Inhaltsverzeichnis:
- Die häufigsten Arten von Denial-of-Service-Angriffen
- Was ist ein DDoS-Angriff (Distributed Denial of Service)?
- Wie kann ich mich vor Denial of Service-Angriffen schützen?
Die häufigsten Arten von Denial-of-Service-Angriffen
Im Kern wird ein Denial-of-Service-Angriff in der Regel durch Überflutung eines Servers - zum Beispiel des Servers einer Website - so durchgeführt, dass er seine Dienste nicht für rechtmäßige Benutzer bereitstellen kann. Es gibt einige Möglichkeiten, wie dies ausgeführt werden kann, am häufigsten sind TCP-Überflutungsangriffe und DNS-Verstärkungsangriffe.
TCP-Überflutungsangriffe
Fast der gesamte Webverkehr (HTTP / HTTPS) wird mit dem Transmission Control Protocol (TCP) abgewickelt. TCP hat mehr Overhead als die Alternative UDP (User Datagram Protocol), ist jedoch auf Zuverlässigkeit ausgelegt. Zwei über TCP miteinander verbundene Computer bestätigen den Empfang jedes Pakets. Wenn keine Bestätigung erfolgt, muss das Paket erneut gesendet werden.
Was passiert, wenn ein Computer getrennt wird? Möglicherweise verliert ein Benutzer die Stromversorgung, sein ISP ist fehlerhaft oder die von ihm verwendete Anwendung wird beendet, ohne den anderen Computer zu informieren. Der andere Client muss das erneute Senden desselben Pakets beenden, andernfalls werden Ressourcen verschwendet. Um eine unendliche Übertragung zu verhindern, wird eine Zeitüberschreitungsdauer angegeben und / oder eine Begrenzung festgelegt, wie oft ein Paket erneut gesendet werden kann, bevor die Verbindung vollständig getrennt wird.
TCP wurde entwickelt, um im Katastrophenfall eine zuverlässige Kommunikation zwischen Militärstützpunkten zu ermöglichen, aber dieses Design macht es anfällig für Angriffe auf Denial-of-Service. Als TCP erstellt wurde, stellte niemand fest, dass es von über einer Milliarde Client-Geräten verwendet würde. Der Schutz vor modernen Denial-of-Service-Angriffen war einfach nicht Teil des Designprozesses.
Der häufigste Denial-of-Service-Angriff auf Webserver erfolgt durch Spamming von SYN-Paketen (Synchronisierungspaketen). Das Senden eines SYN-Pakets ist der erste Schritt zum Herstellen einer TCP-Verbindung. Nach dem Empfang des SYN-Pakets antwortet der Server mit einem SYN-ACK-Paket (Synchronisationsbestätigung). Schließlich sendet der Client ein ACK-Paket (Bestätigung), wodurch die Verbindung hergestellt wird.
Wenn der Client jedoch nicht innerhalb einer festgelegten Zeit auf das SYN-ACK-Paket antwortet, sendet der Server das Paket erneut und wartet auf eine Antwort. Dieser Vorgang wird immer wieder wiederholt, wodurch Speicher- und Prozessorzeit auf dem Server verloren gehen können. Wenn dies ausreichend ist, kann so viel Arbeitsspeicher und Prozessorzeit verschwendet werden, dass berechtigte Benutzer ihre Sitzungen verkürzen oder neue Sitzungen nicht starten können. Darüber hinaus kann die erhöhte Bandbreitennutzung aller Pakete die Netzwerke in die Sättigung bringen, sodass sie nicht in der Lage sind, den tatsächlich gewünschten Datenverkehr zu übertragen.
DNS-Amplifikationsangriffe
Denial-of-Service-Angriffe können auch auf DNS-Server abzielen: Server, die Domänennamen (wie howtogeek.com) in IP-Adressen (12.345.678.900) übersetzen, die Computer für die Kommunikation verwenden. Wenn Sie in Ihrem Browser howtogeek.com eingeben, wird es an einen DNS-Server gesendet. Der DNS-Server leitet Sie dann zur eigentlichen Website. Geschwindigkeit und niedrige Latenzzeiten sind ein Hauptanliegen von DNS. Daher wird das Protokoll über UDP anstelle von TCP betrieben. DNS ist ein kritischer Teil der Internetinfrastruktur. Die von DNS-Anfragen beanspruchte Bandbreite ist im Allgemeinen minimal.
DNS wuchs jedoch langsam, und mit der Zeit wurden neue Funktionen hinzugefügt. Dies führte zu einem Problem: DNS hatte eine maximale Paketgröße von 512 Bytes, was für alle diese neuen Funktionen nicht ausreichte. So veröffentlichte das IEEE 1999 die Spezifikation für Erweiterungsmechanismen für DNS (EDNS), wodurch die Obergrenze auf 4096 Bytes erhöht wurde, sodass in jede Anfrage mehr Informationen aufgenommen werden konnten.
