GlobalSign Blog

26 Sep 2018

Einmaleins der Denial-of-Service-Angriffe: Was ist das?

Anbieter von Serviceleistungen wissen, dass selbst geringfügige Dienstunterbrechungen - wie z. B. eine nur einstündige Störung – schwerwiegende Folgen haben. Neben verärgerten Kunden auch Vertrauensverluste für das Unternehmen. Hacker sind sich dessen bewusst und nutzen Angriffe, die internetbasierte Dienste vorübergehend unbenutzbar machen.

DoS-Attacken vs. DDoS-Attacken

Ein Denial-of-Service-Angriff (DoS-Angriff = engl. für „Verweigerung des Dienstes“) liegt vor, wenn ein System oder ein Computer böswillig mit Datenverkehr oder Informationen überflutet wird, die ihn lahmlegen oder auf andere Weise für Benutzer unzugänglich machen. Die häufigste Methode ist ein Pufferüberlauf-Angriff, der mehr Datenverkehr an eine Netzwerkadresse sendet, als sie verarbeiten kann.

Hacker verwenden auch andere Taktiken wie beispielsweise gefälschte Datenpakete, die Inhalte an jeden Rechner in einem Netzwerk senden statt nur an einen oder eine SYN-Flood. Dieser Angriff verwendet den Verbindungsaufbau des TCP-Transportprotokolls, um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen. Dazu wird eine Verbindungsanforderung an den Server gesendet, der Handshake jedoch nicht abgeschlossen. Diese Angriffsart zielt auf jeden offenen Port, sodass für legitime Kunden kein Port mehr frei ist. Eine andere Technik nutzt vorhandene Sicherheitslücken im System aus, um es zum Absturz zu bringen.

DDoS-Angriffe (Distributed Denial-of-Service = eng. für „durch Vielanfragen verbreitete Verweigerung des Dienstes“) sind in der aktuellen Cyberlandschaft inzwischen ein verbreitetes Phänomen. Sie ähneln anderen Arten von DoS-Angriffen was die Auswirkungen anbelangt. Der Hauptunterschied besteht darin, dass der Traffic, der Server oder Systeme eines Opfers lahmlegt, aus vielen Quellen stammt und nicht nur aus einer. Das Verteilen des Angriffs auf mehrere Quellen erhöht den Schaden und erschwert das Herunterfahren. Es ist auch schwieriger, den Urheber des Angriffs zu identifizieren.

Das IoT erleichtert DDoS-Angriffe

DDoS-Angriffe funktionieren, wenn diese verschiedenen Quellen miteinander synchronisiert sind, oft über ein Botnetz. Ein Botnetz ist ein kombiniertes Netzwerk von gekaperten Internet-vernetzten Systemen oder Geräten, die als Gruppe ferngesteuert werden. Hacker verwenden sie häufig, um Spam- oder Phishing-E-Mails zu versenden oder Bankdaten offenzulegen. Sie sind aber auch ein hilfreicher Bestandteil von DDoS-Angriffen. Manche Hacker bieten sogar Botnets zur Miete an. Selbst unerfahrene Cyberkriminelle können damit gravierenden Schaden anrichten.

Mit dem Internet der Dinge (IoT) sind zahllose Internet-vernetzte Geräte auf den Markt gekommen, mit denen DDoS-Angriffe sehr viel einfacher umzusetzen sind als zuvor. Diese Geräte, zum Beispiel Kameras und Router, sind optimale Kandidaten für Botnetze, da sie häufig unzureichende Authentifizierungspraktiken einsetzen (wie etwa schwache Standardpasswörter). Hackern reichen dann simple wörterbuchbasierte Angriffe, um die Anmeldeinformationen des Administrators zu erraten und das Gerät zu übernehmen.

Ein denkwürdiges Beispiel ist das Mirai Botnet, das sich vermutlich aus über 600.000 Zombie-IoT-Geräten zusammensetzt. Mirai wurde bekanntlich vor einigen Jahren für DDoS-Angriffe auf mehrere wichtige Dienstanbieter verwendet. Etliche populäre Websites wie Amazon und Twitter gingen in die Knie.

Perfektes Timing

Natürlich gibt es keinen „guten“ Zeitpunkt um von Cyberkriminellen angegriffen zu werden. Erinnern Sie sich an die WannaCry-Ransomware-Attacke, bei der Server im Vereinigten Königreich, auf denen Gesundheitsinformationen gespeichert waren, lahmgelegt wurden? Die Opfer wurden gezwungen, exorbitante Geldbeträge in Kryptowährungen zu zahlen.

Ein Problem von DoS- und DDoS-Angriffen ist ihr perfektes Timing. Der Zeitpunkt ist so gewählt, dass die Attacke den größtmöglichen Schaden anrichtet. So wie vor einigen Jahren als zu Weihnachten Xbox und PlayStation ins Visier gerieten und den Spielspaß tausender Nutzer trübten.

Auch andere Beispiele zeigen, dass Hacker bei der Planung von Angriffen auf das Timing achten. Im Januar 2016 schädigte ein DDoS-Angriff die Kunden der HSBC Bank im Vereinigten Königreich. Sie konnten nicht auf ihre Online-Konten zugreifen. Das allein ist schlimm genug. Aber noch schlimmer, wenn man bedenkt, dass dies alles nur ein paar Tage vor der Steuerfrist im UK passiert ist. Untersuchungen zeigen, dass der Finanzsektor die Branche ist, die am häufigsten von DDoS-Angriffen betroffen ist. 57 Prozent der Vorfälle richten sich gegen Finanzdienstleister.

