Die Welt der Cybersicherheit entwickelt sich ständig weiter, und fast jeden Tag tauchen neue Bedrohungen auf. Denial-of-Service-Angriffe sind nicht neu, aber können ernsthafte Auswirkungen auf eine Vielzahl von Diensten haben. Schätzungen zufolge gibt es jeden Tag Tausende von DoS-Angriffen, und die Zahl steigt weiter an. Ihr Ziel ist es, die normale Funktion eines Geräts oder Dienstes zu unterbrechen.
Wenn diese Angriffe erfolgreich sind, können legitime Benutzer nicht mehr auf den Dienst zugreifen. Es ist zwar möglich, einen solchen Angriff zu stoppen, wenn er einmal stattgefunden hat, aber nicht immer einfach, weshalb er Unternehmen viel Zeit und Geld kosten kann. Hier finden Sie alles, was Sie über DoS-Angriffe wissen müssen.
Was ist ein DoS-Angriff?
Ein DoS-Angriff ist ein Cyberangriff, der darauf abzielt, ein Gerät, einen Dienst, ein Netzwerk oder ein anderes Informationssystem für legitime Benutzer unzugänglich zu machen. Der Hacker verwendet einen einzigen Rechner und überflutet das Ziel mit einer extrem hohen Anzahl von Anfragen. Irgendwann kann der Zielcomputer dann keinen normalen Traffic mehr verarbeiten.
Bei einem Cyberangriff denkt man oft, dass jemand versucht, sich illegal Zugang zu Daten zu verschaffen. Bei einem DoS-Angriff geht es nicht unbedingt darum, auf die Daten eines anderen zuzugreifen oder sie zu stehlen. Das Ziel besteht in den meisten Fällen darin, Benutzern den Zugriff auf einen Dienst zu verwehren. Rache, Konkurrenz, Erpressung und sogar Aktivismus sind einige Gründe, warum Menschen auf DoS-Angriffe zurückgreifen.
Manchmal dienen DoS-Angriffe als Vorläufer für andere, schwerwiegendere Angriffe. Sobald ein Gerät oder Dienst inaktiv wird, können die Angreifer in andere Bereiche des Systems eindringen und versuchen, Malware zu installieren, um in Zukunft einen größeren Angriff durchzuführen.
Wie unterscheidet sich Denial of Service von Distributed Denial of Service (DDoS)?
Ein DDoS-Angriff ist eine Art von DoS-Angriff, bei dem mehrere verteilte Rechner für den Angriff verwendet werden, anstatt eines einzelnen Rechners.
DoS-Angriffe kommen von einer IP und sind relativ leicht zu bekämpfen. DDoS-Angriffe erfolgen von mehreren IPs aus, was es schwieriger macht, sie zu stoppen.
Wenn der Angriff von verteilten Quellen ausgeht, kann es viel schwieriger sein, bösartigen von normalem Traffic zu unterscheiden. Infolgedessen sind DDoS-Angriffe schwerer zu erkennen, bevor sie wirklichen Schaden anrichten. Bei einem DoS-Angriff muss nur ein Rechner entdeckt und gestoppt werden.
Arten von DoS-Angriffen
Denial-of-Service-Angriffe werden normalerweise in zwei Kategorien unterteilt:
- Pufferüberläufe, die webbasierte Dienste zum Absturz bringen. Dies ist die häufigste Art von DoS-Angriffen. Der Hacker treibt hohen Traffic und Daten zu einem Netzwerkpunkt. Um den Traffic zu bewältigen, muss das System all seine Ressourcen und seinen Speicher nutzen, was schließlich zum Absturz führt.
- Flood-Angriffe, die Dienste und Geräte überfluten. Diese Angriffe werden ausgeführt, indem große Mengen an Datenpaketen, Verbindungsanfragen und anderen Arten von Traffic an ein Netzwerk oder System gesendet werden.
Bei beiden Arten gibt es verschiedene Unterarten.
Arten von Pufferüberlauf-Angriffen
Zu den bekanntesten Pufferüberlauf-Angriffen gehören:
- Stapelüberlauf. Hier sendet der Angreifer mehr Informationen an ein Gerät, ein Programm oder ein Netzwerk, als es verarbeiten kann. Das Programm reagiert darauf, indem es einen Bereich des Speichers verwendet, der „Stack“ genannt wird. Wenn der Stack voll ist, können Informationen in andere Teile des Programms überlaufen, bis es abstürzt.
