DDoS und DoS – Angriffsmuster und Gegenmaßnahmen

Die Nichtverfügbarkeit eines Dienstes wird in der Informatik „Denial of Service“ (DoS) genannt. Solche Dienstblockaden sind in der Regel Begleiterscheinungen einer Überlastung einzelner Komponenten der IT-Infrastruktur. Wird dieser Zustand durch externe Akteure mutwillig herbeigeführt, spricht man von einer DoS-Attacke. Dabei richtet ein Angreifer gezielt mehr Anfragen an ein Zielsystem, als dieses beantworten kann. So lassen sich Netzwerkgeräte, Betriebssysteme oder einzelne Serverdienste derart beanspruchen, dass diese auf reguläre Anfragen gar nicht oder nur noch verzögert reagieren können. Besonders effektiv ist ein solches Vorgehen, wenn ein System mit Anfragen diverser Rechner konfrontiert wird. Anders als DoS-Attacken stützen sich solche DDoS-Angriffe auf umfangreiche Bot-Netze.

Eine geläufige Form des DoS wird „Distributed Denial of Service“ (DDoS) genannt. Cyberkriminelle agieren bei dieser Variante nicht von einem einzelnen Angriffscomputer aus, sondern belasten Zielsysteme durch Anfragen mehrerer Rechner, die zu gigantischen Bot-Netzen zusammengeschlossen sein können. Durch einen solchen Rechnerverbund lässt sich deutlich mehr Datenverkehr generieren als bei einfachen DoS-Angriffen, die nur von einem einzigen System aus durchgeführt werden. DDoS-Attacken haben daher drastische Auswirkungen für Betroffene, die in der Regel nur geringe Aussicht haben, die eigentliche Quelle des Angriffs ausfindig zu machen. Denn Angreifer, die Bot-Netze dieser Art errichten, bedienen sich spezieller Software-Agenten, die ohne Kenntnis der Betreiber auf unzureichend geschützten Rechnern im Internet platziert und zentral gesteuert werden. Oft erfolgt eine solche „Infizierung“ schon Monate vor dem eigentlichen DDoS-Angriff.

Grundlage jeder DDoS-Attacke ist ein größerer Rechnerverbund. In der Theorie kann sich dieser Verbund tatsächlich im Besitz des Angreifers befinden – in der Praxis handelt es sich aber beinahe ausnahmslos um die bereits erwähnten Bot-Netzwerke, die oft aus hunderttausenden Computern bestehen. Entsprechende Computer sind mit einer Malware infiziert, die Cyberkriminellen den unbemerkten Fernzugriff ermöglicht. In der jüngeren Vergangenheit spielen dabei immer mehr auch IoT-Geräte (Internet of Things) wie Router, Überwachungskameras oder digitale Video-Rekorder eine entscheidende Rolle, die sich ebenfalls als Bots missbrauchen lassen.

Mit dem passenden Rechnerverbund im Rücken, hat der Angreifer häufig leichtes Spiel, den geplanten DDoS zu realisieren. Denn zur Erfüllung seines Ziels – den ins Visier genommenen Dienst zum Erliegen zu bringen – benötigt er nun lediglich den passenden Angriffspunkt im System bzw. Netzwerk des Opfers. Sobald er eine solche Backdoor (dt. Hintertür) gefunden hat, kann er die notwendigen Befehle an seine Bot-Armee senden, um die DDoS-Angriffswelle zum gewünschten Zeitpunkt zu starten. Welche verschiedenartigenAktionen und Angriffsmuster durch die ferngesteuerten Bots dabei unter anderem zum Einsatz kommen können, erfahren Sie in den folgenden Abschnitten.

