DoS/DDoS
„Denial of Service„ (=DoS) bedeutet auf Deutsch so viel wie „Dienst verweigert“. DoS- und DDoS-Angriffe unter¬scheiden sich eigentlich nur in einem Punkt, dem „Distributed“ oder im deutschen auch „Verteilten“. Dies erklärt sich dadurch, dass DDoS-Angriffe in der Regel von mehreren Systemen ausgeführt werden. Diese sind meistens in einem Botnetz integriert, weswegen mehrere 1000 Systeme so viele Anfragen wie möglich an das Zielsystem schicken.
Ein DDoS Angriff wird allgemein wie folgt definiert: „Ein Angriff, dessen Ziel es ist, ein Netzwerk, eine Applikation oder einen Dienst so zu stören, dass Systeme oder User keinen Zugriff mehr darauf haben.“
Die Motivation hinter solchen Angriffen ist zumeist Rache oder der Wunsch nach Aufmerksamkeit. Der Angriff kann aber auch als Ablenkung von einem eigentlichen Angriff dienen oder finanzielle Interessen haben. Bei den finanziellen Interessen kann es sich um eine potenzielle Schutzgelderpressungen oder eine Beeinträchtigung eines Mitbewerbers handeln.
Als Ziel eines solchen Angriffes gilt unter anderem die Bandbreite eines Unternehmens, da insbesondere Internetunternehmen auf diese angewiesen sind. Dabei wird die verfügbare Leitungskapazität mit nicht legitimen Traffic überflutet. Ein weiteres Ziel ist es, die FW bzw. das Intrusion-Prevention-Systeme (=IPS) anzugreifen. Je nachdem wie diese Systeme konfiguriert sind, trennen diese bei einem erkannten Angriff oder Überlastung die Internetverbindung entweder komplett ab oder öffnen sich komplett. Eine weitere Möglichkeit ist es, durch einen gezielten Angriff die Regeln der FW nach den eigenen Wünschen anzupassen. Ebenfalls ein beliebtes Ziel ist es, ausgewählte Systeme zum Absturz zu bringen. Hierbei werden die Server oder Datenbanken der Anwendung gezielt attackiert. Es handelt es sich meistens um eine für das Unternehmen wichtige Anwendung, wie bspw. Enterprise-Resource-Planning (=ERP), Customer Relationsship Management (=CRM) oder CAD Systeme (=Computer Aided Design). Durch diese Angriffe wird das betroffene Unternehmen meistens handlungs¬unfähig. Zudem sind Webhosting Server ein sehr beliebtes Ziel, da auf diesen zumeist eine Anwendung für Kunden des Unternehmens bereitgestellt wird. Ebenfalls wird der Ausfall eines Webauftrittes in der Regel schnell vom Kunden¬kreis bemerkt und kann somit einen schlechten Ruf verursachen. Auch hier gilt, dass Internetunternehmen hierfür besonders anfällig sind, da deren Hauptein¬nahmequelle durch einen solchen Angriff nicht mehr zur Verfügung steht. Es lassen sich zwei Hauptangriffsarten unterscheiden. Hier gibt es sich zum einen die sogenannten Volumenangriffe. Diese belegen die Internetleitungen, überlasten FW, Server oder sonstige Ressourcen und sind generell sehr weit ver-breitet. Diese Angriffe stellen in der Regel möglichst viele offene Verbindungen zum Ziel¬system her, die auch bewusst aktiv gehalten werden, bis das Zielsystem keine weiteren Anfragen mehr annehmen kann. Da die offenen Verbind¬ungen nicht genutzt werden und keine neuen Verbindungen hergestellt werden können, ist das Zielsystem nicht mehr erreichbar.
Die andere Angriffsart wird Application Layer Angriff genannt. Die Bezeichnung wurde gewählt, da die Angriffe auf der Applikationsschicht des IP-Protokolls auf-bauen. Da diese das Ziel und den betroffenen Service kennen, benötigen solche Systeme wesentlich weniger Ressourcen, da sie bekannte Schwachstellen ver-wenden können. Mithilfe von intelligenten Tools lassen sich diese Angriffe jeder-zeit auf Updates des Systems anpassen um eine andere Schwachstelle zu nutzen. Durch den gezielten Angriff auf eine Applikation kann diese Angriffsart Flooderkennungsmechanismen umgehen. Aktuell sind bereits ein Viertel aller DoS und DDoS-Angriffe auf der Applikationsschicht und ihre Wachstumsrate liegt im dreistelligen Prozentbereich. Bei diesen Angriffen zeigt sich zudem die Entwicklung, dass die Angreiferidentität besser geschützt wird und der Angriff selbst von Schutzsystemen nicht so leicht erkannt werden kann.
Die Angreifer benötigen mittlerweile nicht mal mehr tiefergehende Kenntnisse im Bereich der Computertechnik, da eine Vielzahl von vereinfachten Tools frei verfügbar sind. Diese werden unter anderem als Freeware in der Kategorie „Stress Tester Utilities“ angeboten. Bei diesen Tools muss der Angreifer lediglich die Internetadresse des Ziels und die gewünschte Angriffsstärke angeben. Da DDoS Angriffe mithilfe eines Botnetzes gesteuert werden, lassen sich diese bei Bedarf mieten. Diese Botnetze werden in der Regel mithilfe von Malware errichtet. Die in der letzten Zeit publik gewordene Anonymous -Angriffe wurden mithilfe des Tools „Toujours“ durchgeführt. Dieses muss lediglich von freiwilligen Unterstützern installiert werden, die auf diese Art und Weise ihre Rechenleistung zur Verfügung stellen.
Als Schutzmaßnahmen werden in erster Linie Firewallsysteme angegeben. In deren Datenblättern ist eine Kennzahl, wie viele neue Sitzungen pro Sekunde eröffnet werden können. Allerdings ist darauf zu achten, dass bei einem DoS Angriff das minimale IP-Paket aus gerademal 84 Bytes besteht. Das bedeutet, dass alleine mit einer 10 Mbit/s–Leitung 14.881 Sitzungen pro Sekunde erstellt werden können. Demnach lautet die Empfehlung entweder auf eine Next-Generation-Firewall mit hardwarebasierten DDoS-Sensor zu setzten, oder eine soge¬nannte DDoS Appliance vor der FW einzusetzen. Für Webserver empfiehlt sich eine Web Application FW, die die Anfrage im Vorfeld analysiert.
