Denial of Service – was passiert bei einer DoS-Attacke?

Heutzutage ist es überaus wichtig, sich gegen Gefahren aus und im Internet zu wappnen. Ansonsten haben es Angreifer leicht, in Systeme einzudringen, diese zu manipulieren oder lahmzulegen. Eine klassische Angriffsform ist die DoS-Attacke. Was hat es damit genau auf sich und wie schützen Sie sich dagegen?

Was ist DoS (Denial of Service)?

Denial of Service (DoS) bedeutete ursprünglich nur, dass bestimmte Internetdienste auf einem IT-System, z. B. auf einem Server, zeitlich begrenzt nicht zur Verfügung stehen. Das passiert immer dann, wenn die entsprechenden Server überlastet sind – etwa durch zu viele Nutzeranfragen. Internetdienste sind beispielsweise Websites, E-Mail-Dienste oder Chat-Funktionen.

Bei einer DoS-Attacke ruft der Angreifer diese „Diensteverweigerung“ absichtlich hervor: Dies geschieht, indem er die für den externen Datenaustausch zuständigen Netzwerkverbindungen eines IT-Systems mit einer Unzahl an Anfragen „bombardiert“ – und damit überlastet. Wenn die Zahl der Anfragen über der Kapazitätsgrenze liegt, verlangsamt sich das System oder bricht ganz zusammen, sodass beispielsweise Websites, E-Mail-Funktionen oder Onlineshops nicht mehr aufrufbar sind.

Ein DoS-Angriff ist in etwa vergleichbar mit einem realen Geschäft, in das hunderte Menschen strömen, die das Verkaufspersonal mit irreführenden Fragen ablenken, Ressourcen blockieren – und nichts kaufen. Das Personal ist bis zum Kollaps überlastet, tatsächliche Kunden gelangen nicht mehr in das Verkaufslokal bzw. werden nicht bedient.

Reine DoS-Attacken sind vom Prinzip her relativ einfach durchzuführen, zumal es dabei nicht nötig ist, in gesicherte IT-Systeme einzudringen. Auch wer gar kein technisches Know-how besitzt und dennoch eine illegale Attacke, beispielsweise auf einen Konkurrenten, fahren möchte, kann dies mit wenig Budget schaffen. Cyberkriminelle bieten diese Art von Angriffen bereits für wenige Hundert Euro über das Darknet an. Sind Unternehmen und Organisationen auf DoS-Attacken nicht vorbereitet, lässt sich mit minimalem Aufwand ein maximaler Schaden anrichten.

Woran erkennt man eine DoS-Attacke?

Ein mögliches Indiz, dass man Opfer eines Denial-of-Service-Angriffs wurde, ist eine ungewöhnlich langsame Performance des gesamten Netzwerks – was sich besonders beim Öffnen von Dateien oder von eigenen Websites bemerkbar macht. Auch von außen lässt sich ein erfolgreicher DoS-Angriff gut beobachten: Attackierte Websites öffnen sich nur sehr langsam, bestimmte Funktionen –beispielsweise Shop-Systeme – funktionieren gar nicht. Zum Höhepunkt des Angriffs sind viele Websites überhaupt nicht erreichbar.

Ob man tatsächlich Opfer einer DoS-Attacke geworden ist, kann man mittels Beobachtung und Analyse des Netzwerkverkehrs (Network Traffic Monitoring and Analysis) feststellen. Dies erfolgt entweder mithilfe der Firewall oder mit einem speziell installierten Angriffserkennungssystem (Intrusion Detection System). Netzwerkadministratoren haben dabei die Möglichkeit, Regeln für das Erkennen von „abnormalem“ Traffic festzulegen. Nimmt die Zahl von verdächtigen Anfragen an das System zu, wird automatisch Alarm geschlagen. Dann können Gegenmaßnahmen eingeleitet werden.

Wie laufen Denial-of-Service-Angriffe technisch ab?

