Was sind Denial-of-Service- und DDoS-Angriffe?
DoS- (Denial of Service) und DDoS-Angriffe (Distributed Denial of Service) werden immer häufiger und mächtiger. Denial-of-Service-Angriffe gibt es in vielerlei Hinsicht, aber sie haben ein gemeinsames Ziel: Sie hindern Benutzer daran, auf eine Ressource zuzugreifen, sei es eine Webseite, E-Mail, das Telefonnetz oder etwas anderes. Schauen wir uns die häufigsten Arten von Angriffen auf Webziele an und wie DoS zu DDoS wird.
Die häufigsten Arten von Denial-of-Service-Angriffen
Im Kern wird ein Denial-of-Service-Angriff in der Regel durch Fluten eines Servers, z. B. des Servers einer Website, durchgeführt. Dies bedeutet, dass er seine Dienste nicht für rechtmäßige Benutzer bereitstellen kann. Es gibt einige Möglichkeiten, dies zu erreichen, am häufigsten sind TCP-Überflutungsangriffe und DNS-Verstärkungsangriffe.
TCP-Überflutungsangriffe
Fast der gesamte Webverkehr (HTTP / HTTPS) wird mit dem Transmission Control Protocol (TCP) abgewickelt. TCP hat mehr Overhead als die Alternative UDP (User Datagram Protocol), ist jedoch auf Zuverlässigkeit ausgelegt. Zwei über TCP miteinander verbundene Computer bestätigen den Empfang jedes Pakets. Wenn keine Bestätigung erfolgt, muss das Paket erneut gesendet werden.
Was passiert, wenn ein Computer getrennt wird? Möglicherweise verliert ein Benutzer die Stromversorgung, der ISP ist fehlerhaft oder die verwendete Anwendung wird beendet, ohne den anderen Computer zu informieren. Der andere Client muss das erneute Senden desselben Pakets beenden, da sonst Ressourcen verschwendet werden. Um eine unendliche Übertragung zu verhindern, wird eine Timeout-Dauer angegeben und / oder es wird ein Limit gesetzt, wie oft ein Paket erneut gesendet werden kann, bevor die Verbindung vollständig getrennt wird.
TCP wurde entwickelt, um eine zuverlässige Kommunikation zwischen Militärstützpunkten im Katastrophenfall zu ermöglichen, aber dieses Design macht es anfällig für Angriffe auf Dienstverweigerungen. Als TCP erstellt wurde, stellte niemand fest, dass es von über einer Milliarde Client-Geräten verwendet würde. Der Schutz vor modernen Denial-of-Service-Angriffen war einfach nicht Teil des Designprozesses.
Der häufigste Denial-of-Service-Angriff auf Webserver erfolgt durch Spamming von SYN-Paketen (Synchronisieren). Das Senden eines SYN-Pakets ist der erste Schritt zum Einrichten einer TCP-Verbindung. Nach dem Empfang des SYN-Pakets antwortet der Server mit einem SYN-ACK-Paket (Synchronisationsbestätigung). Schließlich sendet der Client ein ACK-Paket (Bestätigung), wodurch die Verbindung hergestellt wird.
Wenn der Client jedoch nicht innerhalb einer festgelegten Zeit auf das SYN-ACK-Paket antwortet, sendet der Server das Paket erneut und wartet auf eine Antwort. Dieser Vorgang wird immer wieder wiederholt, wodurch Speicher- und Prozessorzeit auf dem Server verloren gehen kann. Wenn dies ausreichend ist, kann so viel Arbeitsspeicher und Prozessorzeit verschwendet werden, dass berechtigte Benutzer ihre Sitzungen verkürzen oder neue Sitzungen nicht starten können. Darüber hinaus kann die erhöhte Bandbreitennutzung aller Pakete die Netzwerke in die Sättigung bringen, sodass sie nicht in der Lage sind, den tatsächlich gewünschten Datenverkehr zu übertragen.
DNS-Amplifikationsangriffe
Denial-of-Service-Angriffe können auch auf DNS-Server abzielen: Server, die Domänennamen (wie howtogeek.com) in IP-Adressen (12.345.678.900) umwandeln, die von Computern zur Kommunikation verwendet werden. Wenn Sie in Ihrem Browser howtogeek.com eingeben, wird es an einen DNS-Server gesendet. Der DNS-Server leitet Sie dann zur eigentlichen Website. Geschwindigkeit und niedrige Latenzzeiten sind für DNS von großer Bedeutung. Daher wird das Protokoll über UDP anstelle von TCP ausgeführt. DNS ist ein kritischer Teil der Internetinfrastruktur. Die von DNS-Anforderungen beanspruchte Bandbreite ist im Allgemeinen minimal.
