EN

Was ist Denial of Service und wie verhindert man DoS-Angriffe

In diesem Artikel:

Was ist eine „Dienstverweigerung“?

Eine Dienstverweigerung liegt vor, wenn einem rechtmäßigen Benutzer der Zugriff auf ein Netzwerk, ein System, ein Gerät oder andere Ressourcen verweigert wird, auf die er sonst zugreifen darf. Das kann ihre E-Mail, ihr E-Banking-Konto, öffentliche Online-Dienste usw. umfassen.

Eine Dienstverweigerung kann das Ergebnis eines Cyberangriffs sein, der als Denial-of-Service-Attacke (DoS-Angriffe) bekannt ist und dessen ausdrückliches Ziel es ist, diesen Effekt zu erzielen.

Definition eines DoS-Angriffs

Ein Denial-of-Service-Angriff ist die absichtliche Überflutung einer Maschine oder eines Netzwerks mit gefälschtem Datenverkehr, um sie zu überlasten und ihren Dienst nicht verfügbar zu machen. Dies kann dazu führen, dass der Zielserver abstürzt oder einfach nicht mehr in der Lage ist, auf legitime Anfragen zu reagieren. 

Denial-of-Service-Angriffe führen in der Regel nicht zu einer Beeinträchtigung des Systems, zu Datenverlust oder Diebstahl. Ein DoS-Angriff kann jedoch einen erheblichen Zeit- und Ressourcenverlust für den angegriffenen Dienst verursachen, da er zwischen einigen Stunden und mehreren Monaten dauern kann.

Im Gegensatz zu einem verteilten Denial-of-Service-Angriff (DDoS) wird ein DoS-Angriff über einen einzelnen Rechner ausgeführt.

Wie ein Denial-of-Service-Angriff funktioniert

Der Mechanismus eines DoS-Angriffs ist recht einfach: Er zielt darauf ab, die Kapazität des Angriffsziels durch Datenverkehr zu überlasten. Die spezifische Art und Weise, wie ein solcher Angriff ausgeführt wird, hängt von der Schwachstelle des Zielsystems ab. 

Eine Möglichkeit besteht beispielsweise darin, viele Anfragen mit gefälschten Rücksendeadressen (d. h. sie sind Junk) an einen Server zu senden. Dies macht es dem Server unmöglich, die Herkunft der Anfragen zu überprüfen. Dies kann dazu führen, dass ein Server einfach seine RAM- oder CPU-Kapazität erschöpft und abstürzt. 

Es gibt eine Vielzahl von verschiedenen DoS-Angriffen. Je nach Angriffsvektor zielen DoS-Angriffe entweder auf die Überflutung oder den Absturz eines Systems ab. Die drei Haupttypen von DoS-Angriffen sind:

  • Angriffe auf der Anwendungsebene zielen darauf ab, eine bestimmte Anwendung oder einen Dienst zum Absturz zu bringen und nicht das gesamte Netz. Dies wird in der Regel dadurch erreicht, dass die Anwendung mit bösartigen HTTP-Anfragen überflutet wird und nicht mehr reagieren kann. Angriffe auf der Anwendungsschicht werden in Anfragen pro Sekunde (RPS) gemessen.
  • Angriffe auf der Protokoll– oder Netzwerkebene nutzen Schwachstellen in Netzwerkprotokollen und -verfahren aus, indem sie auf die Infrastruktur und Netzwerkverwaltungs-Tools abzielen. Sie zielen darauf ab, ein ganzes Netz und nicht nur eine einzelne Anwendung zu stören. Diese Angriffe werden in Paketen pro Sekunde (PPS) oder Bits pro Sekunde (BPS) gemessen.
  • Volumetrische Angriffe sind die häufigste Art von DoS-Angriffen. Dabei wird versucht, die Bandbreitenkapazität eines Ziels zu überlasten, indem es mit gefälschten Anfragen überflutet wird. Dies führt zu einer Überlastung des Netzes und macht es für den legitimen Datenverkehr unmöglich, dieses zu passieren. Das Ausmaß dieser Angriffe wird in Bits pro Sekunde (BPS) gemessen.

Woran erkennt man einen DoS-Angriff?

