Startseite  >  Denial of Service
Denial of Service (DoS) - Was ist das?

Der Begriff Denial of Service beschreibt schon ganz anschaulich, um was es bei dieser Art von im Regelfall mutwillig herbeigeführter Sabotage-Aktion handelt: Es geht um das Stören eines Dienstes, so daß er seine eigentliche Funktion nicht mehr ausführen kann. Konkret gesprochen kann es sich um einen Webserver handeln, der durch eine DoS-Attacke daran gehindert wird, User mit Webseiten zu versorgen. Im Ergebnis bleibt die Website für den Benutzer scheinbar offline, obwohl der Server durchaus aktiv ist. Ganz im Gegenteil ist er aber so überlastet, daß er nicht mehr alle Anfragen zeitnah bedienen kann. Und damit ist bereits die Mechanik eines DoS erklärt: Ein System über den Rand seiner Leistungsfähigkeit hin so zu belasten, daß es die Verarbeitung nicht mehr leisten kann. Entweder wird bei der großen Menge an Jobs jeder einzelne soweit verzögert wird, daß keiner mehr ordnungsgemäß abgeschlossen werden kann. Die Geschwindigkeit wird über die Zeitlupe bis hin zum scheinbaren Stillstand gebremst. Oder das System kollabiert unter dieser ungeplanten Last zur Gänze und stellt seine Tätigkeit mit einer Fehlermeldung ein.

Der klassische Denial of Service Angriff erfolgt durch das Netzwerk aus der Ferne. Und da der Sinn eines Webservers im Internet darin besteht, weltweit über Standleitungen erreichbar zu sein, kann ein Angriff auf diesen selbstverständlich auch von überall aus erfolgen. Aber nicht nur Webserver können Ziele von DoS-Attacken sein. Jede Art von IT-Netzwerkinfrastruktur ist grundsätzlich dem Risiko ausgesetzt, Ziel einer mutwilligen Überlastung zu werden. also auch beispielsweise ein E-Mail-Dienst, ein Internetzugang oder ein einzelnes Gerät im Netz.

Selbstverständlich ist die Sabotage von EDV eine höchst strafbare Handlung. Doch nicht nur die Tatsache, daß sich der Angreifer von einer beliebigen Stelle des öffentlichen Netzes aus handeln kann macht eine Strafverfolgung problematisch (er könnte beispielsweise im Ausland sitzen). Im Regelfall ist das System, das die Denial of Service-Attacke durchführt, selbst lediglich ein vom Saboteur mißbrauchtes neutrales System. Typischerweise ein an das Internet angeschlossener PC, der durch einen Virusbefall einem Eindringling Zugriff gewährt und der diesem erlaubt, eine solchen Angriff von dort aus zu starten. Doch geht es im ersten Schritt weniger um die Verfolgung und Bestrafung des Täters als um das Abwenden oder Überstehen der konkreten Angriffsituation.

Der Angriff auf Intrusion Detection Systeme

Dienste, die Netzwerkports überwachen, also Intrusion Detection Systeme (IDS) und Scanner/Sniffer-Software, lassen sich kurzfristig ablenken, um an ihnen vorbei Angriffe durchführen zu können.

Das Senden gefälschter SYN-Pakete kann solche Dienste mit der Abarbeitung und Antwortformulierung beschäftigen. Während dieser Zeit steht dem Saboteur das Netz unbemerkt zur Verfügung.

Der PING Angriff

Ein Echo Request, also ein PING, ist eine Anfrage an ein System im Netz. Zu Antwort erhält der Client auf sein PING ein Echo Reply. Der Client weiß, daß das System im Netz aktiv ist und reagiert. Durch das massenhafte Senden von PINGS kann ein Server soweit belastet werden, daß er deren Beantwortung nicht mehr abwickeln kann, geschweige denn seine regulären Aufgaben.

Der TCP/IP Stack Angriff

Auch der TCP/IP Stack von Routern oder Servern läßt sich aufgrund seiner Schwächen beziehungsweise seiner mangelhaften Fehlertoleranz attackieren. Hierdurch können die entsprechenden Geräte oder Dienste außer Kraft gesetzt werden.