Diese Änderung machte DNS jedoch anfällig für "Verstärkungsangriffe". Ein Angreifer kann speziell gestaltete Anforderungen an DNS-Server senden, um große Mengen an Informationen anzufordern und sie an die IP-Adresse des Ziels zu senden. Eine "Verstärkung" wird erstellt, weil die Antwort des Servers viel größer ist als die Anforderung, die sie generiert, und der DNS-Server seine Antwort an die gefälschte IP-Adresse sendet.
Viele DNS-Server sind nicht so konfiguriert, dass sie fehlerhafte Anforderungen erkennen oder verwerfen. Wenn Angreifer wiederholt gefälschte Anforderungen senden, wird das Opfer mit großen EDNS-Paketen überflutet, wodurch das Netzwerk überlastet wird. Wenn nicht so viele Daten verarbeitet werden können, geht ihr legitimer Datenverkehr verloren.
Was ist ein DDoS-Angriff (Distributed Denial of Service)?
Bei einem verteilten Denial-of-Service-Angriff handelt es sich um einen Angriff mit mehreren (manchmal unwissenden) Angreifern. Websites und Anwendungen sind so konzipiert, dass sie viele gleichzeitige Verbindungen abwickeln. Websites wären schließlich nicht sehr nützlich, wenn jeweils nur eine Person besuchen könnte. Riesige Dienste wie Google, Facebook oder Amazon sind für Millionen oder Dutzende Millionen gleichzeitiger Nutzer ausgelegt. Aus diesem Grund ist es für einen einzelnen Angreifer nicht möglich, ihn mit einem Denial-of-Service-Angriff zu unterdrücken. Aber viele Angreifer könnten.
Die häufigste Methode zur Rekrutierung von Angreifern ist das Botnetz.In einem Botnetz infizieren Hacker alle Arten von mit dem Internet verbundenen Geräten mit Malware. Bei diesen Geräten kann es sich um Computer, Telefone oder auch um andere Geräte in Ihrer Wohnung handeln, wie DVRs und Sicherheitskameras. Sobald sie infiziert sind, können sie diese Geräte (so genannte Zombies) verwenden, um regelmäßig einen Befehls- und Steuerungsserver zu kontaktieren, um nach Anweisungen zu fragen. Diese Befehle können von Mining-Kryptowährungen bis zur Teilnahme an DDoS-Angriffen reichen. Auf diese Weise brauchen sie keine Unmenge von Hackern, um sich zusammenzuschließen. Sie können die unsicheren Geräte normaler Benutzer zu Hause für ihre Drecksarbeit nutzen.
Andere DDoS-Angriffe können freiwillig durchgeführt werden, in der Regel aus politisch motivierten Gründen. Kunden wie Low Orbit Ion Cannon machen DoS-Angriffe einfach und lassen sich leicht verteilen. Denken Sie daran, dass es in den meisten Ländern illegal ist, an einem DDoS-Angriff (absichtlich) teilzunehmen.
Schließlich können einige DDoS-Angriffe unbeabsichtigt sein. Ursprünglich als Slashdot-Effekt bezeichnet und verallgemeinert als "Todesstoß", können riesige Mengen an legitimem Verkehr eine Website lahmlegen. Sie haben wahrscheinlich gesehen, dass dies passiert, bevor eine beliebte Website mit einem kleinen Blog verlinkt wird und ein riesiger Zustrom von Benutzern die Website versehentlich heruntergefahren hat. Technisch ist dies immer noch als DDoS klassifiziert, auch wenn es nicht beabsichtigt oder böswillig ist.
Wie kann ich mich vor Denial of Service-Angriffen schützen?
Typische Benutzer müssen sich keine Sorgen machen, dass sie das Ziel von Denial-of-Service-Angriffen sind. Mit Ausnahme von Streamern und Pro-Gamern ist es sehr selten, dass ein DoS auf eine Person gerichtet wird. Trotzdem sollten Sie das Beste tun, um Ihre Geräte vor Malware zu schützen, die Sie zum Teil eines Botnetzes machen könnte.
Wenn Sie ein Administrator eines Webservers sind, gibt es jedoch zahlreiche Informationen darüber, wie Sie Ihre Dienste vor DoS-Angriffen schützen können. Serverkonfiguration und Appliances können einige Angriffe abwehren. Andere können verhindert werden, indem sichergestellt wird, dass nicht authentifizierte Benutzer keine Vorgänge ausführen können, für die erhebliche Serverressourcen erforderlich sind. Leider hängt der Erfolg eines DoS-Angriffs meistens davon ab, wer die größere Pipe hat. Dienste wie Cloudflare und Incapsula bieten Schutz vor Websites, können jedoch teuer sein.