Es kann schwierig sein, einen DoS-Angriff zu erkennen, da die Störungen zunächst nicht bösartig erscheinen. Sie können anhand mehrerer Kriterien feststellen, ob Sie von einem DoS-Angriff betroffen sind. Nach Angaben des United States Computer Emergency Readiness Team (US-CERT) gehören zu den drei häufigsten Symptomen eines Angriffs

  • Langwierige Netzwerkleistung (Öffnen von Dateien oder Zugriff auf Websites)
  • Nichtverfügbarkeit einer bestimmten Website, oder
  • Unmöglichkeit, auf eine beliebige Website zuzugreifen

Beispiele für Denial-of-Service-Angriffe

Es gibt viele verschiedene Arten von DoS-Angriffstechniken. Nachfolgend finden Sie einige Beispiele dafür, wie ein DoS-Angriff ausgeführt werden kann, abhängig von der Anfälligkeit des Zielservers. Einige von ihnen werden nicht mehr verwendet, weil ihre Schwachstellen beseitigt wurden, während andere weiterhin verwendet werden.

DoS-Angriff: ACK-Scan, SYN-Scan, FIN-Scan

Diese Scan-Techniken verwenden ähnliche Ansätze, um zu prüfen, ob die Ports des Angriffsziels offen sind und ausgenutzt werden können. Sie werden sowohl zum Sammeln von Informationen als auch zur Verweigerung von Diensten eingesetzt.

Die ACK-Scan-Technik wird beispielsweise von Angreifern verwendet, um Informationen über die Firewall- oder Zugriffskontrolllisten-Konfiguration (ACL) des Ziels zu sammeln. Es handelt sich dabei um einen Scan über ein Paket mit einem Bestätigungsflag (ACK), mit dem versucht wird, Hosts oder Ports zu identifizieren, die gefiltert sind oder nicht auf andere Weise gescannt werden können. Angreifer beobachten die Antwort des Routers, um die Konfiguration zu verstehen.

Daraus lassen sich, insbesondere in Kombination mit einem SYN-Scan, Informationen über die Art der Firewall des Ziels, ihren Regelsatz und die Art der Pakete, die zum Host durchgelassen werden, ableiten. 

Gleichzeitig können die Angreifer beim Sammeln von Schwachstelleninformationen über einen Scan auch die offenen UDP/TCP-Ports eines Routers überfluten, um ihn zum Absturz zu bringen. Indem sie einen Verbindungsversuch starten, aber die Antwort des Servers von offenen Ports nicht bestätigen, können Angreifer die Ports offen halten und den Server kontinuierlich mit neuen Anfragen überfluten (auch als SYN-Flood bekannt).

DoS-Angriff: Smurf

Bei einem Smurf-Angriff zielt die böswillige Partei auf ein Netzwerk ab, dessen Konfiguration es erlaubt, Pakete an alle Geräte (Hosts) im Netzwerk auf einmal zu senden. Dies wird erreicht, indem ICMP-Pakete (Internet Control Message Protocol) an die IP-Broadcast-Adresse des Netzes gesendet werden, wodurch sie alle Computer erreichen. 

Diese Pakete haben als Quelladresse die IP-Adresse des Ziels (d. h. die Quelladresse wird gefälscht). Standardmäßig antworten die Geräte im Netz dann auf die Pakete mit der gefälschten Quelladresse. Dadurch wird der Zielcomputer mit Datenverkehr überflutet und überlastet oder ganz abgeschaltet.

Es gibt nur wenige Unterschiede zwischen Smurf und dem so genannten ICMP-Flood oder Ping of Death. 

DoS-Angriff: SYN-Flood

Ein SYN-Flood, auch als halboffener Angriff bekannt, ist eine Technik, die den Drei-Wege-Handshake des Transmission Control Protocol (TCP)/IP ausnutzt. Bei einer SYN-Flood sendet ein Angreifer wiederholt Verbindungsanfragen, d. h. SYN-Pakete (Synchronisierungspakete), an alle Ports eines Servers. Normalerweise antwortet ein Server dann mit Paketen, die die Synchronisierung bestätigen (SYN/ACK), von jedem Port, der gerade offen ist. Wenn ein Port geschlossen ist, antwortet er mit einem Reset-Paket (RST). 

