Denial-of-Service (DoS)

Denial of Service (engl. Verweigerung des Dienstes) – kurz DoS – bedeutet soviel wie etwas unzugänglich machen oder außer Betrieb setzen. Technisch passiert dabei folgendes: Bei einem DoS-Angriff wird ein Server gezielt mit so vielen Anfragen bombardiert, dass er die Menge der Anfragen nicht mehr bewältigen kann und den Dienst verweigert bzw. im schlimmsten Fall zusammenbricht. Auf diese Art wurden schon bekannte Web-Server, wie zum Beispiel Amazon, Yahoo, oder eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und so für eine bestimmte Zeit für reguläre Anfragen außer Gefecht gesetzt.

Die Programme, die für DoS-Angriffe genutzt werden, sind mittlerweile sehr ausgefeilt und Angreifer, die solche Angriffe durchführen, nur schwer zu ermitteln, weil sich der Weg der Anfragen verschleiern lässt. Möglich sind einige der Attacken durch Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementierungen von Protokollen. Andere Angriffe überlasten schlicht das ganze System mit zu vielen Anfragen.

Technisch gesehen existieren verschiedene Formen einer DoS-Attacke:

• Syn Flooding: Zu Beginn eines Verbindungsaufbaus wird in TCP/IPbasierten Netzen ein sogenannter Handshake durchgeführt. Dabei werden sogenannte SYN– und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun, auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskapazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen.
• Ping Flooding: Ping ist ein Programm, das prüft, ob andere Rechner im Netz erreichbar sind. Beim Ping Flooding bombardiert ein Angreifer den Zielrechner mit einer gewaltigen Menge von sogenannten Pings. Dieser ist dann nur noch damit beschäftigt, die Pings zu beantworten (mit dem sogenannten Pong) und je nach Art, Größe und Anzahl der Pings pro Sekunde kann dies bei Rechnern mit älteren Betriebssystemen innerhalb kürzester Zeit zu einem Systemabsturz führen. In jedem Fall führt Ping Flooding zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet. Neben dem Systemausfall können außerdem hohe Kosten entstehen, wenn die Netzwerkverbindung nicht nach Zeit sondern nach erzeugter Datenmenge abgerechnet wird.
• E-Mail-Bombing: Dabei wird entweder eine enorm große Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten (E-Mails) bombardiert. Das führt zum "Verstopfen" des E-Mail-Accounts. Im schlimmsten Fall wird der E-Mail-Server langsamer oder bricht total zusammen. Solche E-Mail-Bombing-Angriffe können ohne größere Probleme mit im Internet erhältlichen Programmen durchgeführt werden.

Distributed Denial-of-Service (DDoS)

Bei einer sogenannten "verteilten DoS-Attacke" kommt anstelle eines einzelnen Angriffssystems eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. Im Englischen wird diese Art Angriff als Distributed Denial of Service (DDoS)-Angriff bezeichnet. Eine DDoS-Attacke ist daran zu erkennen, dass sie deutlich mehr Netzressourcen als der normale Netzwerkverkehr beansprucht.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.

In der Praxis können Sie sich das so vorstellen: Ein Hacker verteilt seine Angriffsprogramme auf mehreren hundert bis tausend ungeschützten Rechnern. Besonders beliebte "Opfer" sind Server in Universitätsnetzen, denn sie laufen meist rund um die Uhr (im Gegensatz zu Ihrem Heim-PC). Die mit Schadsoftware infizierten Rechner werden zum Angriffswerkzeug, denn auf Kommando des Hackers bombardieren sie ein bestimmtes Ziel, zum Beispiel einen Web-Server, mit gefälschten Anfragen. Der ist dann außer Gefecht gesetzt.

Sich vor solchen Angriffen zu schützen, ist deshalb schwer, weil der Zielrechner die Daten erst erhalten muss, um sie zu analysieren. Doch dann ist es bereits zu spät. Die Hacker selbst lassen sich nur schwierig aufspüren, da sie in den meisten Fällen mit gefälschten IP-Quelladressen arbeiten. Deshalb muss durch Basisschutzmaßnahmen verhindert werden, dass DDoS-Programme wie "Stacheldraht" oder "TFN 2K" überhaupt auf Servern, Privat-PCs oder anderen IT-Systemen eingeschleust werden können, die dann (ungewollt) zum Angriffswerkzeug werden.