Im Unterschied zuAnders als  anderen Übergriffen durch Cyberkriminelle zielen DoS- und DDoS-Attacken nicht darauf ab, ein System zu infiltrieren. Diese Sie können jedoch Bestandteil eines solches Hacking-Angriffs sein. Zum Beispiel, wenn ein System lahmgelegt wird, um von einem Angriff auf ein anderes System abzulenken. Wird die Reaktionsfähigkeit eines Servers durch DDoS- oder und DDoS-Attacken verzögert, haben Hacker zudem die Möglichkeit, Anfragen an das überlastete System durch gefälschte Antworten zu manipulieren. Die Strategien, die solchen Angriffen zugrunde  liegen, lassen sich in drei Kategorien einteilen:

• die Überlastung der Bandbreite,
• die Überlastung der Systemressourcen und
• die Ausnutzung von Softwarefehlern und Sicherheitslücken

Eine Überlastung der Bandbreite hat die Nichterreichbarkeit eines Rechners zum Ziel. DoS- und DDoS-Angriffen richten sich in diesem Fall direkt an das Netzwerk und die jeweiligen Verbindungsgeräte. So kann ein Router beispielsweise nur eine bestimmte Datenmenge gleichzeitig bearbeiten. Wird diese Kapazität durch einen Angriff komplett in Anspruch genommen, stehen die entsprechenden Dienste für andere Nutzer nicht mehr zur Verfügung. Eine klassische DDoS-Attacke mit dem Ziel der Breitbandüberlastung ist der Smurf-Angriff.

• Smurf-Angriff: Diese DDoS-Attacke macht sich das Internet Control Message Protocol (ICMP) zunutze, das dem Austausch von Informations- und Fehlermeldungen in Rechnernetzen dient. Dabei sendet ein Angreifer gefälschte ICMP-Pakete des Typs „Echo Request“ (Ping) an die Broadcast-Adresse eines Computernetzwerks und verwendet dabei die IP des Angriffsziels als Absenderadresse. Vom Router des Netzwerks wird die Broadcast-Anfrage an alle angeschlossenen Geräte weitergeleitet, wodurch jedes dazu veranlasst wird, eine Antwort an die Absenderadresse (Pong) zu senden. Ein großes Netzwerk mit vielen angeschlossenen Geräten kann die Bandbreite des Angriffsziels massiv beeinträchtigen.

Zielt eine DoS- oder DDoS-AttackeDDoS-Angriff auf die Ressourcen eines Systems ab, nutzen Angreifer den Umstand aus, dass Webserver nur eine begrenzte Anzahl an Verbindungen herstellen können. Werden diese mit sinnlosen oder ungültigen Anfragen belegt, lassen sich Serverdienste für reguläre Benutzer effektiv blockieren. Man spricht in diesem Fall von Flooding (Überflutung). Klassische DDoS-Angriffsmuster auf die Systemressourcen sind HTTP-Flood,Ping-Flood,SYN-Flood und UDP-Flood.

• HTTP-Flood: Bei dieser einfachsten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmt der Angreifer den Webserver des Ziels mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss er lediglich beliebige Seiten des Zielprojekts aufrufen, bis der Server unter der Last an Anfragen zusammenbricht.
   
• Ping-Flood: Auch bei diesem Angriffsmuster bedienen nutzensich  Cyberkriminelle ICMP-Pakete des Typs „Echo Request“. Diese werden in der Regel durch Bot-Netze massenhaft an Angriffsziele versendet. Da jede dieser Anfragen (Ping) vom Zielsystem mit einem Datenpaket beantwortet werden muss (Pong), lassen sich langsame Systeme durch Ping-Flood massiv ausbremsen.
   
• SYN-Flood: Dieses Angriffsmuster stellt einen Missbrauch des TCP-Threeway-Handshakes dar. TCP („Transmission Control Protocol“) ist ein Netzwerkprotokoll, das zusammen mit IP einen verlustfreien Datenverkehr über das Internet sicherstellt. Der Aufbau einer TCP-Verbindung erfolgt dabei stets in einer drei Schritte umfassenden Authentifizierung. Dazu sendet ein Client einem Server ein Synchronisationspaket (SYN). Dieses wird vom Server in Empfang genommen und ebenfalls mit einem Synchronisationspaket (SYN) sowie einer Bestätigung (ACK) beantwortet. Abgeschlossen wird der Verbindungsaufbau durch eine clientseitige Bestätigung (ACK). Bleibt diese aus, lassen sich Systeme effizient lahmlegen, da der Server nicht abschließend bestätigte Verbindungen im Arbeitsspeicher vorrätig hält. Kommt eine große Anzahl dieser sogenannten halboffenen Verbindungen durch SYN-Flooding zusammen, lassen sich die verfügbaren Serverressourcen unter Umständen komplett belegen.
   
