Tobias Harmes
28. Mai 2024

DoS- und DDoS-Attacken

4

DoS- und DDoS-Attacken überlasten gezielt Webseiten oder Netzwerke durch simultane Anfragen von sogenannten Botnetzen. Sie verursachen Dienstausfälle, lenken von weiteren Angriffen ab und sind durch einfaches Blockieren oftmals nicht abzuwehren.

Was ist eine DDoS-Attacke?

Eine DDoS-Attacke, kurz für Distributed Denial of Service, ist eine gezielte Überlastungsattacke auf Webseiten oder Netzinfrastrukturen. Bei dieser Form des Angriffs senden zahlreiche gekaperte Computersysteme simultan Anfragen an ein Ziel. Das Ziel dieser Angriffe ist es, die Netzressourcen des Opfers zu überfordern. Dies verlangsamt die Dienste des Angegriffenen stark oder sie fallen komplett aus, wodurch legitime Nutzer keinen Zugriff mehr haben.

DDoS-Attacken nutzen die Tatsache aus, dass Netzwerkkomponenten nur eine begrenzte Menge an Verkehr bewältigen können. Aufgrund der Vielzahl der beteiligten Angreifer ist es äußerst schwierig, die Angriffe durch bloßes Blockieren von IP-Adressen zu unterbinden, ohne den Netzbetrieb vollständig zu unterbrechen. Neben der primären Funktion, den Dienst zu blockieren, dienen solche Angriffe manchmal auch dazu, von anderen Sicherheitsverletzungen abzulenken.

Wie unterscheidet sich eine DoS-Attacke von einer DDoS-Attacke?

Moderne DoS- (Denial of Service) und DDoS- (Distributed Denial of Service) Attacken sind zunehmend ausgeklügelt und nutzen eine Vielzahl von Techniken, um Netzwerke zu überlasten und Dienste unzugänglich zu machen.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Diese Attacken unterscheiden sich hauptsächlich durch den Ursprung der Angriffe. DoS-Attacken gehen typischerweise von einem einzelnen Angreifer oder System aus. DDoS-Attacken werden von einem verteilten Netzwerk aus kompromittierten Computern (Botnetzen) durchgeführt. Diese Botnetze können weltweit verteilt sein und bestehen aus zahlreichen „Zombie-Computern“, die ohne das Wissen ihrer Besitzer gesteuert werden.

Aufbau moderner DoS- und DDoS-Attacken

Die technischen Methoden, die bei diesen Angriffen zur Anwendung kommen, sind vielfältig:

  • SYN Flooding: Hierbei wird der TCP-Handshake-Mechanismus ausgenutzt, indem man massenhaft SYN-Pakete an das Ziel sendet (oft mit gefälschten IP-Adressen). Dies führt dazu, dass der Zielserver auf nicht existierende Anfragen mit SYN-ACK-Antworten wartet. Letztendlich überlasten diese Anfragen seine Kapazitäten, die zur Verwaltung halboffener Verbindungen begrenzt sind.
  • Ping Flooding: Diese Technik nutzt das ICMP (Internet Control Message Protocol), um einen Zielrechner mit vielen Echo-Request-Paketen (Pings) zu überfluten. Dieser verwendet daraufhin alle Ressourcen darauf, mit Echo-Replies (Pongs) zu antworten, was zu einer Überlastung führt.
  • E-Mail Bombing: Bei dieser Methode sendet man unzählige E-Mails an einen bestimmten E-Mail-Server. Diese Technik führt entweder zum „Verstopfen“ des E-Mail-Accounts des Empfängers oder zum Zusammenbruch des E-Mail-Servers.

Darüber hinaus nutzen moderne DDoS-Angriffe oft komplexe Techniken, um Sicherheitslücken zu identifizieren und zu exploitieren. Dies führt im schlimmsten Fall zu direkten Abstürzen oder Fehlfunktionen des Zielsystems. Solche Angriffe können spezifisch programmierte Malware nutzen, die auf bestimmte Schwachstellen innerhalb der Software oder des Netzwerks des Opfers abzielt.

Ein weiteres Merkmal aktueller DDoS-Attacken ist die Fähigkeit, während des Angriffs die Quelle der Angriffe zu verschleiern. Dies wird oft durch Taktiken wie IP-Spoofing erreicht. Diese Taktiken erschweren die Rückverfolgung und Abwehrmaßnahmen. Die breite Streuung der Angriffsquellen und die hohe Anzahl an beteiligten Geräten machen die Identifikation der Angreifer besonders komplex.

