannt als TCP oder Transmission Control Protocol Attacken – treten auf, wenn ein Angreifer auf die Zustandstabellen in Firewalls, Routern und anderen Netzwerkgeräten abzielt, indem er sie mit Angriffsdaten füllt. Wenn diese Geräte eine zustandsbehaftete Inspektion von Netzwerkschaltungen beinhalten, können Angreifer die Zustandstabellen füllen, indem sie mehr TCP-Schaltungen öffnen, als das Opfersystem auf einmal verarbeiten kann, und so verhindern, dass legitime Nutzer auf die Netzwerkressource zugreifen können.
Der Teardrop-Angriff nutzt Schwachstellen aus, die der Art und Weise ähneln, wie ältere Betriebssysteme mit fragmentierten Internetprotokoll-Paketen umgehen. Die IP-Spezifikation erlaubt die Fragmentierung von Paketen, wenn diese zu groß sind, um von zwischengeschalteten Routern verarbeitet zu werden, und verlangt, dass Paketfragmente Fragment-Offsets angeben. Bei Teardrop-Attacken werden die Fragment-Offsets so gesetzt, dass sie sich gegenseitig überlappen. Hosts, auf denen betroffene Betriebssysteme laufen, sind dann nicht in der Lage, die Fragmente wieder zusammenzusetzen und der Angriff kann das System zum Absturz bringen.
Volumetrische DoS-Angriffe zielen darauf ab, den legitimen Zugriff auf Netzwerkressourcen zu stören, indem sie die gesamte verfügbare Bandbreite nutzen, um diese Ressourcen zu erreichen. Um dies zu erreichen, müssen die Angreifer ein hohes Volumen an Netzwerkverkehr auf die Systeme des Opfers lenken. Volumetrische DoS-Angriffe überfluten die Geräte des Opfers mit Netzwerkpaketen, die das User Datagram Protocol oder das Internet Control Message Protocol verwenden. Diese Protokolle benötigen relativ wenig Overhead, um große Mengen an Datenverkehr zu generieren, während sie gleichzeitig nicht-triviale Berechnungen auf Seiten der Netzwerkgeräte des Opfers erfordern, um die eingehenden bösartigen Datagramme zu verarbeiten.
Geschichte der Denial-of-Service Angriffe
DoS-Angriffe auf mit dem Internet verbundene Systeme haben eine lange Geschichte, die wohl mit dem Robert Morris Wurmangriff im Jahr 1988 begann. Bei diesem Angriff veröffentlichte Morris, ein Doktorand am MIT, ein sich selbst reproduzierendes Stück Malware – einen Wurm – der sich schnell durch das globale Internet verbreitete und Pufferüberläufe und DoS-Attacken auf den betroffenen Systemen auslöste.
Diejenigen, die zu diesem Zeitpunkt mit dem Internet verbunden waren, waren hauptsächlich Forschungs- und akademische Einrichtungen, aber es wurde geschätzt, dass bis zu 10% der 60.000 Systeme in den USA betroffen waren. Der Schaden wurde auf bis zu 100 Millionen Dollar geschätzt, laut dem U.S. General Accounting Office. Morris wurde unter dem Computer Fraud and Abuse Act von 1986 erfolgreich strafrechtlich verfolgt und zu drei Jahren Bewährung und 400 Stunden gemeinnütziger Arbeit verurteilt sowie zu einer Geldstrafe von 10.000 Dollar.