DoS, Denial of Service ›› Definition & Bedeutung ›› ADVIDERA › ADVIDERA

DoS, Denial of Service

Als Denial-of-Service (DoS) wird ein Angriff bezeichnet, der legitime Benutzer daran hindert auf Dienste eines Servers zuzugreifen. Bei einem DoS-Angriff sendet der Angreifer in der Regel übermäßig viele Nachrichten, in denen er den Server auffordert, Anforderungen mit ungültigen Rückkehradressen zu authentifizieren. Da der Server die Absenderadresse des Angreifers beim Senden der Authentifizierungsgenehmigung nicht finden kann, entsteht vor dem Schließen der Verbindung eine Wartezeit. Wenn der Server die Verbindung schließt, sendet der Hacker weitere Authentifizierungsnachrichten mit ungültigen Rückkehradressen. Durch diesen Prozess sorgt ein Hacker dafür, dass ein Server ununterbrochen beschäftigt und damit für andere Anfragen blockiert ist.

Arten und Funktionsweise

Ein Denial-of-Service wird erreicht, indem der Zielhost oder das Netzwerk mit Datenverkehr überflutet wird, bis das Ziel nicht mehr reagiert oder sogar abstürzt. Dadurch wird der Zugriff für legitime Benutzer verhindert. DoS-Angriffe können eine Organisation sowohl Zeit als auch Geld kosten, weil ihre Ressourcen und Dienste während des Angriffs nicht verfügbar sind.

Es gibt viele verschiedene Methoden, um einen DoS-Angriff auszuführen. Bei der am häufigsten auftretenden Angriffsmethode versuchen Hacker einen Netzwerkserver mit Datenverkehr zu überfluten. Bei dieser Art von DoS-Angriff sendet der Angreifer mehrere Anforderungen an den Zielserver und überlädt diesen mit Datenverkehr. Diese Dienstanforderungen sind illegitim, beinhalten aber Rückantwortadressen, die den Server beim Versuch den Anforderer zu authentifizieren, irreführen. Da diese Junk-Requests ständig verarbeitet werden, ist der Server überlastet.

Bei einer Smurf Attacke sendet der Hacker Broadcast-Pakete des Internet Control Message Protocols an eine Reihe von Hosts mit einer gefälschten IP-Adresse (Source Protocol), die zum Zielcomputer gehört. Die Empfänger dieser gefälschten Pakete antworten dann und der Ziel-Host wird mit diesen Antworten überflutet.
Eine andere Methode wird SYN-Flood genannt. Hierbei sendet der Angreifer eine Anforderung zum Herstellen einer Verbindung an den Zielserver. Die Verbindung wird jedoch nie mit einem Drei-Wege-Handshake abgeschlossen. Das ist eine in einem TCP/IP Netzwerk verwendete Methode des Datenverkehrs zwischen einem lokalen Computer und einem Netzwerkserver. Der unvollständige Handshake blockiert den verbundenen Port und macht ihn für weitere Anforderungen nicht verfügbar. Der Angreifer sendet weiterhin Anfragen, bis alle offenen Ports belegt sind und legitime Benutzer keine Verbindung mehr herstellen können.

Einzelne Netzwerke können von DoS-Angriffen betroffen sein, ohne direkt anvisiert zu werden. Wenn ein Server eines Internetdienstanbieter (ISP) oder der Cloud-Dienstanbieter angegriffen wurde, fällt meist das gesamte Netzwerk aus.

Was ist eine verteilte Denial-of-Service-Attacke (DDoS)?

Eine besondere Form des Dos-Angriffs ist eine verteilte Denial-of-Service-Attacke (DDoS). Von DDoS-Angriff (Distributed Denial-of-Service) spricht man, wenn mehrere Computer zusammenarbeiten, um ein Ziel anzugreifen. DDoS ermöglicht, dass exponentiell mehr Anfragen an das Ziel gesendet werden, wodurch die Angriffskraft erhöht wird. Der Angriff erhöht auch die Schwierigkeit der Zuordnung, da die wahre Quelle des Angriffs schwerer zu identifizieren ist.

DDoS-Angreifer verwenden für ihre Angriffe häufig ein Botnetz. Das ist eine Gruppe von gekaperten Computern. Diese mit dem Internet verbundenen Geräte eignen sich ausgezeichnet, um Angriffe in großem Umfang durchzuführen. Dazu nutzen Hacker Sicherheitslücken oder Geräteschwächen aus, um möglichst viele Computer mit Hilfe von Steuerungs- und Kontrollsoftware zu übernehmen. Sobald ein Hacker die Kontrolle übernommen hat, kann er seinem Botnetz befehlen, DDoS auf einem Ziel auszuführen. In diesem Fall sind die infizierten Geräte auch Opfer des Angriffs.