Es gibt mittlerweile unterschiedlichste Arten von DoS-Attacken, die sich grob in Attacken gegen die Bandbreite, Attacken gegen Systemressourcen sowie Attacken unter Ausnutzung von Sicherheitslücken und Software-Fehlern einteilen lassen. Wie Angreifer bei einem Denial of Service Angriff konkret vorgehen und welche Maßnahmen helfen, Systeme dagegen abzusichern, lässt sich am Beispiel eines Smurf-Angriffs erklären:

Ein Smurf-Angriff ist ein bestimmter Typ einer DoS-Attacke, der gegen das Betriebssystem oder die Internetverbindung eines Computersystems oder -netzwerks zielt. Der Angreifer sendet dabei Pings, ICMP-Datenpakete des Typs „Echo Request“, an die Broadcast-Adresse eines Netzwerks. In diesen Datenpaketen trägt der Angreifer die Adresse des anzugreifenden Systems ein. In der Folge antworten alle Computer des Netzwerks dem anzugreifenden System – in der Annahme, dass die Anfragen von diesem ausgegangen sind. Je mehr Computer Teil des vom Angreifer benutzten Netzwerks sind, desto höher wird die Zahl der vermeintlichen „Antworten“ ausfallen – und desto stärker wird der Angriff.

Um Smurf-Angriffe zu verhindern, antworten Systeme in ihrer Standardkonfiguration heute nicht mehr ICMP-Paketen des Typs „Echo Request“ und Router leiten an Broadcast-Adressen gerichtete Pakete nicht mehr weiter. Durch diese generelle Sicherheitsmaßnahme sind erfolgreiche Smurf-Attacken selten geworden.

Fazit

Auf ähnliche Weise laufen aber auch heute noch erfolgreiche DoS-Attacken. Das anzugreifende Netzwerk wird mit Datenpaketen überfordert und muss daraufhin den Service einstellen.

Maßnahmen gegen DoS-Attacken

Um die eigene Infrastruktur gegen Denial-of-Service-Angriffe zu sichern, kann man gleich mehrere Maßnahmen ergreifen. Besonders der oder die Router sollten korrekt konfiguriert sein und mit starken Passwörtern gesichert werden. Hat man Sperrmaßnahmen an diesen Knotenpunkten eingerichtet, können viele DoS-Attacken bereits hier abgewendet werden. Die entsprechenden Angriffspakete werden dann gar nicht erst in die interne Infrastruktur eingelassen. Eine gute Firewall sorgt für zusätzliche Sicherheit.

Wenn man festgestellt hat, dass man das Ziel eines Angriffs ist, kann man zudem weitere Ressourcen zur Verfügung stellen. Per Lastverteilung können beim Hosting-Anbieter beispielsweise auch kurzfristig zusätzliche Kapazitäten eingefordert werden, damit der Angriff nicht erfolgreich ist.

Eine detaillierte Übersicht über Maßnahmen finden Sie in unseren Artikel, der den Unterschied zwischen DDoS- und DoS-Angriffen genauer beleuchtet.

DDoS-Attacken – Denial of Service heute

Die meisten DoS-Attacken laufen heute in Form von Distributed-Denial-of Service-Angriffen ab – kurz als DDoS-Attacken bezeichnet. Der wesentliche Unterschied zwischen DDoS- und DoS-Angriffen: Während DoS-Attacken von einer einzigen Quelle (z. B. einem Rechner oder einem Netzwerk) ausgehen, werden DDoS-Angriffe indirekt über ein oft weit verzweigtes Botnetz verteilt ausgeführt – daher auch die Bezeichnung „Distributed“.

Ein Botnetz ist im Grunde ein Zusammenschluss von gehackten Computern – sogenannten Zombies. Meist sind diese schlecht gewartet und die Besitzer der gekaperten Rechner merken nur selten, dass Schadsoftware auf ihren Geräten installiert wurde oder dass diese für cyberkriminelle Aktionen missbraucht werden. Der Betreiber eines Botnetzes kann mit dieser „Armee aus Zombie-Rechnern“ Angriffe gegen andere IT-Systeme ausführen.

Es gibt Botnetze, die aus mehreren Millionen Computern bestehen. Werden bei einer DDos-Attacke alle diese Rechner eingesetzt, kann die Zahl der „illegitimen Anfragen“ an ein Netzwerk ins schier Unermessliche steigen. Das ist einer der wesentlichen Gründe, warum selbst Portale wie Facebook mit ihren gewaltigen Ressourcen vor großangelegten DDoS-Angriffen nicht hundertprozentig sicher sind.

Tipp

Sorgen Sie für möglichst viel Sicherheit: Mit SSL-Zertifikaten garantieren Sie den Besuchern Ihrer Website, dass der Datenaustausch verschlüsselt abläuft und von Dritten nicht eingesehen werden kann.