Dos and Ddos

Dose und Dose

Auch wenn es DoS/DDoS-Angriffe seit Jahrzehnten gibt, haben sich Art, Umfang und Größe im Laufe der Zeit deutlich weiterentwickelt. Die drei Angriffstypen - DoS, DDoS, Denial of Service: Keine Verbindung unter dieser URL Bisherige DoS/DDoS-Angriffe fanden auf Netzebene (Layer 2 bis Layer 4) statt, laufende Angriffe beinhalten oft die Anwendungsebene (bis Layer 7). Die Zielperson (z.B. der Server) oder eine Vorrichtung vor dem Zielpersonen (z.B. ein Kreuzschienenrouter oder eine Firewall) kann der Belastung nicht widerstehen und der verbleibende rechtmäßige Verkehr wird den Hintergrundserver nicht erreichen.

Diese sind so ausgelegt, dass sie den zustandsbehafteten Verbindungsmechanismus von Geräten, die auf Layer 4 ausgerichtet sind (z.B. Hosts), oder die Verbindungstabelle für zustandsbehaftete Vorrichtungen ("Stateful Firewalls") überfließen. Um eine TCP-Verbindung auf Layer-4 herzustellen, schickt der Kunde ein Datenpaket mit dem gesetzten SYN-Flag. In diesem Fall erhält der Datenserver das Synthetische Datenpaket, fügt einen Datensatz in seine Verknüpfungstabelle ein und gibt ein SYN ACK-Paket zurück.

Normalerweise schickt der Kunde dann ein ACK-Paket an den Datenserver, um die Verbindungsaufnahme zu vervollständigen. Im Falle eines SYN-Flood-Angriffs schickt ein schädlicher Klient auch ein SYN-Paket an den Datenserver, will aber keine Verknüpfung mit ihm herstellen. Dabei wird nicht auf die SYN-ACK-Antwort des Servers gewartet, sondern gleich eine große Anzahl von neuen SYN-Paketen gesendet.

Auf diese Weise kann ein einziger Kunde einen nicht geschützten Dienst leicht überladen. Senden z. B. 1000 Teilnehmer eines Botnetzes 1000 SYN-Pakete pro 1000 SYN-Pakete an den selben Teilnehmer, versucht der Teilnehmer, eine Millionen Internetverbindungen aufzusetzen. Mithilfe des Angreifers werden Ping-Pakete (ICMP-Echo-Anforderungen) an die Broadcast-Adresse eines Netzwerkes gesendet. Infolgedessen reagieren alle verbundenen Kunden auf die angebliche Aufforderung des Opfers.

Abhängig von der Zahl der Clienten kann der Täter auf diese Weise mit nur einem ICMP-Paket eine große Zahl von Reaktionen auf das betroffene Objekt auslösen.

Entwicklung von DoS

Bisherige DDoS-Angriffe verwendeten eine beschränkte Zahl von Rechnern, um einen einzelnen Rechner (Server) oder andere kleine Objekte zu attackieren. 2002 und 2007 wurden abgestimmte DDoS-Angriffe auf die DNS-Root-Server (Domain Name System, es gibt 13 Root-Server) gestartet, um den Namensauflösungsservice und damit das ganze Netz zu paralysieren. Die Attacke im Jahr 2002 war größtenteils von Erfolg gekrönt, die im Jahr 2007 weniger.

Die großen Kreditkartenunternehmen Visum und Mastercard spürten 2010 auch, wie stark DDoS-Attacken werden können, als sie im Rahmen der Affäre Wikileaks angegriffen wurden und ihre Webseiten manchmal über Tage nicht funktionieren. Der für die Anschläge verantwortlichen AktivistInnengruppe "Anonymous" gelang es gar, das große Paypal-Transaktionsnetzwerk durch DDoS-Attacken deutlich zu durchbrechen.

Laut einer konzerninternen Studie des Web-Sicherheitsdienstleisters Akamai wurden allein im Januar 2011 mehr als 20 DDoS-Angriffe auf große dt. Firmenkunden, darunter viele DAX-Unternehmen, durchgeführt. Die angegriffenen Datenserver mussten 31 mal so viel Datendurchsatz absorbieren wie sonst. Laut einer Kaspersky-Lab-Studie lag die für DDoS-Angriffe in der zweiten Jahreshälfte 2011 verwendete Durchschnittsbandbreite bei 110 B/s. Die Datenmenge lag bei 110 B/s.

Die Motive für DDoS-Attacken nach der Spezifikation des Sicherheitsdienstleisters Sekunet lassen sich heute in drei Bereiche einteilen: Zerstörungswut - verursacht eine Unterbrechung durch Angreifen beliebiger Rechner; Zerstörung - gezielte Attacke auf Rechner, um deren Betriebsbereitschaft zu unterbrechen und dem Systembetreiber zu schaden; Erpressung den gezielten Angriff auf Rechner, um die Betriebsbereitschaft zu unterbrechen, mit der Intention, vom Websitebetreiber eine Barzahlung zu verlangen, um die Anschläge abzubremsen.