- Unicode-Überlauf. Diese Art von Angriff ist speziell für Programme gedacht, die Text verarbeiten. Das Programm erwartet normalerweise ASCII. Stattdessen sendet der Angreifer Unicode-Zeichen, die die Kapazität des Programms übersteigen. ASCII umfasst 128 Zeichen; die Zahlen und Buchstaben, die Sie täglich verwenden. Unicode enthält einen viel größeren Satz von Zeichen und Symbolen, bis zu 221 (etwa 2.000.000), die für ein Programm, das ASCII erwartet, nicht lesbar sind. Der zusätzliche Text kann in anderen Teilen des Speichers überlaufen und das Programm zum Absturz bringen.
Arten von Flood-Angriffen
Flood-Angriffe gibt es auch in verschiedenen Formen, wie z. B:
- ICMP-Flood. Bei diesem Angriff trifft der Hacker das Zielnetzwerk mit einer Flut von ICMP-Paketen (Internet Control Message Protocol). ICMP ist ein Protokoll, das normalerweise zum Senden von Fehlermeldungen über das Internet verwendet wird. Wenn ein Netzwerk mit solchen Paketen überflutet wird, kann es keinen legitimen Traffic mehr bewältigen und zusammenbrechen.
- SYN-Flood. Hier versucht der Angreifer, ein Netzwerk zu überwältigen, indem er es mit Verbindungsanfragen überflutet, nämlich mit SYN-Paketen. Geräte kommunizieren über das Internet über das TCP-Protokoll. Um die Kommunikation zu starten, sendet ein Gerät ein SYN-Paket (Synchronisierungspaket) an die anderen. Als Antwort sendet das andere Gerät ein SYN-ACK-Paket (Synchronisierungsbestätigung). Bei einem SYN-Flood-Angriff sendet der Angreifer viele SYN-Pakete, antwortet aber nie auf SYN-ACK-Pakete. Das Netzwerk wird immer langsamer, ist nicht mehr in der Lage, legitimen Traffic zu verarbeiten und kann schließlich zusammenbrechen.
Beispiele für Denial-of-Service-Angriffe
Denial-of-Service-Angriffe haben eine lange Geschichte. Der erste dokumentierte Angriff dieser Art ist der Robert Morris Wurm Angriff, der 1988 stattfand. Der Wurm installierte sich auf Systemen, die mit dem Internet verbunden waren, und löste DoS-Angriffe und Pufferüberläufe aus. Damals gab es noch nicht viele Computer, die mit dem Internet verbunden waren, und die meisten wurden im akademischen Bereich und in der Forschung eingesetzt. Schätzungen gehen jedoch davon aus, dass bis zu 10 % der Computer in den USA betroffen waren. Seitdem haben sich diese Angriffe weiterentwickelt, aber ihr Ziel ist dasselbe geblieben: den Zugang der Benutzer zu bestimmten Diensten oder Geräten zu beschränken.
Unter den jüngsten Beispielen ist der bedeutendste Angriff aus dem Jahr 2019: der DoS-Ransomware-Angriff, der Baltimore betraf. Während des Angriffs wurden viele der kritischen Systeme der Stadt lahmgelegt, darunter E-Mail-Systeme, Rechnungszahlungsdienste und sogar die 911-Notrufzentrale. Über 1.000 Hausverkäufe mussten aufgrund des Angriffs verschoben werden.
Von DoS- zu DDoS-Angriffen
Heute sind DoS-Angriffe nicht mehr so beliebt. Da sie von einer einzigen IP stammen, sind sie mit modernen Technologien relativ leicht zu bekämpfen. Sie können immer noch passieren, aber die meisten Unternehmen sind in der Lage, sie innerhalb von Minuten oder sogar Sekunden zu stoppen.
DDoS-Angriffe hingegen sind weiter verbreitet und stellen immer noch eine große Gefahr dar. Zum Beispiel hatten wir im Januar 2023 einen 650-Gbps-Angriff auf unsere Infrastruktur. Cyberkriminelle haben versucht, einen Dienst, der einem unserer Kunden gehört, außer Betrieb zu nehmen. Der Vorfall dauerte eine Viertelstunde. Danach wurde der Angriff gestoppt, da wir eventuelle Verluste für unseren Kunden verhinderten, d. h. der Angriff war wirkungslos.
