(D)DoS
DoS, im Allgemeinen, steht für Denial of Service, was zu Deutsch etwa "Dienstverweigerung" bedeutet. In der Informatik bezeichnet dieser Begriff die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte. In der Regel spricht man von DoS als Folge einer Überlastung von Infrastruktur, obwohl die Nichtverfügbarkeit eines Dienstes auch die Folge von verschiedenen anderen Gründen sein kann. Eine solche Überlastung kann natürlich unbeabsichtigt auftreten, jedoch auch durch einen absichtlichen, gezielten Angriff auf einen Server. Sofern die Überlastung oder eben der gezielte Angriff von mehreren Systemen verursacht wird, spricht man von "Distributed Denial of Service" (DDoS).
Funktionsweise
Bei einem gezielten Angriff auf ein System wird von den Angreifern versucht, ein oder mehrere Online-Dienste arbeitsunfähig zu machen. DoS-Angriffe können den Internetzugang, die Dienste des Host (z.B. HTTP) oder das ganze Betriebssystem belasten. Dies kann erreicht werden, indem eine massiv höhere Anzahl an Anfragen an den Server geschickt wird, als dieser verarbeiten kann. Dadurch kann er auf reguläre Anfragen nur mehr sehr langsam oder überhaupt nicht mehr reagieren. Wesentlich effizienter ist es jedoch, einen Programmfehler auszunutzen, um eine Fehlfunktion der Serversoftware auszulösen, die möglicherweise den gesamten Server zum Absturz bringt, worauf dieser natürlich ebenfalls auf keine Anfragen mehr reagiert. Der Unterschied zu anderen Angriffen besteht im Wesentlichen darin, dass bei einem DoS-Angriff der Angreifer normalerweise nicht in den Computer eindringen muss und deshalb auch keine Passwörter oder Ähnliches vom Zielrechner benötigt.
Es existiert ein sehr einfach zu bedienendes Tool, das man im Internet finden kann. Mit diesem ist es möglich, einen DoS-Angriff auf einen mit dem Internet verbundenen Rechner zu starten.
Da für das Tool kein grösseres Fachwissen benötigt wird, wird es häufig bei Protestaktionen eingesetzt.
DRDoS
Es existiert ein sehr einfach zu bedienendes Tool, das man im Internet finden kann. Mit diesem ist es möglich, einen DoS-Angriff auf einen mit dem Internet verbundenen Rechner zu starten.
Da für das Tool kein grösseres Fachwissen benötigt wird, wird es häufig bei Protestaktionen eingesetzt.
 |
| Schematische Darstellung eines DDoS-Angriffs |
DRDoS
Eine besondere Form, die zugleich schwieriger zurückzuverfolgen ist, ist der DRDoS-Angriff (Distributed Reflected Denial of Service). Bei dieser Form schickt der Angreifer seine Datenpakete nicht direkt an den Zielrechner, sondern an einen regulär arbeitenden Internetdienst, trägt jedoch als Absenderadresse der Datenpakete die Adresse des Ziels ein. Der Internetdienst schickt die Antworten auf die Anfragen des Angreifers also an das Ziel und verursacht somit den eigentlichen DoS-Angriff.
Botnetze
Ein mutwilliger DDoS-Angriff wird oftmals mit Hilfe von Botnetzen durchgeführt. Ein Botnetz ist eine Gruppe von automatisierten Computerprogrammen. Diese Programme, die sogenannten Bots, laufen auf vernetzten Rechnern, deren Netzwerkanbindungen und die lokalen Ressourcen den Bots zur Verfügung stehen. Die Bots werden von einem Angreifer ohne das Wissens des Inhabers auf dessen Rechner installiert. Meist ist es sogar der Fall, dass die Bots selbstständig versuchen, weitere Rechner in einem Netzwerk zu infizieren.
Verfügt der Angreifer nun über ein solches Botnetz, kann er den infizierten Rechnern Befehle schicken, dass sie Anfragen an einen Internetdienst schicken sollen. Je grösser das Botnetz ist, desto erfolgreicher kann mit dessen Hilfe ein DDoS-Angriff durchgeführt werden.