DNS wuchs jedoch langsam, und mit der Zeit wurden neue Funktionen hinzugefügt. Dies führte zu einem Problem: DNS hatte eine maximale Paketgröße von 512 Bytes, was für all diese neuen Funktionen nicht ausreichte. So veröffentlichte das IEEE 1999 die Spezifikation für Erweiterungsmechanismen für DNS (EDNS), wodurch die Obergrenze auf 4096 Bytes erhöht wurde, sodass in jede Anfrage mehr Informationen aufgenommen werden konnten.
Diese Änderung machte DNS jedoch anfällig für "Verstärkungsangriffe". Ein Angreifer kann speziell gestaltete Anforderungen an DNS-Server senden, um große Informationsmengen anzufordern und sie an die IP-Adresse des Ziels zu senden. Eine "Verstärkung" wird erstellt, weil die Antwort des Servers viel größer ist als die Anforderung, die sie generiert, und der DNS-Server seine Antwort an die gefälschte IP sendet.
Viele DNS-Server sind nicht so konfiguriert, dass sie fehlerhafte Anforderungen erkennen oder verwerfen. Wenn Angreifer wiederholt gefälschte Anforderungen senden, wird das Opfer mit großen EDNS-Paketen überflutet, wodurch das Netzwerk überlastet wird. Wenn nicht so viele Daten verarbeitet werden können, geht ihr legitimer Datenverkehr verloren.
Was ist ein DDoS-Angriff (Distributed Denial of Service)??
Bei einem verteilten Denial-of-Service-Angriff handelt es sich um einen Angriff mit mehreren (manchmal unwissenden) Angreifern. Websites und Anwendungen sind so konzipiert, dass sie viele gleichzeitige Verbindungen abwickeln. Websites wären schließlich nicht sehr nützlich, wenn jeweils nur eine Person besuchen könnte. Riesige Dienste wie Google, Facebook oder Amazon sind für Millionen oder Dutzende Millionen gleichzeitiger Nutzer ausgelegt. Aus diesem Grund ist es für einen einzelnen Angreifer nicht möglich, ihn mit einem Denial-of-Service-Angriff zu erledigen. Aber viele Angreifer könnten.
Die häufigste Methode zur Rekrutierung von Angreifern ist das Botnetz. In einem Botnetz infizieren Hacker alle Arten von mit dem Internet verbundenen Geräten mit Malware. Bei diesen Geräten kann es sich um Computer, Telefone oder auch um andere Geräte in Ihrem Haushalt handeln, wie z. B. DVRs und Sicherheitskameras. Sobald sie infiziert sind, können sie diese Geräte (so genannte Zombies) verwenden, um regelmäßig einen Befehls- und Steuerungsserver zu kontaktieren, um nach Anweisungen zu fragen. Diese Befehle können von Mining-Kryptowährungen bis zur Teilnahme an DDoS-Angriffen reichen. Auf diese Weise brauchen sie keine Unmenge von Hackern, um sich zusammenzuschließen - sie können die unsicheren Geräte normaler Benutzer zu Hause für ihre Drecksarbeit nutzen.
Andere DDoS-Angriffe können freiwillig durchgeführt werden, in der Regel aus politisch motivierten Gründen. Kunden wie Low Orbit Ion Cannon machen DoS-Angriffe einfach und lassen sich leicht verteilen. Beachten Sie, dass es in den meisten Ländern illegal ist, absichtlich an einem DDoS-Angriff teilzunehmen.
Schließlich können einige DDoS-Angriffe unbeabsichtigt sein. Ursprünglich als Slashdot-Effekt bezeichnet und als "Umarmung des Todes" verallgemeinert, können riesige Mengen legitimen Datenverkehrs eine Website lahmlegen. Wahrscheinlich haben Sie dies bereits zuvor gesehen - eine beliebte Website enthält Links zu einem kleinen Blog und ein enormer Zustrom von Benutzern bringt die Website versehentlich herunter. Technisch ist dies immer noch als DDoS klassifiziert, auch wenn es nicht beabsichtigt oder bösartig ist.
Wie kann ich mich vor Denial of Service-Angriffen schützen??
Typische Benutzer müssen sich keine Sorgen machen, dass sie das Ziel von Denial of Service-Angriffen sind. Mit Ausnahme von Streamern und Profispielern ist es sehr selten, dass ein DoS auf eine Person gerichtet ist. Trotzdem sollten Sie das Beste tun, um Ihre Geräte vor Malware zu schützen, die Sie zum Teil eines Botnetzes machen könnte.
Wenn Sie Administrator eines Webservers sind, gibt es jedoch zahlreiche Informationen darüber, wie Sie Ihre Dienste vor DoS-Angriffen schützen können. Serverkonfiguration und Appliances können einige Angriffe abwehren. Andere können verhindert werden, indem sichergestellt wird, dass nicht authentifizierte Benutzer keine Vorgänge ausführen können, für die erhebliche Serverressourcen erforderlich sind. Leider hängt der Erfolg eines DoS-Angriffs meistens davon ab, wer die größere Pipe hat. Dienste wie Cloudflare und Incapsula bieten Schutz vor Websites, können jedoch teuer sein.