Denial-of-Service-Angriffe

Was sind DoS-Angriffe und wie kann man sie verhindern

Was ist ein Denial-of-Service-Angriff (DoS)?

Ein Denial-of-Service-Angriff (DoS) zielt darauf ab, ein Netzwerk oder eine Ressource zu blockieren, indem ein Ziel mit künstlichem Datenverkehr überflutet wird, was den Benutzerzugriff auf den jeweiligen angegriffenen Dienst einschränkt.

Denial-of-Service-Angriffe (DoS) zielen darauf ab, legitime Benutzer beim Zugriff auf Websites, Anwendungen oder andere Ressourcen zu stören oder zu hindern. Diese Angriffe werden von kriminellen Organisationen genutzt, um Geld zu erpressen, von Aktivistengruppen, um 'ein Exempel zu statuieren’ und von staatlichen Stellen, um ihre Gegner zu bestrafen.

Die mit DoS-Angriffen verbundenen Auswirkungen und Kosten können weitreichend sein; das Senden einer Text-Bombe um den unerwarteten Neustart des Smartphones einer Zielperson auszulösen, kann als kleine Unannehmlichkeit angesehen werden, während ein groß angelegter Angriff, der ein Online-Unternehmen daran hindert, seine Kunden zu bedienen, Millionen von Dollar kosten kann. Und mit der heutigen Hyperkonnektivität vernetzter Systeme können DoS-Angriffe wie andere gängige Sicherheitsangriffe eine Bedrohung für viele Unternehmen, Organisationen und Regierungen auf der ganzen Welt darstellen.

Arten von DoS-Angriffen

Im Laufe der Jahre haben sich Denial-of-Service-Angriffe weiterentwickelt und umfassen eine Reihe von Angriffsvektoren und -mechanismen.

Distributed Denial-of-Service (DDoS)

Ursprünglich handelte es sich bei DoS-Angriffen um den Angriff eines einzelnen Systems auf ein anderes. Während ein DoS-Angriff heute auf ähnliche Weise durchgeführt werden könnte, umfasst die Mehrheit der heutigen DoS-Angriffe eine Anzahl von Systemen (sogar Hunderttausende) unter der Kontrolle des Angreifers, die alle gleichzeitig das Ziel angreifen. Diese Koordination der angreifenden Systeme wird als Distributed Denial-of-Service (DDoS) bezeichnet und ist oft der Mechanismus erster Wahl, wenn es um die Durchführung der anderen unten aufgeführten Angriffsarten geht. Es gibt sogar „Stresser“-Dienste (auch bekannt als „Booter“) die man mieten kann, um die eigenen Systeme zu testen, die aber leicht für DDoS-Angriffe auf ein ahnungsloses Ziel verwendet werden können.

Gezielter Denial-of-Service im Netzwerk

Bei einem so genannten „Bandbreitenverbrauchsangriff“ versucht der Angreifer, die gesamte verfügbare Netzwerkbandbreite zu verbrauchen („Flooding“), sodass legitimer Datenverkehr nicht mehr zu/von den Zielsystemen gelangen kann. Zusätzlich können Angreifer „Distributed Reflection Denial-of-Service“ (DRDoS) verwenden, um andere, unwissende Systeme dazu zu bringen, den Angriff zu unterstützen, indem sie das Ziel mit Netzwerkverkehr überfluten. Bei diesem Angriff wird legitimen Benutzern und Systemen der Zugriff verweigert, den sie normalerweise auf andere Systeme im angegriffenen Netzwerk haben. Eine Variante dieses Angriffs mit ähnlichen Auswirkungen besteht darin, das Netzwerk selbst zu verändern (oder zum Absturz zu bringen), indem Netzwerkinfrastrukturgeräte (z. B. Switches, Router, drahtlose Zugangspunkte usw.) so angegriffen werden, dass sie den Netzwerkverkehr nicht mehr wie gewohnt zu/von den Zielsystemen fließen lassen, was zu ähnlichen Denial-of-Service-Ergebnissen führt, ohne dass ein Flooding erforderlich ist.