Ein älteres, berüchtigtes Beispiel ist der Angriff auf GitHub am 28. Februar 2018. Der Angriff ging von Zehntausenden von Punkten aus und schaffte es, GitHub für 10 Minuten lahmzulegen. Ein weiterer großer DDoS-Angriff fand im Juni 2022 statt und richtete sich gegen ein chinesisches Telekommunikationsunternehmen. Der Angriff dauerte insgesamt vier Stunden. In dieser Zeit wurden 25,3 Milliarden Anfragen gesendet. Die Hacker nutzten ein Botnetz mit 170.000 IPs und schafften es, Server in 180 Ländern zu kompromittieren.
DoS-Angriffe verhindern
Wie das Sprichwort so schön sagt, ist Vorsorge besser als Nachsorge. Das gilt für Ihre Gesundheit und sicherlich auch für DoS-Angriffe. Es ist fast immer einfacher, einen Angriff zu verhindern, als zu versuchen, einen bereits laufenden Angriff zu stoppen. Hier finden Sie einige einfache Schritte, um die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern.
1. Eine Firewall verwenden
Eine Firewall mag nach einer einfachen Lösung klingen, kann aber sehr effektiv sein. Weil es so einfach ist, übersehen viele Menschen diesen Schritt. Wenn Sie ein großes Netzwerk verwalten, an dem viele Personen beteiligt sind, z. B. am Arbeitsplatz, sollten Sie dafür sorgen, dass jeder weiß, wie wichtig die Verwendung einer Firewall ist.
Dieses Tool ist zwar nicht völlig kugelsicher, aber es kann helfen, einen Großteil des unerwünschten Datenverkehrs zu blockieren. Auch verdächtige Aktivitäten und nicht autorisierte Traffic-Quellen werden damit erkannt, sodass ein DoS-Angriff weniger wahrscheinlich erfolgreich ist.
2. Verbindungen einschränken
Viele DoS-Angriffe kommen von völlig harmlos aussehenden Quellen. Eine Möglichkeit, dem entgegenzuwirken, besteht darin, die Anzahl der Verbindungen einzuschränken, die in einem bestimmten Zeitraum von einer einzigen IP-Adresse ausgehen können. Dies kann helfen, Flooding-Angriffe von einer IP-Adresse aus zu verhindern, wobei DDoS-Angriffe immer noch erfolgreich sein könnten.
3. Netzwerksegmentierung erwägen
Die Netzwerksegmentierung (Aufteilung großer Netzwerke in kleinere) trägt dazu bei, die Auswirkungen eines Denial-of-Service-Angriffs zu verringern. Um dies zu erreichen, können Sie mehrere VLANs und Firewalls einrichten, die dazu beitragen, die Ausbreitung des Angriffs zu begrenzen.
DoS-Angriffe können nach wie vor passieren, aber sie betreffen nur noch ein Segment. Die anderen Teile des Netzwerks arbeiten weiter und verringern den Schaden für Ihre Dienste und die Benutzer. Die Netzwerksegmentierung könnte Ihnen sogar ermöglichen, den Angriff früher zu beenden, indem Sie die potenzielle Verbreitung des Angriffs einschränken.
4. Load Balancing verwenden
Load Balancing ist ein ähnliches Konzept wie die Netzwerksegmentierung. In diesem Fall verteilen Sie den Traffic jedoch auf mehrere Server. Wenn ein Server überlastet ist oder nicht mehr reagiert, leitet der Load Balancer den Traffic an einen anderen Server weiter.
5. Intrusion Detection/Prevention-Systeme verwenden
Intrusion Detection/Prevention-Systeme analysieren den eingehenden Traffic und suchen nach verdächtigen Mustern. Sie können darüber hinaus die Anzahl der Verbindungen innerhalb eines bestimmten Zeitrahmens von einer bestimmten IP-Adresse aus begrenzen, wenn sie ungewöhnlichen Traffic von dieser Quelle aus feststellen. Sie können nützlich sein, um verschiedene Arten von bösartigen Angriffen zu verhindern, einschließlich DoS- und DDoS-Angriffe.
6. Wissen ist Macht
Wenn Benutzer wissen, welche DoS-Angriffe möglich sind, wie sie aussehen und wann sie auftreten können, wird die Prävention deutlich einfacher. Sie können etwas nicht verhindern, wenn Sie nicht wissen, wie es aussieht oder ob es überhaupt existiert!