Normalerweise antwortet ein Client während des Handshakes auf das SYN/ACK-Paket mit einem acknowledged (ACK)-Paket. Damit bestätigt er, dass er das SYN/ACK-Paket des Servers erhalten hat, und die Kommunikation zwischen ihnen kann beginnen. 

Bei einer SYN-Flut verwenden die Angreifer jedoch gefälschte IP-Adressen, um die ersten SYN-Pakete zu senden. Infolgedessen erhält der Server nie eine Antwort auf seine SYN/ACK-Pakete, und seine Ports bleiben offen (belegt) und können nicht zurückgesetzt werden (daher der Name „halboffen“). Bevor der Verbindungsversuch abbricht, werden weitere SYN-Pakete an diese Ports gesendet, was den Server veranlasst, sie offen zu halten und zu versuchen, eine Verbindung herzustellen. 

Dies liegt daran, dass die Ports mit diesen Anfragen gesättigt sind, was zu einem Denial-of-Service-Angriff führt.

DoS-Angriff: Teardrop

Der Teardrop-Angriff nutzt eine Schwachstelle aus, die bei älteren Betriebssystemen und TCP/IP-Implementierungen auftritt. Wenn Pakete zu groß für Zwischensysteme wie Router sind, erlaubt die IP-Spezifikation die Fragmentierung von Paketen. Anschließend werden die Fragmente wieder zusammengesetzt.

In vielen älteren Systemen ist jedoch ein Fehler in der TCP/IP-Fragmentierung und -Zusammensetzung zu finden. Der Fehler besteht darin, dass sie Pakete, deren Offset-Felder sich überschneiden, nicht wieder zusammensetzen können. Angreifer nutzen diesen Fehler bei einem Teardrop-Angriff aus, indem sie Pakete mit überlappenden und übergroßen Nutzdaten senden, so dass das empfangende System sie nicht mehr zusammensetzen kann und schließlich abstürzt.

DoS-Angriff: ARP-Angriff

Bei dieser Technik, die auch als ARP-Spoofing-Angriff bekannt ist, werden ARP-Nachrichten (Address Resolution Protocol) über ein Netzwerk gesendet, um die MAC-Adresse des Angreifers mit der IP-Adresse des Ziels (Server oder Gateway, z. B. ein Router) zu verbinden.

Wenn dies erfolgreich ausgeführt wird, wird der Datenverkehr, der eigentlich zum Ziel führen sollte, stattdessen vom Angreifer empfangen, was zu einer Dienstverweigerung führt. Diese Art von Angriff kann nur in lokalen Netzen durchgeführt werden, die ARS verwenden.

DoS-Angriff: Fraggle-Angriff

Der Fraggle-Angriff, der auch als UDP-Flood bekannt ist, verwendet denselben Ansatz wie der Smurf-Angriff, indem er eine Schwachstelle ausnutzt, die mit dem Senden von Datenverkehr an die IP-Broadcast-Adresse des Ziels (z. B. eines Routers) verbunden ist. Der Hauptunterschied besteht darin, dass anstelle von ICMP UDP-Datenverkehr (User Datagram Protocol) verwendet wird, um einen Router oder Server zu überfluten.

Der Effekt ist, dass die IP-Adresse der Quelle der Anfrage gefälscht wird und dann der Verkehr aus dem Netzwerk zurück zum Router geleitet wird, wodurch dieser überflutet wird.

Sowohl der Fraggle- als auch der Smurf-Angriff sind weitgehend verschwunden, da Router Pakete, die an ihre Broadcast-Adresse gesendet werden, nicht mehr weiterleiten.

Was ist der Unterschied zwischen einem DoS-Angriff und einem DDoS-Angriff?

Der Hauptunterschied zwischen einem DoS- und einem DDoS-Angriff (Distributed Denial of Service) liegt in der Anzahl der verwendeten Systeme oder Geräte. Normalerweise hat ein DoS-Angriff eine einzige IP-Adresse als Quelle. Im Gegensatz dazu wird ein DDoS-Angriff von mehreren synchronisierten Adressen gestartet, was die Abwehr erheblich erschwert.

Auf diese Weise hat ein DDoS-Angriff mehrere Vorteile gegenüber einem DoS-Angriff:

  • Es wird eine größere Anzahl von Rechnern zur Ausführung des Angriffs verwendet.
  • Die Angriffsquellen sind weit verstreut, manchmal sogar weltweit, was es schwierig macht, den Angriff zu erkennen, einzudämmen und schließlich zu stoppen.
  • Aufgrund der Vielzahl der beteiligten Systeme ist es schwierig, den tatsächlichen Angreifer zu ermitteln.