Systembezogener Denial-of-Service

Diese Angriffe sind darauf ausgerichtet, die Nutzbarkeit von Zielsystemen einzuschränken. Die Erschöpfung von Ressourcen ist ein häufiger Angriffsvektor, bei dem begrenzte Systemressourcen (z. B. Arbeitsspeicher, CPU, Festplattenplatz) vom Angreifer absichtlich aufgezehrt werden, um den normalen Betrieb des Ziels lahmzulegen. Zum Beispiel, SYN-Flooding ist ein auf ein System gerichteter Angriff, der alle verfügbaren eingehenden Netzwerkverbindungen auf einem Ziel aufbraucht und legitime Benutzer und Systeme daran hindert, neue Netzwerkverbindungen herzustellen. Die Folgen eines gezielten Angriffs auf ein System können von einer geringfügigen Störung oder Verlangsamung bis hin zum völligen Systemabsturz reichen. Ein permanenter Denial-of-Service-Angriff (PDoS) kommt zwar nicht häufig vor, kann aber ein Ziel sogar so stark beschädigen, dass es physisch repariert oder ersetzt werden muss.

Anwendungsbezogener Denial-of-Service

Anwendungsbezogener Denial-of-Service ist ein beliebter Vektor für DoS-Angriffe. Einige dieser Angriffe nutzen das vorhandene, übliche Verhalten der Anwendung, um eine Denial-of-Service-Situation zu erzeugen. Beispiele hierfür sind das Aussperren von Benutzern aus deren Konten oder das Stellen von Anfragen, die einen integralen Bestandteil der Anwendung (z. B. eine zentrale Datenbank) so stark beanspruchen, dass andere Benutzer nicht wie vorgesehen oder erwartet auf die Anwendung zugreifen oder sie nutzen können. Andere auf Anwendungen abzielende Angriffe beruhen auf Schwachstellen in der Anwendung wie z. B. das Auslösen einer Fehlerbedingung, die die Anwendung zum Absturz bringt, oder die Verwendung eines Exploits, der einen direkten Systemzugriff ermöglicht, um den DoS-Angriff weiter zu verstärken.

Wie man DoS-Angriffe abwehrt

Die folgenden Empfehlungen können dazu beitragen, die Angriffsfläche einer Organisation zu reduzieren und die potenzielle Tragweite eines DoS-Angriffs zu mildern:

Überprüfung der Anwendungsarchitektur und Implementierung: Achten Sie darauf, dass Benutzeraktionen nicht die Systemressourcen aufbrauchen, dass Benutzeraktionen nicht zu viele Anwendungskomponenten beanspruchen und dass Sie nach im Internet verfügbaren Ressourcen suchen, die Best-Practice-Vorschläge enthalten.

Überwachen und warnen:

  • Netzwerk-Traffic zur Warnung bei einem unerwarteten Anstieg des Netzwerk-Traffics/der Netzwerklast kann das Bewusstsein für gezielte DoS-Angriffe auf das Netzwerk erhöhen. Die Analyse von Herkunft und Art des Datenverkehrs kann zusätzliche Erkenntnisse liefern.
  • Systemstatus und Reaktionszeit mit häufigen Zustandsprüfungen der einzelnen Systeme und deren Reaktionszeit, um gezielte DoS-Angriffe auf das System zu erkennen.
  • Zustand und Reaktionszeit der Anwendung mit häufigen Zustandsprüfungen der Anwendungskomponenten und deren Fähigkeit, ihre vorgesehene „Aufgabe“ innerhalb eines erwarteten Zeitrahmens zu erfüllen. Dies kann helfen, auf Anwendungen gerichtete DoS-Angriffe abzufangen.

Viele Anbieter (sowohl in der Cloud als auch im Datacenter) verfügen bereits über Überwachungslösungen, die sie anbieten können. Erkundigen Sie sich bei Ihrem Anbieter und prüfen Sie, ob dessen Überwachungs- und Benachrichtigungslösungen für Ihre Anforderungen geeignet sind.

Halten Sie einen Plan zur Risikominderung (und die entsprechenden Möglichkeiten) bereit : Verschiedene Angriffsarten erfordern unterschiedliche Strategien zur Schadensbegrenzung. Denial-of-Service-Attacken sind ein so großes Thema, dass viele Provider inzwischen Mechanismen und Strategien zur Schadensbegrenzung anbieten. Überlegen Sie, ob die von Ihrem Provider angebotenen Lösungen für Ihre Anforderungen in Frage kommen.

Zwar stellen Denial-of-Service-Angriffe nach wie vor eine ständige Bedrohung dar, ihre Folgen können jedoch durch sorgfältige Überprüfung, Planung und Überwachung minimiert werden.