Nicht jeder verfügt über das nötige Wissen, um all die Feinheiten von DoS-Angriffen zu verstehen, aber wenn man sich ihrer potenziellen Risiken bewusst ist, kann man einfache, kleine Schritte unternehmen, um sie zu verhindern. Sie können zum Beispiel ihre Software sorgfältiger aktualisieren, sichere Passwörter verwenden und diese regelmäßig ändern sowie eine Firewall einsetzen. Wissen ist der Schlüssel zur Verhinderung von DoS-Angriffen.
7. Regelmäßige Penetrationstests
Penetrationstests (Pen-Tests) können helfen, Schwachstellen in Ihren Systemen zu erkennen. Diese sind vielleicht nicht „mit bloßem Auge“ erkennbar, aber Sie können sicher sein, dass Hacker sie früher oder später finden und gegen Sie verwenden.
Regelmäßige Pen-Tests helfen, Angreifern einen Schritt voraus zu sein und Schwachstellen zu beheben, bevor Angreifer sie angreifen können.
DoS-Angriffen abmildern – Was tun, wenn man bereits betroffen ist?
Prävention ist das A und O, aber manchmal können Hacker auch die kleinsten Schwachstellen ausnutzen, was zu Angriffen führt. Es ist sehr schwierig, einen Denial-of-Service-Angriff vollständig zu stoppen. Es gibt jedoch einige Möglichkeiten, ihre Auswirkungen auf Ihre Systeme abzumildern und zu reduzieren.
1. Filterung des Traffics
Die Filterung kann sowohl zur Vorbeugung als auch zur Abmilderung wirksam sein. Wenn Sie wissen, dass Sie mit unerwünschtem Datenverkehr überflutet werden, kann die Filterung eine wirksame Lösung sein, um diesen zu stoppen.
Der Filter überprüft den gesamten eingehenden Traffic und stellt sicher, dass nur legitime Quellen zugelassen werden. Manchmal lässt sich die Flut nicht gänzlich aufhalten, aber Sie können die Belastung Ihres Systems verringern und verhindern, dass es nicht mehr verfügbar ist oder abstürzt.
2. Scrubbing-Dienste
Scrubbing-Dienste sind wie Putzkolonnen, die nach einer Party kommen und aufräumen. Ihre Aufgabe ist es, den gesamten bestehenden Traffic zu prüfen und bösartige Quellen zu entfernen, während der legitime Datenverkehr weiterhin möglich ist.
Scrubbing-Center sind gegen alle Denial-of-Service-Angriffe wirksam, sowohl DoS als auch DDoS. So haben Scrubbing-Techniken zum Beispiel einen der bekanntesten DDoS-Angriffe der letzten Jahre gestoppt: den Angriff auf GitHub im Jahr 2018. Der an GitHub gerichtete Traffic wurde an andere Rechenzentren weitergeleitet, wo er dann bereinigt wurde. Infolgedessen blieb nur der legitime Traffic übrig, und die GitHub-Dienste waren wieder verfügbar.
3. Blackhole-Routing
Blackhole-Routing bedeutet, dass der Traffic auf eine Nullroute oder ein „schwarzes Loch“ umgeleitet wird. Dies ist immer dann wirksam, wenn ein Netzwerk mit Traffic von einer oder mehreren IP-Adressen überflutet wird.
Diese Technik hat einen großen Nachteil: Sie kann nicht immer zwischen bösartigem und legitimem Datenverkehr unterscheiden. Mit anderen Worten: Sie könnten den Zugang zu Ihren Diensten für echte Benutzer unterbinden. Es kann ein schneller und effektiver Weg sein, um einen laufenden DoS-Angriff zu entschärfen. Allerdings sind sich die meisten einig, dass es kein großartiges Tool zur Prävention ist.
4. Daten verschlüsseln und Backups verwenden
Verschlüsselung und Backups werden einen Cyberangriff nicht aufhalten, aber sie sind Lebensretter, wenn Sie von einem DoS-Angriff betroffen sind. Sie verringern das Risiko von Schäden oder Diebstahl, die manchmal während oder unmittelbar nach einem DoS-Angriff auftreten können. Und wenn einige Ihrer Systeme tatsächlich nicht mehr reagieren oder beschädigt werden, minimiert ein Backup Ihre Verluste und hilft Ihnen, Ihren Workflow schnell wiederherzustellen.
Woran erkennt man einen DoS-Angriff?
Schnelles Handeln ist bei einem DoS-Angriff unerlässlich, aber dazu müssen Sie wissen, wie ein solcher Angriff aussieht. Die Antwort hängt von Ihren Systemen, Ihren Präventivmaßnahmen und der Art des Angriffs ab. Es gibt jedoch einige verräterische Anzeichen, an denen Sie einen Denial-of-Service-Angriff erkennen können.
