Navigation und Service


Denial-of-Service-Attacken

Denial of Service – oder kurz DoS – bedeutet soviel wie etwas unzugänglich machen oder außer Betrieb setzen. Technisch passiert dabei folgendes: Bei DoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo, eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und für eine bestimmte Zeit für normale Anfragen außer Gefecht gesetzt.

Die Programme, die für DoS-Angriffe genutzt werden, sind mittlerweile sehr ausgefeilt und die Angreifer sind nur schwer zu ermitteln, weil sich der Weg der Daten verschleiern lässt. Möglich sind einige der Attacken durch Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementierungen von Protokollen.

Andere Angriffe überlasten schlicht das ganze System mit zu vielen Anfragen.

Es existieren daher auch verschiedene Formen einer DoS-Attacke:

  • Syn Flooding:
    Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein sogenannter Handshake durchgeführt. Dabei werden so genannte SYN– und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen.
  • Ping Flooding:
    Ping ist ein Programm, das prüft, ob andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding bombardiert der Angreifer den Zielrechner mit einer gewaltigen Menge von so genannten Pings. Der ist nur noch damit beschäftigt die Pings zu beantworten (mit dem so genannten Pong) und je nach Art und Größe der Pings pro Sekunde, kann dies bei Rechnern mit älteren Betriebssystemen innerhalb kürzester Zeit zu einem Systemabsturz führen. In jedem Fall führt Ping Flooding zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet. Neben dem Systemausfall entstehen außerdem hohe Kosten, wenn die Netzwerkverbindung nicht nach Zeit sondern nach erzeugter Datenmenge abgerechnet wird.
  • Mailbombing:
    Dabei wird entweder eine enorm große Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten bombardiert. Das führt zum Verstopfen des Mail-Accounts. Im schlimmsten Fall wird der Mail-Server langsamer oder bricht total zusammen. Solche Mail-Bombing-Angriffe können ohne größere Probleme durch im Internet erhältliche Programme durchgeführt werden.

Verteilte Denial-of-Service-Attacken (DDoS)

Seit einiger Zeit gibt es auch vermehrt so genannte "verteilte DoS-Attacken". Dabei kommt anstelle von einzelnen Systemen eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. Im Englischen wird diese Art Angriff als Distributed Denial of Service (DDoS)-Angriff bezeichnet. Eine DDoS-Attacke ist daran zu erkennen, dass sie deutlich mehr Netzressourcen als der normale Verkehr beansprucht.

In der Praxis können Sie sich das so vorstellen: Ein Hacker verteilt seine Angriffsprogramme auf mehreren hundert bis tausend ungeschützten Rechnern. Besonders beliebte "Opfer" sind Server in Universitätsnetzen, denn sie laufen meist rund um die Uhr im Gegensatz zu Ihrem Heim-PC. Diese Rechner werden zum Angriffswerkzeug, denn auf Kommando des Hackers bombardieren sie ein bestimmtes Ziel mit gefälschten Anfragen, zum Beispiel einen Web-Server. Der ist dann außer Gefecht gesetzt. Sich vor solchen Angriffen zu schützen ist deshalb schwer, weil der Zielrechner die Daten erst erhalten muss, um sie zu analysieren. Doch dann ist es bereits zu spät. Die Hacker selbst lassen sich nur schwierig aufspüren, da sie in den meisten Fällen mit gefälschten IP-Quelladressen arbeiten. Deshalb muss verhindert werden, dass DDos-Programme wie "Stacheldraht" oder "TFN 2K" überhaupt eingeschleust werden.


Diese Seite:

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved