Denial of Service: Unterschied zwischen den Versionen

Denial of Service (Kurzform DoS) ist die Folge einer Überlastung eines Datenverarbeitungssystems.

DDoS Architektur eines Angriffes

Dies kann durch verschiedene Formen entstehen. Es ist möglich dass dies unbeabsichtigt passiert indem grosse Mengen an Datenpaketen ungebremst an ein System weitergeleitet werden. Ein DoS-Angriff kann auch mutmasslich von einem Angreifer ausgeführt werden welcher die Absicht hat einen oder mehrere Dienste eines Systems zu überlasen das diese die allgemein ankommenden Pakete nicht mehr verarbeiten können. Dies kann für ein Unternehmen beispielsweise starke Konsequenzen mit sich tragen.

Absicht

Die technische Absicht eines solches Angriffes ist, wie schon bei der Beschreibung erklärt - das ausser betrieb setzen eines Dienstes. Wird dieser angriff von einer grösseren Anzahl Rechner ausgeführt spricht man von Verteilter Dienstblockade oder englisch Distributed Denial of Service (DDoS). Bei einer grösseren Anzahl an Rechnern bzw. Angreiffern entstehen höhere Datenmengen welche zu einer Überlastung eher führen. Die Absichten des Angreifers können verschieden sein. In letzter zeit sind die Absichten eines DoS Angriffes als Form des Protests populär geworden, es gibt jedoch Erpressungen welche Unternehmen beispielsweise dazu bringen soll für das abbrechen eines Angriffes zu zahlen. Oder einfach nur ein Unternehmen zu sabotieren.

Funktionsweise

Es gibt verschiedene Angriffe dieser Art. Einige Beispiele:

• SYN-Flood
• Smurf-Attacke
• WinNuke
• Land-Attacke
• Teardrop-Attacke
• Unnamed-Attacke
• DNS-Amplification
• Ping of Death

Es kommt auch vor das Programmfehler von verwendeten Diensten ausgenutzt werden um so das System effizienter lahmzulegen. Bei solch einem Fall müsste ein Programmfehler vorhanden bzw. bekannt sein.

DDoS werden oft mit Hilfe von Botnetzen ausgeführt. Ein Botnetz ein Netzwerk aus infizierten Rechnern welche die befehle eines Angreifers befolgen. Dieser kann dessen Ressourcen nutzen und für einen DDoS mobilisieren. Umso mehr Rechner infiziert sind bzw. umso mehr Rechner bei einen DDoS beteiligt sind desto effizienter. Dadurch steigt auch die Chance/Möglichkeit grössere Systeme ausser betrieb zusetzen.

Ein grundlegender Unterschied von DDoS zu anderen Angriffen ist der, dass bei DDoS nicht die Absicht besteht in das System einzudringen, daher werden keine Kennwörter oder ähnliches benötigt. Jedoch kann solch ein Angriff ein Teil eines grösseren Angriffes sein, zum Beispiel die technischen Administratoren vom eigentlichen Angriff abzulenken und die eigentlichen Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.

Gegenmassnahmen

Es können verschiedene Mittel genutzt werden um einen Angriff zu verhindern. Dabei kommt es ganz auf die Stärke der Attacke drauf an. Bei kleineren Attacken reichen bereits kleiner Mittel, bei grossen muss man schon mit mehreren Mittel dagegen kämpfen.

Bei kleineren Attacken kann man einzelen IP’s oder IP-Ranges sperren, was dort vielmals hilft, aber sobald es zu viele werden hat man damit auch keine Chance mehr, da es zu einem Katz- und Mausspiel ausarten kann.

Bei grösseren Attacken gibt es verschiedene Möglichkeiten, einerseits bei der Firewall oder bei Webserver (welche ja oft das Ziel sind) mit Apache gibt es extra ein Modul, welche die maximal Mögliche Verbinden pro IP protokolliert und gegeben falls blockiert. Bei einem längeren Angriff sollte man aber versuchen die Attacken nicht erst bei der Software zu stoppen, sondern mit einer Hardware-Firewall die Angriffe zu blockieren. Teure Profi-Geräte arbeiten dabei mit einer viel höheren Performance und können Angriffsmuster selbst erkennen und abwehren.

Man muss auch sagen, dass die Möglichkeiten begrenzt sind und die Angreifer immer im Vorteil sind. Sonst lässt sich wohl kaum erklären, dass selbst grosse Webseiten mit Angriffen zu kämpfen haben und kaum etwas dagegen machen können.