Der SMURF Angriff

Strategie dieser Attacke ist es, an ein unbeteiligtes Netzwerk eine große Anzahl an Anfragen unter falschem Namen zu senden, und zwar unter der vermeindlichen Adresse des zu attackierenden Servers. Das Netzwerk reagiert und antwortet, aber natürlich nicht dem Angreifer sondern dem ahnungslosen Server. Durch das Senden manipulierter Internet Control Message Protocol Pakete (ICMP), die eigentlich dem Austausch von Informationsmeldungen und Fehlermeldungen dienen und wo die Absenderadresse gegen dijenige des zu sabotierenden Servers ausgetausch wurde, läßt sich durch eine Reaktion jedes einzelnen Hosts eines Netzwerkes ein Vielfaches an Datenrückstrom erzeugen zu der Menge, die selbst ausgesendet worden ist. Server können so mit gewaltigen Datenmengen überschüttet werden. Die Bandbreite der Netzanbindung des Servers wird ausgelastet, weitere reguläre Useranfragen haben keine Chance mehr, bis zum Server und zurück zu gelangen.

Der SYN Angriff

Diese Attacke beruht auf der Funktionsweise des Handshaking des TCP-Protokolls und einer grundsätzlichen Schwäche, die sich hieraus ergeben kann. Ein Handshake, also ein Kontaktaufbau, wird bei TCP in drei Schritten durchgeführt. Zunächst sendet der Client eine SYN-Aufforderung als Synchronisierungsnachricht. Diese wird vom Server mit einem ACK (Acknoledgement) bestätigt. Schließlich bestätigt auch der Client seinerseits im dritten Schritt mit einem ACK. Daraufhin ist die Verbindung aufgebaut und der eigentliche Datenaustausch kann beginnen. Solange der Server nach angebotenem ACK auf das ACK des Client wartet, bleibt die entsprechende Verbindung offen. Durch das Überfluten des Servers mit Synchronisationsanforderungen, die offen bleiben, läßt sich der Server über den Rand seiner Leistungsfähigkeit hinaus belasten und für reguläre Anfragen blockieren, so daß andere User keine Datenverbindung mehr mit dem Server aufbauen können. Das System ist also praktisch offline.

Vorsorge und präventive Netzstrategie gegen Denial of Service Angriffe

Zunächst einmal muß man mit der Tatsache umgehen, daß es einen vollständigen Schutz gegen Brute-Force-Attacken, also solche, die mit roher Gewalt und einer riesigen Masse an fremder Computerpower durchgeführt werden, nur dann gibt, wenn die eigene Infrastruktur noch gewaltiger dimensioniert ist als die gemeinsame Schlagkraft der Angreifer. Eine Konstellation, die bei einerseits begrenzten Ressourcen kleinerer oder mittelständischer Unternehmen sowie theoretisch unbegrenzt großer Angreifernetze nicht umsetzbar ist. Konzerne und große Webprojekte nutzen entsprechend kapazitative Systeme in Kombination mit Lastverteilung. Auf die Möglichkeit eines das eigene Netzwerk bis an seine Grenzen und darüber hinaus belastenten DoS-Angriffs muß sich ein Administrator also einstellen.

Dennoch bleibt man nicht völlig wehrlos und bereits im Vorfeld lassen sich entsprechende strukturelle Maßnahmen und Vorbereitungen treffen.

up to date

In jedem Fall und nicht nur für die Absicherung gegen Denial of Service Angriffe ist es sinnvoll, auf sämtlichen Systemkomponenten die aktuellsten Software- und Betriebssystemversionen eingespielt zu halten. Sicherheitslücken lassen oftmals Angriffsvarianten zu, die eigentlich vermeidbar wären.

Protokolle

Um eine Verschiebung der Lastverteilung zwischen den eigenen Servern und den anfragenden Clients zu erreichen, kann manchmal auf Protokolle (etwa Verschlüsselungsprotokolle) umgestiegen werden, deren Abarbeitung mehr auf Clientseite und weniger auf Kosten der Rechenleistung der Server erfolgt. Hierdurch wäre zumindest die Kraft eines Angriffs geschwächt, beziehungsweise der Saboteur gezwungen, mehr eigene Rechenleistung in die eigene gekaperte Infrastruktur einzubringen, um die gleiche Schadensmenge hervorrufen zu können.

Ressourcenzuteilung

Eine aufwendige Methode ist das Zuweisen von Kapzitäten an bestimmte Netzgruppen, um somit die gesamte Bandbreite und Speicher- und Rechenleistung auf mehreren Segmenten verfügbar zu halten und damit die eigene Anfälligkeit zu reduzieren.