Einmal eingerichtet, kann das aus kompromittierten Geräten bestehende Botnet auch an andere potentielle Hacker vermietet werden. Oftmals wird das Botnet für „Attack-for-Hire“ Dienste zur Verfügung gestellt, die es selbst dem unerfahrensten Benutzer ermöglichen, DDoS-Angriffe zu starten.

DDoS-Angriffe haben an Umfang zugenommen, da mehr und mehr Geräte über das Internet der Dinge (IoT) online gehen. IoT-Geräte verwenden häufig Standardkennwörter und verfügen nicht über solide Sicherheitseinstellungen, wodurch sie anfällig für Angriffe und Ausnutzung sind. Die Infektion von IoT-Geräten wird von Benutzern oft nicht bemerkt. Ein Hacker könnte leicht hunderttausende dieser Geräte kompromittieren, um ohne das Wissen des Gerätebesitzers einen hochgradigen Angriff durchzuführen.

Welche Symptome können auf einen DoS- oder DDoS-Angriff hinweisen?

Symptome eines DoS-Angriffs können unschädlichen Verfügbarkeitsproblemen ähneln, wie zum Beispiel bei technischen Problemen mit einem bestimmten Netzwerk oder bei Wartungsarbeiten durch den Systemadministrator. Auffällig sind:

  • ungewöhnlich langsame Netzwerkleistung
  • Nichtverfügbarkeit einer bestimmten Website
  • die Unfähigkeit, auf irgendeine Website zuzugreifen.

Der beste Weg, einen DoS-Angriff zu erkennen und zu identifizieren, wäre die Überwachung und Analyse des Netzwerkverkehrs. Der Netzwerkverkehr kann über eine Firewall oder ein Intrusion Detection System überwacht werden. Ein Administrator kann sogar Regeln einrichten, die beim Erkennen einer anomalen Verkehrslast eine Warnung erzeugen und die Quelle des Verkehrs identifizieren oder Netzwerkpakete fallen lassen, die bestimmte Kriterien erfüllen.

Schutz vor DoS-Angriffen

Obwohl es nicht möglich ist, sich komplett vor einem DoS- oder DDoS-Angriff zu schützen, können Administratoren aktive Schritte ergreifen, um die Auswirkungen eines Angriffs auf ihr Netzwerk zu reduzieren. Dazu gehören:

  • Die Anmeldung bei einem DoS-Schutzdienst, der ungewöhnliche Verkehrsflüsse erkennt und den Datenverkehr vom Netzwerk umleitet. Der DoS-Verkehr wird dann herausgefiltert, während legitimer Verkehr an den Server weitergeleitet wird.
  • Erstellung eines Notfallwiederherstellungsplans, um eine erfolgreiche und effiziente Kommunikation, Minderung und Wiederherstellung im Falle eines Angriffs zu gewährleisten.
    Es ist außerdem wichtig, Maßnahmen zu ergreifen, um die Sicherheit aller Ihrer mit dem Internet verbundenen Geräte zu verbessern, damit sie nicht kompromittiert werden. Die folgenden Maßnahmen erhöhen die Sicherheit eines Netzwerkes:
  1. Installieren und verwalten von Antivirensoftware
  2. Installieren einer Firewall, die so konfiguriert ist, das der eingehende und ausgehende Verkehr eingeschränkt wird
  3. Sicherheitseinstellungen, die den Zugriff anderer Personen auf die Informationen minimieren und unerwünschten Datenverkehr vermeiden

Eine Überwachung des Netzwerkverkehrs kann das Vorhandensein eines Angriffs bestätigen und die Quelle identifizieren. Die Probleme können durch die Anwendung von Firewall-Regeln gemindert werden, die den Datenverkehr zu einem DoS-Schutzdienst umleiten.

Bedeutung für die Suchmaschinenoptimierung

Die blitzschnelle Geschwindigkeit beim Laden von Seiten steigert die Besucherbindung, die Kundenbindung und den Umsatz. Die sofortige Reaktion auf Websites führt zu höheren Conversion-Raten und jede Verzögerung der Seitenladegeschwindigkeit um eine Sekunde verringert die Kundenzufriedenheit.

Je öfter ein Server durch zu lange Wartezeiten und Ausfälle zum Beispiel durch Denial of Service-Angriffe dem Google-Bot beim Lesen der Seite auffällt, desto weniger gerne verweist Google auf diese Seite. Betroffene Dienste können E-Mails, Websites, Online-Konten (z. B. Bankgeschäfte) oder andere Dienste sein, die auf dem betroffenen Server oder Netzwerk basieren. Aus diesen Gründen sollten Anwender dafür sorgen, dass Denial of Service-Attacken abgewehrt werden und der Server kontinuierlich erreichbar ist.

Quellen

Ihr Weg zu mehr Besuchern und Umsatz