1. Langsames oder nicht reagierendes Netzwerk
Bevor Systeme abstürzen, werden sie ohne ersichtlichen Grund langsamer. Vielleicht bemerken Sie, dass es länger dauert, Websites zu laden, Dateien herunterzuladen oder sogar E-Mails zu versenden. Wenn es keinen anderen Grund für die Verlangsamung gibt, könnte es sich um einen DoS-Angriff handeln.
2. Websites oder Dienste sind nicht mehr verfügbar
Nicht immer bricht gleich das ganze Netzwerk zusammen. Möglicherweise haben Sie bestimmte Präventivmaßnahmen wie Segmentierung oder Load Balancing, die Ihnen helfen, die Verkehrsflut umzuleiten. Stattdessen könnten Sie allerdings feststellen, dass bestimmte Dienste nicht mehr verfügbar sind.
Zum Beispiel könnte Ihr E-Mail-Dienst plötzlich nicht mehr funktionieren. Wenn Sie keine Konnektivitäts- oder andere Serverprobleme haben, ist es möglich, dass Ihr E-Mail-Server von einem DoS-Angriff betroffen ist.
3. Ungewöhnlicher Netzwerkverkehr
Ungewöhnlicher und unerwarteter Netzwerkverkehr ist nie ein gutes Zeichen. Die Systeme werden bald langsamer werden oder nicht mehr reagieren, und es wird nicht lange dauern, bis gar niemand mehr auf die Dienste zugreifen kann.
Eine Firewall kann in der Regel ungewöhnlichen Netzwerkverkehr erkennen und ihn sogar stoppen. Wenn dies nicht der Fall ist, müssen Sie möglicherweise Tools zur Eindämmung von DoS-Angriffen in Betracht ziehen, wie z. B. Traffic-Filterung.
4. Hohe CPU- oder Speicherauslastung
Manche DoS-Angriffe, wie etwa Pufferüberläufe, betreffen den Speicher der Systeme, auf die sie abzielen. Zu den ersten Anzeichen gehören in der Regel ein langsameres System als normal und nicht reagierende Programme. Diese Probleme können aber auch andere Ursachen haben. Eine hohe CPU-Auslastung könnte zum Beispiel einfach ein inkompatibles Programm sein, während nicht reagierende Dienste durch ein Verbindungsproblem verursacht werden könnten.
Sie müssen Ihre Systeme ständig im Auge behalten und jedes Mal überprüfen, wenn Sie Symptome eines DoS-Angriffs feststellen. Verbindungs-, Software- oder Hardware-Probleme sind in der Regel leicht zu finden und werden gelöst, sobald der Übeltäter identifiziert und behoben ist. Ein DoS-Angriff wird allerdings immer schlimmer, bis er gestoppt wird.
Fazit
Ein Denial-of-Service-Angriff hindert legitime Benutzer am Zugriff auf ein Gerät, einen Dienst oder ein Netzwerk. Die Unterbrechung kann für Benutzer und Unternehmen gleichermaßen schwerwiegende Folgen haben, wie z. B. den Verlust von Einnahmen, Ansehen und sensiblen Daten.
DoS-Angriffe gibt es in vielen Formen, einschließlich Pufferüberläufen und Flooding, wobei der Angriff eine einzige Quelle hat. Sie können auch auf Distributed-Denial-of-Service-Angriffe stoßen. Diese sind ähnlich wie DoS-Angriffe, aber sie kommen von mehreren IPs, wodurch sie schwerer zu erkennen und zu stoppen sind.
Die gute Nachricht: Es gibt Möglichkeiten, DoS-Angriffe zu verhindern. Einige sind recht einfach, wie etwa die Verwendung einer Firewall und die Aufklärung der Benutzer darüber, wie DoS-Angriffe aussehen. Andere sind komplexer und umfassen Techniken zur Lastverteilung, Intrusion Detection/Prevention-Systeme, Verschlüsselungen und Pen-Tests.
Sichern Sie Ihre Systeme gegen DoS- und DDoS-Angriffe mit dem DDoS-Schutz von Gcore. Er kann Ihre Dienste, Anwendungen und Websites schützen und hat eine Gesamtfilterkapazität von über 1 Tbps. Kontaktieren Sie unsere Experten, um mehr zu erfahren.