Planung durch Profis

Lassen Sie sich beraten. Nutzen Sie schon vor dem Ernstfall das Know How von Experten, beispielsweise Ihres Business Providers. Dort kann man gemeinsam mit Ihnen und auf Ihre Situation und Anforderung inviduell zurechtgeschnitten, eine nachhaltige Strategie entwickeln und diese auch konkret in Ihrem Netzwerk umsetzen.

Das Verhalten im Ernstfall

Ein Distributed Denial-of-Service Angriff auf eine Kundeninfrastruktur ist in den allermeisten Fällen kein zufälliges Ereignis. Aus irgend einem Grund wird man als lohnenswertes Ziel erachtet. Handelt es sich bei dem Betroffenen um ein bekanntes Unternehmen oder gar eine Partei oder eine sonstige Organisation, so ist es einleuchtend, steht dieses doch sowieso im Fokus des allgemeinen Interesses. Aber auch als weniger bekanntes oder völlig unbekanntes Unternehmen kann man Ziel einer DoS-Attacke sein. Neben der reinen Zerstörungslust dürften zwei Gründe Hindergrund sein: finanzielle Interessen und mißliebige Konkurrenten.

Konkurrenz

Eine gute Methode, unliebsame Mittbewerber ernsthaft zu schädigen oder sogar in den Ruin zu treiben besteht sicherlich darin, ihre IT-Infrastruktur vorübergehend lahmzulegen. Gerade Unternehmen, die mit dem Medium Internet Geld verdienen, beispielsweise Online-Shops oder Informationsportale, sind durch eine solche Sabotage komplett und nachhaltig von ihrem Geschäftsmodell abgetrennt. Bei größeren Online-Shops geht der täglich angerichtete Schaden leicht in Bereiche von 10.000 bis 100.000 Euro. Steht Ihr Unternehmen im scharfen Wettbewerb und zeigen sich sonst keinerlei Gründe für die DoS-Attacke, erhalten Sie also zum Beispiel keine erpresserische E-Mail, steckt in vielen Fällen ein Unbekannter dahinter, der wirtschaftlich von Ihrer Abwesenheit profitiert. Nachweisen läßt sich eine solche Vermutung mit technischen Mitteln aber wohl kaum.

Finanzielle Interessen

Ist der Angriff ein Versuch einer Erpressung, erhalten Sie also während der DDoS-Attacke auf Ihr Netzwerk eine E-Mail mit einer Geldforderung, sollten Sie sich gut überlegen, ob Sie tatsächlich bereit sind, darauf einzugehen. Möglicherweise können Sie hierdurch die gerade durchgeführte Attacke beenden. Andererseits haben Sie keinerlei Gewähr, daß dies wirklich geschieht, daführ aber können Sie sich sicher sein, daß der nächste Angriff nicht mehr lange auf sich warten läßt. Schließlich haben Sie das Geschäftsmodell nun akzeptiert und befinden sich nun inmitten einer schutzgelderpressenden Mafiastruktur. Bleiben Sie also besser standhaft, versuchen Sie den Schaden zu begrenzen und für den nächsten sicherlich eintretenden Fall vorzusorgen. Denn spätestens langfristig betrachtet erweist sich der andere Weg als der falsche.

Abwehr eines bestehenden DoS-Angriffs – den Angriff entdecken

Bevor eine Abwehr auf den nichtkonformen Netzwerk-Traffic erfolgen kann, der auf das System einströmt und dieses behindert, muß dieser zunächst als solcher erkannt werden. Sprich, es muß zwischen regulärem gewünschtem Datenverkehr, der für Umsatz sorgt, sowie dem Störfeuer einer einkommenden Sabotage unterschieden werden. Hierbei hilfreich sind Systeme, die ein unnormales Verhalten identifizieren &kouml;nnen, etwa ein spontanes massives Ansteigen der Datenlast. Dazu ist es möglich, die Muster bekannter Angriffe zu erkennen und bei neuerlichem Auftreten zu melden. Hierbei unterstützen sogenannte Intrusion-Detection-Systeme.

