Was ist ein Denial-of-Service(DoS)-Angriff?
Ein Denial-of-Service(DoS)-Angriff zielt darauf ab, eine Maschine oder ein Netzwerk für die vorgesehenen Benutzer unzugänglich zu machen. Bei DoS-Angriffen wird das Ziel mit Datenverkehr überflutet oder durch das Senden bestimmter Informationen zum Abstürzen gezwungen. In beiden Situationen wird verhindert, dass legitime Benutzer wie Mitarbeiter, Mitglieder oder Kontoinhaber auf den Service oder die Ressource zugreifen.
DoS-Angriffe zielen oft auf die Webserver prominenter Organisationen in Branchen wie dem Bankwesen, Einzelhandel oder Handel, den Medien oder Regierungsbehörden ab. Obwohl bei solchen Angriffen in der Regel keine wichtigen Daten oder andere Assets gestohlen werden oder verloren gehen, sind sie meist mit erheblichem zeitlichen und finanziellen Aufwand für die Opfer verbunden.
Bei DoS-Attacken unterscheidet man im Allgemeinen zwischen zwei Angriffsmethoden: Flooding (Überflutung) von Services und Serviceabsturz. Bei Flooding-Angriffen senden Angreifer mehr Daten an den Server, als zwischengespeichert werden können. So wird das System immer langsamer und letztendlich komplett lahmgelegt. Zu den beliebtesten Flooding-Taktiken gehören:
- Pufferüberlauf – die gängigste DoS-Angriffsform. Hier werden so viele Daten an eine Netzwerkadresse geschickt, dass das System komplett überfordert wird. In diese Kategorie fallen die unten aufgeführten Angriffsformen sowie andere, die anwendungs- oder netzwerkspezifische Fehler ausnutzen.
- ICMP-Flood-Angriff – nutzt Fehlkonfigurationen in Netzwerkgeräten aus, um mithilfe gefälschter Pakete jeden Computer im Zielnetzwerk zu pingen statt nur eine spezielle Maschine. Dadurch nimmt der Datenverkehr im Netzwerk erheblich zu. Diese Angriffsform ist auch als Smurf- oder Ping-of-Death-Angriff bekannt.
- SYN-Flood-Angriff – schickt eine Verbindungsanfrage an einen Server, ohne den erforderlichen Handshake abzuschließen. Diese Anfragen werden so oft geschickt, bis für legitime Benutzer keine freien Ports mehr verfügbar sind.
Bei anderen DoS-Angriffen werden Sicherheitslücken ausgenutzt, um die anvisierten Systeme oder Services erheblich zu destabilisieren oder zum Absturz zu zwingen und legitimen Anwendern dadurch die Nutzung zu verwehren.
Zu der DoS-Familie zählen auch Distributed-Denial-of-Service(DDoS)-Angriffe. Dabei werden mehrere Systeme für einen synchronisierten Angriff auf ein einzelnes Ziel genutzt. Anstatt nur von einem Standpunkt aus angegriffen zu werden, wird das Opfer also gleich von verschiedenen Punkten aus attackiert. Diese Hostverteilung bietet Angreifern mehrere Vorteile:
- Mehr Maschinen bedeuten mehr Leistung, um einen schwerwiegenderen Angriff starten zu können.
- Die Quelle des Angriffs lässt sich bei so vielen wahllos, oft weltweit verteilten Ausgangspunkten nur schwer ermitteln.
- Es ist schwieriger, mehrere Maschinen außer Gefecht zu setzen, als eine einzelne.
- Angreifer können sich hinter vielen verschiedenen (meist selbst kompromittierten) Systemen verstecken.
Moderne Sicherheitstechnologien sind zwar in der Lage, die meisten DoS-Angriffsarten zu identifizieren und abzuwehren. Doch wegen der einzigartigen Merkmale vieler DDoS-Taktiken gelten diese Angriffe weiterhin als kritische Bedrohung – besonders für Organisationen, die zu ihren typischen Opfergruppen gehören.