Heut­zu­ta­ge ist es überaus wichtig, sich gegen Gefahren aus und im Internet zu wappnen. Ansonsten haben es Angreifer leicht, in Systeme ein­zu­drin­gen, diese zu ma­ni­pu­lie­ren oder lahm­zu­le­gen. Eine klas­si­sche An­griffs­form ist die DoS-Attacke. Was hat es damit genau auf sich und wie schützen Sie sich dagegen?

Was ist DoS (Denial of Service)?

Denial of Service (DoS) bedeutete ur­sprüng­lich nur, dass bestimmte In­ter­net­diens­te auf einem IT-System, z. B. auf einem Server, zeitlich begrenzt nicht zur Verfügung stehen. Das passiert immer dann, wenn die ent­spre­chen­den Server über­las­tet sind – etwa durch zu viele Nut­zer­an­fra­gen. In­ter­net­diens­te sind bei­spiels­wei­se Websites, E-Mail-Dienste oder Chat-Funk­tio­nen.

Bei einer DoS-Attacke ruft der Angreifer diese „Diens­te­ver­wei­ge­rung“ ab­sicht­lich hervor: Dies geschieht, indem er die für den externen Da­ten­aus­tausch zu­stän­di­gen Netz­werk­ver­bin­dun­gen eines IT-Systems mit einer Unzahl an Anfragen „bom­bar­diert“ – und damit über­las­tet. Wenn die Zahl der Anfragen über der Ka­pa­zi­täts­gren­ze liegt, ver­lang­samt sich das System oder bricht ganz zusammen, sodass bei­spiels­wei­se Websites, E-Mail-Funk­tio­nen oder On­line­shops nicht mehr aufrufbar sind.

Ein DoS-Angriff ist in etwa ver­gleich­bar mit einem realen Geschäft, in das hunderte Menschen strömen, die das Ver­kaufs­per­so­nal mit ir­re­füh­ren­den Fragen ablenken, Res­sour­cen blo­ckie­ren – und nichts kaufen. Das Personal ist bis zum Kollaps über­las­tet, tat­säch­li­che Kunden gelangen nicht mehr in das Ver­kaufs­lo­kal bzw. werden nicht bedient.

Reine DoS-Attacken sind vom Prinzip her relativ einfach durch­zu­füh­ren, zumal es dabei nicht nötig ist, in ge­si­cher­te IT-Systeme ein­zu­drin­gen. Auch wer gar kein tech­ni­sches Know-how besitzt und dennoch eine illegale Attacke, bei­spiels­wei­se auf einen Kon­kur­ren­ten, fahren möchte, kann dies mit wenig Budget schaffen. Cy­ber­kri­mi­nel­le bieten diese Art von Angriffen bereits für wenige Hundert Euro über das Darknet an. Sind Un­ter­neh­men und Or­ga­ni­sa­tio­nen auf DoS-Attacken nicht vor­be­rei­tet, lässt sich mit minimalem Aufwand ein maximaler Schaden anrichten.

Woran erkennt man eine DoS-Attacke?

Ein mögliches Indiz, dass man Opfer eines Denial-of-Service-Angriffs wurde, ist eine un­ge­wöhn­lich langsame Per­for­mance des gesamten Netzwerks – was sich besonders beim Öffnen von Dateien oder von eigenen Websites bemerkbar macht. Auch von außen lässt sich ein er­folg­rei­cher DoS-Angriff gut be­ob­ach­ten: At­ta­ckier­te Websites öffnen sich nur sehr langsam, bestimmte Funk­tio­nen –bei­spiels­wei­se Shop-Systeme – funk­tio­nie­ren gar nicht. Zum Höhepunkt des Angriffs sind viele Websites überhaupt nicht er­reich­bar.

Ob man tat­säch­lich Opfer einer DoS-Attacke geworden ist, kann man mittels Be­ob­ach­tung und Analyse des Netz­werk­ver­kehrs (Network Traffic Mo­ni­to­ring and Analysis) fest­stel­len. Dies erfolgt entweder mithilfe der Firewall oder mit einem speziell in­stal­lier­ten An­griffs­er­ken­nungs­sys­tem (Intrusion Detection System). Netz­werk­ad­mi­nis­tra­to­ren haben dabei die Mög­lich­keit, Regeln für das Erkennen von „ab­nor­ma­lem“ Traffic fest­zu­le­gen. Nimmt die Zahl von ver­däch­ti­gen Anfragen an das System zu, wird au­to­ma­tisch Alarm ge­schla­gen. Dann können Ge­gen­maß­nah­men ein­ge­lei­tet werden.

Wie laufen Denial-of-Service-Angriffe technisch ab?

Es gibt mitt­ler­wei­le un­ter­schied­lichs­te Arten von DoS-Attacken, die sich grob in Attacken gegen die Band­brei­te, Attacken gegen Sys­tem­res­sour­cen sowie Attacken unter Aus­nut­zung von Si­cher­heits­lü­cken und Software-Fehlern einteilen lassen. Wie Angreifer bei einem Denial of Service Angriff konkret vorgehen und welche Maßnahmen helfen, Systeme dagegen ab­zu­si­chern, lässt sich am Beispiel eines Smurf-Angriffs erklären:

Ein Smurf-Angriff ist ein be­stimm­ter Typ einer DoS-Attacke, der gegen das Be­triebs­sys­tem oder die In­ter­net­ver­bin­dung eines Com­pu­ter­sys­tems oder -netzwerks zielt. Der Angreifer sendet dabei Pings, ICMP-Da­ten­pa­ke­te des Typs „Echo Request“, an die Broadcast-Adresse eines Netzwerks. In diesen Da­ten­pa­ke­ten trägt der Angreifer die Adresse des an­zu­grei­fen­den Systems ein. In der Folge antworten alle Computer des Netzwerks dem an­zu­grei­fen­den System – in der Annahme, dass die Anfragen von diesem aus­ge­gan­gen sind. Je mehr Computer Teil des vom Angreifer benutzten Netzwerks sind, desto höher wird die Zahl der ver­meint­li­chen „Antworten“ ausfallen – und desto stärker wird der Angriff.

Um Smurf-Angriffe zu ver­hin­dern, antworten Systeme in ihrer Stan­dard­kon­fi­gu­ra­ti­on heute nicht mehr ICMP-Paketen des Typs „Echo Request“ und Router leiten an Broadcast-Adressen ge­rich­te­te Pakete nicht mehr weiter. Durch diese generelle Si­cher­heits­maß­nah­me sind er­folg­rei­che Smurf-Attacken selten geworden.

Fazit

Auf ähnliche Weise laufen aber auch heute noch er­folg­rei­che DoS-Attacken. Das an­zu­grei­fen­de Netzwerk wird mit Da­ten­pa­ke­ten über­for­dert und muss daraufhin den Service ein­stel­len.

Maßnahmen gegen DoS-Attacken

Um die eigene In­fra­struk­tur gegen Denial-of-Service-Angriffe zu sichern, kann man gleich mehrere Maßnahmen ergreifen. Besonders der oder die Router sollten korrekt kon­fi­gu­riert sein und mit starken Pass­wör­tern gesichert werden. Hat man Sperr­maß­nah­men an diesen Kno­ten­punk­ten ein­ge­rich­tet, können viele DoS-Attacken bereits hier ab­ge­wen­det werden. Die ent­spre­chen­den An­griffs­pa­ke­te werden dann gar nicht erst in die interne In­fra­struk­tur ein­ge­las­sen. Eine gute Firewall sorgt für zu­sätz­li­che Si­cher­heit.

Wenn man fest­ge­stellt hat, dass man das Ziel eines Angriffs ist, kann man zudem weitere Res­sour­cen zur Verfügung stellen. Per Last­ver­tei­lung können beim Hosting-Anbieter bei­spiels­wei­se auch kurz­fris­tig zu­sätz­li­che Ka­pa­zi­tä­ten ein­ge­for­dert werden, damit der Angriff nicht er­folg­reich ist.

Eine de­tail­lier­te Übersicht über Maßnahmen finden Sie in unseren Artikel, der den Un­ter­schied zwischen DDoS- und DoS-Angriffen genauer be­leuch­tet.

DDoS-Attacken – Denial of Service heute

Die meisten DoS-Attacken laufen heute in Form von Dis­tri­bu­ted-Denial-of Service-Angriffen ab – kurz als DDoS-Attacken be­zeich­net. Der we­sent­li­che Un­ter­schied zwischen DDoS- und DoS-Angriffen: Während DoS-Attacken von einer einzigen Quelle (z. B. einem Rechner oder einem Netzwerk) ausgehen, werden DDoS-Angriffe indirekt über ein oft weit ver­zweig­tes Botnetz verteilt aus­ge­führt – daher auch die Be­zeich­nung „Dis­tri­bu­ted“.

Ein Botnetz ist im Grunde ein Zu­sam­men­schluss von gehackten Computern – so­ge­nann­ten Zombies. Meist sind diese schlecht gewartet und die Besitzer der ge­ka­per­ten Rechner merken nur selten, dass Schad­soft­ware auf ihren Geräten in­stal­liert wurde oder dass diese für cy­ber­kri­mi­nel­le Aktionen miss­braucht werden. Der Betreiber eines Botnetzes kann mit dieser „Armee aus Zombie-Rechnern“ Angriffe gegen andere IT-Systeme ausführen.

Es gibt Botnetze, die aus mehreren Millionen Computern bestehen. Werden bei einer DDos-Attacke alle diese Rechner ein­ge­setzt, kann die Zahl der „il­le­gi­ti­men Anfragen“ an ein Netzwerk ins schier Un­er­mess­li­che steigen. Das ist einer der we­sent­li­chen Gründe, warum selbst Portale wie Facebook mit ihren ge­wal­ti­gen Res­sour­cen vor groß­an­ge­leg­ten DDoS-Angriffen nicht hun­dert­pro­zen­tig sicher sind.

Tipp

Sorgen Sie für möglichst viel Si­cher­heit: Mit SSL-Zer­ti­fi­ka­ten ga­ran­tie­ren Sie den Besuchern Ihrer Website, dass der Da­ten­aus­tausch ver­schlüs­selt abläuft und von Dritten nicht ein­ge­se­hen werden kann.

Zum Hauptmenü