Eine Möglichkeit, einen DDoS-Angriff auszuführen, ist über ein so genanntes Botnet. Ein Botnet ist eine Gruppe von kompromittierten Geräten, die mit dem Internet verbunden sind und vom Angreifer kontrolliert werden. 

Mit Hilfe von Command-and-Control-Software können Angreifer Geräte mit fehlerhaften oder fehlenden Sicherheitsvorkehrungen übernehmen und diese dazu verwenden, das Ziel mit Anfragen zu überfluten. Das bedeutet, dass der Angreifer nicht alle für einen DDoS-Angriff erforderlichen Geräte besitzen muss, sondern anfällige Geräte übernehmen und diese nutzen kann.

Mit dem Aufkommen des Internets der Dinge (Internet of Things, IoT) sind DDoS-Angriffe deutlich häufiger und einfacher geworden, da viele IoT-Geräte ungeschützt sind und leicht übernommen werden können. In einigen Fällen umfasst ein Botnetz Hunderttausende von Geräten. 

Aufgrund der Effektivität dieser Angriffe kam es in den letzten Jahren zu einer starken Zunahme von DoS- und DDoS-Angriffen und sogar zu DoS/DDoS als Dienstleistung, die von Hackern angeboten wird. 

Wie kann man einen Denial-of-Service-Angriff verhindern?

Denial-of-Service-Angriffe lassen sich nicht vollständig verhindern, aber es gibt Möglichkeiten, sich darauf vorzubereiten, um ihre Auswirkungen zu verringern. Zu den proaktiven Schritten, die Sie unternehmen können, gehören:

  • Erstellen Sie einen DoS-Reaktionsplan, der alle Aspekte des Umgangs mit einem Angriff abdeckt, einschließlich Kommunikation, Schadensbegrenzung und Wiederherstellung.
  • Verbessern Sie Ihre Netzwerksicherheit und stärken Sie Ihre allgemeine Sicherheitslage, indem Sie Antivirus- und Anti-Malware-Software installieren und eine Firewall einrichten, die den eingehenden Datenverkehr überwacht und verwaltet.
  • Melden Sie sich bei einem DoS-Schutzdienst (Intrusion Detection System) an, der bösartigen Datenverkehr filtert und umleitet und bekannte Angriffssignaturen erkennen kann.
  • Erwägen Sie die Einführung einer Netzwerksegmentierung, um Systeme in separate Subnetze aufzuteilen und eine Überflutung des gesamten Netzwerks zu vermeiden.
  • Überprüfen Sie Ihre Sicherheitseinstellungen und -praktiken und führen Sie bei Bedarf Verbesserungen ein.

FAQ

Was ist Denial-of-Service?

Ein Denial-of-Service (DoS) liegt vor, wenn ein Dienst, eine Website oder ein Netzwerk für die vorgesehenen Benutzer, die ansonsten ein Recht auf Zugang haben, nicht verfügbar ist. Dies kann die Folge eines Denial-of-Service-Angriffs sein.

Wie funktionieren Denial-of-Service-Angriffe?

Im Allgemeinen wird bei DoS-Angriffen versucht, einen Dienst durch große Mengen an Datenverkehr zu überschwemmen oder zum Absturz zu bringen, oder es werden Schwachstellen in der Netzwerkkonfiguration oder Infrastruktur des Systems ausgenutzt.

Sind DoS-Angriffe gefährlich?

DoS-Angriffe führen zwar in der Regel nicht zu Datendiebstahl oder -verlust (es sei denn, sie werden mit anderen Angriffen kombiniert), können aber den Dienst für Stunden oder sogar Monate lahm legen.

Ist ein Denial-of-Service-Angriff (DoS) dasselbe wie ein verteilter Denial-of-Service-Angriff (DDoS)?

Beide Angriffe zielen auf dasselbe Ziel ab, aber während bei einem DoS nur ein Rechner (oder eine Quelle) verwendet wird, nutzt ein DDoS die Leistung von Hunderten und Tausenden von Rechnern, um seine Ziele zu erreichen.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 06/12/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.