Abwehr eines bestehenden DoS-Angriffs – dem Angriff entgegnen

Zum Abwehr einer laufenden DoS-Attacke kann man zunächst versuchen, durch Traceback die angreifenden Systeme zu ermitteln. Zum einen erhält man somit Hinweise auf den Angreifer, die sich im nachhinein juristisch weiterverfolgen lassen, andererseits kann gerade der von dieser Seite kommende Traffic reduziert werden. Ein weiteres Abwehrmittel ist das Verändern der Netzwerkressourcen auf Basis der aktualisierten Lage, was beispielsweise das Isolieren angegriffener Systeme bedeuten kann. All die Maßnahmen zur Abwehr von Denial of Service können darüber hinaus an unterschiedlicher Stelle durchgeführt werden. Direkt am angegriffenen System, auf der Infrastrukturstrecke zu diesem oder auch innerhalb der Infrastruktur des Angreifers, wobei der Ansatz an der Quelle des Angriffs sicher das effektivste und am wenigtsten Schaden verursachende Mittel wäre. Da dies allerdings im Regelfall nicht so einfach zu erzielen ist, kann die Zusammenarbeit mit dem eigenen Provider zumindest die Netzwerkinfrastruktur bis zum eigenen System bereinigen. Der entsprechende Business Provider als Partner kann jetzt eine große Hilfe sein. In jedem Fall und ohne fremde Hilfe kann ein Administrator natürlich die von ihm selbst zu verantwortenden Komponenten steuern.

Die Vorbereitung zu einer Denial-of-Service Attacke

Bevor ein Angriff auf ein Netzwerk erfolgen kann, müssen zunächst die sogenannten Bots gefunden und präpariert werden. Die Übernahme eines fremden Computers durch das Internet funktioniert erschreckend leicht durch die Ausnutzung von Sicherheitslücken in Software und Betriebssystemen oder durch das Austricksen des Anwenders. Ziel hierbei ist immer, eigenen Programmcode auf das fremde System zu übertragen, den Rechner zu infizieren, der dann die gewünschten Funktionen sowie die Fernsteuerbarkeit zu deren Aktivierung zuläßt.

Hierbei können selbst optimal abgesicherte Computer erfolgreiches Ziel einer Übernahme sein, da auch die aktuellsten Software-Versionen nicht frei von Fehlern sind und diese Sicherheitslücken immer erst mit einer gewissen Verzögerung durch Updates geschlossen werden können. Viel größer sind die Erfolgsaussichten allerdings bei Computern, die veraltete Software-Komponenten und Betriebssystemvarianten im Einsatz haben und die nicht über angemessene Schutzmaßnahmen (Virenscanner, Firewalls) geschützt sind. Da die Anzahl an solchen Systemen innerhalb des Internets nahezu unendlich groß ist, bilden sie wohl auch das Gros der infizierten Bots und das Hauptaugenmerk der Saboteure.

Doch selbst ein perfekt und hermetisch abgeriegelter PC ist nicht in der Lage, einem durch Nachlässigkeit oder Fahrlässigkeit eingelassenem Bösewicht Paroli zu bieten. Das Öffnen und Starten unbekannter Dateien durch den ahnungslosen Benutzer stellt ein großes Risiko dar, aus einem Arbeits-PC einen Bot zu machen.

Distributed Denial-of-Service (DDoS)

Der Versuch einer Überlastung eines Serversystems durch einen einzelnen Client würde ins Leere laufen. Zu groß sind die Ressourcen der Anbietersysteme als das ein einzelner Angreifer hier mit roher Gewalt einen Schaden verursachen könnte. Darum wendet der Saboteur einen simplen Trick an - er bringt so viele Rechner unter seine Kontrolle, daß deren gemeinsamer Angriff nicht mehr aufzuhalten ist. Schon mit hunderten von PCs können Netze mit Anfragen und Daten geflutet werden, doch nicht selten werden tausende und zigtausende einzelne Angreifer zugleich auf das Ziel geschickt.

Dieser Masse gegenüber müssen selbst mittlere und große Infrastrukturen sich nicht selten beugen, und nur mit besonderen Maßnahmen können solche Flutwellen abgewehrt, abgeleitet oder zumindest überstanden werden. Diesen gefährliche weil potenzierte Form der Störung wird als verteilter Angriff oder auch Distributed Denial-of-Service bezeichnet. Die vielen Client-Rechner werden, da sie ohne eigenen Willen ferngesteuert werden, auch als Robots, kurz Bots bezeichnet. Die Gemeinschaft der angreifenden Bots, also deren unheiliger Netzverbund, ist das Botnet.




Quick Links:
Kontakt
Impressum