• UDP-Flood: Bei dieser Attacke setzen Cyberkriminelle auf das verbindungslose User Datagram Protocol (UDP). Anders als bei einer Übertragung via TCP können Daten per UDP auch ohne Verbindungsaufbau übermittelt werden. Im Rahmen von DoS- und DDoS-Angriffen werden UDP-Pakete daher in großer Anzahl an zufällig ausgewählte Ports des Zielsystems gesendet. Dieses versucht erfolglos zu ermitteln, welche Anwendung auf die übermittelten Daten wartet und sendet daraufhin ein ICMP-Paket mit der Nachricht „Zieladresse nicht erreichbar“ an den Absender zurück. Wird ein System mit zahlreichen Anfragen dieser Art belastet, kann die Ressourcenauslastung dazu führen, dass die Verfügbarkeit für reguläre Benutzer stark eingeschränkt wird.

Sind einem Angreifer bestimmte Sicherheitslücken eines Betriebssystems oder Programms bekannt, lassen sich DoS- und DDoS-Attacken so gestalten, dass Anfragen Softwarefehler bis hin zu Systemabstürzen auslösen. Beispiele für Angriffsmuster dieser Art sind der Ping of Death und Land-Attacken.

• Ping of Death: Dieses Angriffsmuster hat das Ziel, das betroffene System zum Absturz zu bringen. Angreifer machen sich dazu Implementierungsfehler des Internet Protocols (IP) zunutze. IP-Pakete werden in der Regel als Fragmente versendet. Werden dabei fehlerhafte Informationen für das Zusammensetzen der Pakete mitgeschickt, lassen sich manche Betriebssysteme so austricksen, dass sie IP-Pakete erzeugen, die größer sind als die maximal zulässigen 64 KB. Dies kann zu einem „Buffer Overflow“ (Pufferüberlauf) führen, bei dem zu große Datenmengen dafür sorgen, dass im Ziel-Speicherbereich angrenzende Speicherstellen überschrieben werden.
   
• Land-Attacke: Bei einer Land-Attacke sendet ein Angreifer im Rahmen des TCP-Threeway-Handshakes (siehe oben) ein SYN-Paket, dessen Ziel- und Absenderadresse dem Server entsprechen, der angegriffen werden soll. Dies hat die Folge, dass der Server die Antwort auf die Anfrage in Form eines SYN/ACK-Pakets an sich selbst sendet. Das kann als neue Verbindungsanfrage interpretiert werden, die wiederum mit einem SYN/ACK-Paket beantwortet werden muss. So entsteht eine Situation, in der das System kontinuierlich eigene Anfragen beantwortet, was zu einer massiven Auslastung bis hin zum Absturz führen kann.

Um einer Überlastung von IT-Systemen durch DoS- uns DDoS-Attacken entgegenzuwirken, wurden diverse Sicherheitsmaßnahmen entwickelt. Ansatzpunkte bieten die Identifizierung kritischer IP-Adressen sowie das Schließen bekannter Sicherheitslücken. Zudem gilt es, Hardware- und Software-Ressourcen zur Verfügung zu stellen, mit denen sich kleinere Angriffe kompensieren lassen.

• IP-Sperrlisten: Sperrlisten ermöglichen es, kritische IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.
   
• Filterung: Um auffällige Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise unbegründet blockiert werden.
   
• SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen so zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems.
   
• Load-Balancing: Eine effektive Gegenmaßnahme gegen Überlastung ist eine Lastenverteilung auf verschiedene Systeme, wie sie durch Load-Balancing ermöglicht wird. Dabei wird die Hardware-Auslastung bereitgestellter Dienste auf mehrere physische Maschinen verteilt. So lassen sich DoS- und DDoS-Attacken bis zu einem bestimmten Maß auffangen.