Schon vorher, bereits im Juli 2015 wurde das New York Magazine lahmgelegt. Es hatte gerade 35 Interviews veröffentlicht, die Bill Cosby sexuellen Missbrauch vorwarfen. Die wahrscheinlichste Ursache für den Zusammenbruch: ein DDoS-Angriff. Die Nachrichtenagentur verfügte über exklusive Details zum Fall, der bei den Lesern auf großes Interesse stieß. Durch den zeitnahen Angriff konnten Leser nicht mehr auf die Seite zugreifen.

Ein Vorfall, mehrere Länder

Einige der DDoS-Vorfälle aus dem August 2018, haben gezeigt, dass Hacker auch diverse Websites einer Branche lahmlegen, auch in verschiedenen Ländern. Poker-Websites in den USA und Kanada hatten herausgefunden, dass Nutzer durch Angriffe nicht mehr auf ihre Dienste zugreifen konnten. Die Angriffe fielen zwar zeitlich nicht zusammen, lagen aber nahe beieinander.

Der US-amerikanische America‘s Card Room wurde durch eine DDoS-Attacke am 5. August lahmgelegt, kurz vor Beginn einer längeren Online-Turnierserie mit garantierten Gewinnen in Höhe von 10 Millionen Dollar. Infolge der DDoS-Attacken mussten mehrere Turniere absagt werden. Der Geschäftsführer bestätigte, dass die Angriffe mehrere Stunden anhielten sowie, dass America‘s Card Room mit einem Spezialisten für DDoS-Abwehr zusammenarbeitete, um Probleme zukünftig zu vermeiden.

Eine Woche später kämpfte die kanadische PokerStars-Seite mit ganz ähnlichen Problemen. Nutzer hatten begonnen sich über Verbindungsprobleme zu beschweren. Und wieder traten die Probleme genau an einem Tag mit wichtigen Turnieren auf. PokerStars ist zwar in Kanada ansässig, bedienen aber auch Kunden in Europa und Indien. Auch dort konnten Spieler die Website nicht mehr nutzen.

Wie man sich vor DDoS-Attacken schützt

Jede Ausfallzeit hat Folgen. Etwa, dass Kunden davon ausgehen der Dienstanbieter unterhalte keine adäquate Infrastruktur. Ist das Problem schwerwiegend genug, beschweren sich die Nutzer vielleicht über Social-Media-Kanäle oder sie wechseln den Anbieter.

Inzwischen gibt es Dienste zum Schutz vor DoS-Angriffe. Solche Dienste überwachsen die Auslastung und melden verdächtige Aktivitäten. In jüngerer Zeit haben Forscher Prototypen von Systemen erstellt, die maschinelles Lernen verwenden, um mögliche Angriffe zu erkennen. Die Ergebnisse zeigen, dass diese Systeme zwar einige Zeit brauchen bis sie aufgebaut sind, aber auch, dass sie den bisher verfügbaren Screening-Tools leistungsmäßig überlegen sind.

Unabhängig davon, welche Methoden man wählt um Angriffe rechtzeitig zu erkennen, ist es für Unternehmen ganz entscheidend Krisenpläne erstellen, die DoS- und DDoS beinhalten. Zu wissen, was bei einem Angriff zu tun ist, verhindert ihn nicht. Aber eine schnelle Reaktion verhindert unter Umständen Schlimmeres. Zu wissen, was passiert ist, hilft mit einem klaren Kopf auf potenziell sehr emotionale Benutzerkommentare einzugehen.

Die Angriffe gehen weiter

DoS-Attacken beschädigen nicht nur den Ruf und sorgen für Frust bei den Nutzern. Sie kosten die Opfer bis zu 40.000 Dollar pro Stunde während es nur 40 $ kostet, so einen Angriff zu starten. Ein Blick auf die Schlagzeilen der letzten Jahre zeigt: DoS- und DDoS-Attacken nehmen weiter zu. Ebenso wie die Dimensionen der Angriffe. Unternehmer und Dienstanbieter können das Phänomen nicht ignorieren.

Es ist wichtig, die Bedrohungen, die mit dieser Art von Angriffen einhergehen können im Detail zu verstehen. Nur dann kann man sie verhindern oder sie zumindest identifizieren, bevor sie zu viel Schaden anrichten. Dazu ist es ebenso wichtig geeignete Disaster Recovery-Prozesse zu installieren, um die betroffenen Systeme so schnell wie möglich wieder ans Laufen zu bringen.

Über die Autorin

Kayla Matthews ist eine Technik-Journalistin aus Pittsburgh, die für Hacker Noon, Cloud Tweaks, Houzz und andere geschrieben hat. Sie ist auch die Eigentümerin und Redakteurin des Tech-Produktivitätsblogs Productivity Bytes.

Hinweis: Dieser Blog Artikel wurde von einer Gastautorin geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die der Autorin und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen

You might enjoy:

Understanding Ethical Hacking: 5 Common Pen Testing Myths