Ein mutwilliger DDoS-Angriff wird oftmals mit Hilfe von Botnetzen durchgeführt. Ein Botnetz ist eine Gruppe von automatisierten Computerprogrammen. Diese Programme, die sogenannten Bots, laufen auf vernetzten Rechnern, deren Netzwerkanbindungen und die lokalen Ressourcen den Bots zur Verfügung stehen. Die Bots werden von einem Angreifer ohne das Wissens des Inhabers auf dessen Rechner installiert. Meist ist es sogar der Fall, dass die Bots selbstständig versuchen, weitere Rechner in einem Netzwerk zu infizieren.
Verfügt der Angreifer nun über ein solches Botnetz, kann er den infizierten Rechnern Befehle schicken, dass sie Anfragen an einen Internetdienst schicken sollen. Je grösser das Botnetz ist, desto erfolgreicher kann mit dessen Hilfe ein DDoS-Angriff durchgeführt werden.
Herkömmliche Überlastungen
Es kann auch der Fall sein, dass ein Dienst überlastet wird, weil eine grosse Anzahl Anfragen von Besuchern kommen (die nicht die Absicht haben, den Dienst zu überlasten), die der Server bis dahin nie verarbeiten können musste. Das kann dann geschehen, wenn eine eher kleinere Seite, vor allem durch Online-Newsseiten, bekannt gemacht wird, wodurch ein Teil der vielen Nutzer automatisch die neue Seite besucht. In solch einem Fall spricht man dann von einem Slashdot-Effekt.
Gegenmassnahmen
Je nachdem ob es sich um einen mutwilligen Angriff oder eine herkömmlichen Überlastung handelt, muss man entscheiden, wie man vorgeht.
Wurde die Überlastung durch eine hohe Besucheranzahl verursacht und nicht durch einen gezielten Angriff, sollte man am besten die eigene Serverhardware aufrüsten, um dem Besucherandrang gewachsen zu sein.
Will man sich jedoch vor DDoS-Attacken schützen, gibt es verschiedene Möglichkeiten, um diese abzuwehren.
Wenn der Angriff von nur wenigen Rechnern aus kommt, können einfache Sperrlisten von der Firewall eingesetzt werden. Datenpakete von IP-Adressen auf dieser Sperrliste werden automatisch verworfen. Oftmals kann eine Firewall auch simple Angriffe automatisch erkennen und diese Sperrliste dynamisch erzeugen.
Verhaltensbasierte Analyse- und Filtermassnahmen können auf dem Server und auch auf dem Router eingerichtet werden.
Falls dem Angreifer nur die IP-Adresse bekannt ist, reicht es, die Public-IP-Adresse zu ändern. Erfolgt der Angriff aber über einen öffentlichen DNS-Hostname, bringt diese Massnahme nahezu nichts.
Eine dauerhafte aber auch ziemlich teurere Möglichkeit ist die Nutzung eines Filter-Services. Solche Dienste werden von verschiedenen kommerziellen Anbietern gehostet. Jeglicher Netzwerkverkehr geht zuerst über diesen Anbieter, der unter anderem eine Anbindung von bis zu 500 GBit/s hat. Solange eine gewisse Grenze nicht überschritten wird, gehen die Daten weiter an den eigentlichen Dienst. Sollten sich die Anfragen häufen (wegen eines DDoS-Angriffes), so dass der eigentliche Dienst überlastet werden würde, werden diese Anfragen vom Filter-Service verworfen.
Falls dem Angreifer nur die IP-Adresse bekannt ist, reicht es, die Public-IP-Adresse zu ändern. Erfolgt der Angriff aber über einen öffentlichen DNS-Hostname, bringt diese Massnahme nahezu nichts.
Eine dauerhafte aber auch ziemlich teurere Möglichkeit ist die Nutzung eines Filter-Services. Solche Dienste werden von verschiedenen kommerziellen Anbietern gehostet. Jeglicher Netzwerkverkehr geht zuerst über diesen Anbieter, der unter anderem eine Anbindung von bis zu 500 GBit/s hat. Solange eine gewisse Grenze nicht überschritten wird, gehen die Daten weiter an den eigentlichen Dienst. Sollten sich die Anfragen häufen (wegen eines DDoS-Angriffes), so dass der eigentliche Dienst überlastet werden würde, werden diese Anfragen vom Filter-Service verworfen.
Keine Kommentare:
Kommentar veröffentlichen