Moderne DDoS-Attacken sind oft nicht nur darauf ausgerichtet, Dienste lahmzulegen, sondern lenken von anderen bösartigen Aktivitäten ab. Beispielsweise fordern Angreifer in Kombination mit Ransomware-Angriffen Lösegeldforderungen. Diese Vielschichtigkeit und Flexibilität der Angriffsmethoden machen moderne DDoS- und DoS-Angriffe zu einer besonders schwer zu bekämpfenden Bedrohung.

Präventive Maßnahmen gegen DDoS-Attacken

Gegen DDoS-Attacken existieren zahlreiche präventive Maßnahmen, die sowohl technischer als auch organisatorischer Natur sind. Zunächst ist die Identifizierung potenziell gefährdeter Systeme wichtig. Dazu zählen häufig Webserver, Mailserver und DNS-Server. Die klare Zuordnung interner Verantwortlichkeiten gewährleistet schnelle Reaktionen im Angriffsfall.

Eine enge Kommunikation mit dem Internet-Service-Provider (ISP) ist entscheidend, da dieser oft notwendige Unterstützung bei der Abwehr von DDoS-Attacken leisten kann. Technische Maßnahmen umfassen die Bereitstellung von Analysetools, die schon vor einem Angriff installiert sein sollten, und die Segmentierung des Netzwerks, um Auswirkungen auf andere Dienste zu minimieren.

Als Betreiber einer kritischen Infrastruktur in der EU ist es unerlässlich, sich mit den neuen Anforderungen von NIS 2 auseinanderzusetzen. Wir helfen Ihnen dabei, die Anforderungen von NIS 2 zu verstehen und umzusetzen, damit Sie den gesetzlichen Vorgaben entsprechen und Ihre kritischen Infrastrukturen schützen können.

Zusätzlich können Systeme und Dienste durch den Einsatz von Proxys und Loadbalancern sowie durch spezielle DDoS-Abwehrsysteme geschützt werden, die den Datenverkehr regulieren und Angriffe abschwächen. Des Weiteren sollten Mitarbeiter regelmäßig geschult werden, um im Ernstfall korrekt zu reagieren.

Wie geht man mit einer bereits eingetretenen DDoS-Attacke um?

Um sich gegen eine bereits eingetretene DDoS-Attacke zu wehren, sind schnelle und effektive Maßnahmen erforderlich.

Zuerst sollte ein Krisenteam aus IT-Sicherheits- und Netzwerkexperten gebildet werden. Dieses Team koordiniert alle technischen und kommunikativen Schritte. Es ist wichtig, den Vorfall umgehend an das Management und den Internet-Service-Provider (ISP) zu melden, um Unterstützung zu erhalten und die Abwehrmaßnahmen zu koordinieren.

Technisch gesehen können Webserver so konfiguriert werden, dass sie die Anzahl der IP-Verbindungen pro Adresse beschränken und Anfragen verzögert beantworten. Maßnahmen wie das “Blackholing” und das “Sinkholing” können ebenfalls effektiv sein:

  • Beim “Blackholing” wird der Verkehr von bestimmten IP-Adressen verworfen.
  • Das “Sinkholing” macht bestimmte Zieladressen temporär unerreichbar.

Zusätzlich kann der Einsatz von DDoS-Mitigation-Services oder Appliances helfen, den Angriffsverkehr zu filtern und zu verringern. Diese Dienste analysieren den Verkehr und können speziell konfiguriert werden, um DDoS-Verkehr zu erkennen und abzuschwächen.

Zuletzt ist eine umfassende Protokollierung des Angriffsverkehrs wichtig für spätere Analysen und rechtliche Schritte. Alle getroffenen Maßnahmen sollten den Datenschutzbestimmungen entsprechen und schnell umgesetzt werden, um Schäden zu minimieren.

FAQs

Was unterscheidet eine DoS- von einer DDoS-Attacke?

Eine DoS-Attacke stammt von einem einzelnen Angreifer, während eine DDoS-Attacke durch ein Netzwerk aus gekaperten Computern (Botnetzen) ausgeführt wird, was die Abwehr komplexer macht.

Welche präventiven Maßnahmen kann man gegen DDoS-Attacken ergreifen?

Präventiv sollten gefährdete Systeme identifiziert, Verantwortlichkeiten festgelegt, mit ISPs zusammengearbeitet, Netzwerke segmentiert, Analysetools bereitgestellt und regelmäßige Schulungen durchgeführt werden.

Wie reagiert man auf eine aktive DDoS-Attacke?

Bei einem Angriff sollte sofort ein Krisenteam die Abwehr koordinieren, die Kommunikation mit dem ISP sichern, Anfragen mithilfe von Techniken wie Blackholing begrenzen und der Verkehr durch DDoS-Mitigation-Services gefiltert werden.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice