Wir begrüßen Dich auf der CI-Plattform.

cyber insight logo
Login
Kostenlos starten
cyber insight logo

DoS-Angriffe

Denial-of-Service Angriffe (oder DoS-Angriffe) sind bösartigere Angriffe, die darauf abzielen, ein System, einen Server oder / und ein Netzwerk mit Datenverkehr zu überfluten, um dessen Ressourcen und Bandbreite zu überlasten und so den Geschäftsbetrieb zu stören. Das Ergebnis ist, dass das System nicht mehr in der Lage ist, legitime Anfragen zu bearbeiten und zu erfüllen, und die Nutzer daran gehindert werden, routinemäßige und notwendige Aufgaben auszuführen.

Während ein DoS-Angriff von nur einem System ausgeht, starten die Hacker einen Distributed-Denial-of-Service (DDoS)-Angriff von einer größeren Anzahl mit Malware infizierter Host-Maschinen, die sie kontrollieren. Diese Angriffe sind schneller und schwieriger zu blockieren als DoS-Angriffe, da mehrere Systeme identifiziert und neutralisiert werden müssen, um die Störung zu verhindern.

Wofür werden sie verwendet?

DoS- und DDoS-Angriffe bringen den Angreifern keinen direkten Nutzen. Ihr Hauptziel ist es, die Effektivität des Dienstes des Opfers zu unterbrechen. Deshalb nennt man sie auch „Denial of Service“-Angriffe – sie beeinträchtigen die Zielseite, damit sie denjenigen, die auf sie zugreifen wollen, keine Dienste mehr anbieten kann.

Hacker nutzen sie auch, um eine Gelegenheit für eine andere Art von Angriff zu schaffen. Bei einem erfolgreich durchgeführten DoS- oder DDoS-Angriff muss das System in der Regel offline gehen, was es anfällig für andere Arten von Angriffen machen kann. Eine gängige Methode, um solche Angriffe zu verhindern, ist der Einsatz einer Firewall, die erkennt, ob die an die Website gesendeten Anfragen legitim sind. Falsche Anfragen können dann verworfen werden, sodass der normale Datenverkehr ohne Unterbrechung fließen kann.

Die häufigsten DoS-Angriffe sind: TCP SYN Flood-Angriff, Teardrop-Angriff, Smurf-Angriff, Ping-of-Death-Angriff und Botnets.

TCP SYN Flood-Angriff

TCP SYN Flood-Angriffe (auch SYN Flood genannt) sind DoS-Angriffe, die alle verfügbaren Ressourcen des angegriffenen Servers verbrauchen und ihn für den legitimen Datenverkehr unzugänglich machen. Er kann auf jedes System abzielen, das mit dem Internet verbunden ist und TCP-Dienste (Transmission Control Protocol) anbietet (z. B. Webserver, E-Mail-Server, Dateiübertragung).

SYN-Flood-Angriffe funktionieren, indem sie den Handshake-Prozess einer TCP-Verbindung ausnutzen. Die TCP-Schicht wird gesättigt und verhindert den Abschluss des Handshake-Prozesses zwischen Client und Server auf jedem Port.

Unter normalen Bedingungen erfordert jede Verbindung zwischen einem Client und einem Server, der das TCP-Protokoll verwendet, den Drei-Wege-Handshake. Dieser besteht aus einer Reihe von Nachrichten, die der Client und der Server austauschen:

  1. Der Client startet die Verbindung, indem er eine SYN-Nachricht (Synchronisation) an den Server sendet;
  2. Der Server bestätigt diese Nachricht, indem er eine SYN / ACK-Nachricht (Synchronize-Acknowledge) an den Client zurückschickt;
  3. Der Client bestätigt die Verbindung mit einer abschließenden ACK-Nachricht. Damit ist die TCP-Verbindung hergestellt und kann Daten senden und empfangen.

Das Ziel dieser Nachrichtenübertragung ist die Überprüfung der Authentizität jedes Teilnehmers und die Festlegung des Verschlüsselungsschlüssels und der Optionen, die die weitere Kommunikation sichern. Dieser Prozess muss abgeschlossen sein, bevor eine Kommunikationsschnittstelle zwischen den beiden Parteien verfügbar wird.

Angriffsbeschreibung

Bei einem TCP SYN Flood-Angriff sendet der Angreifer wiederholte SYN-Anfragen an jeden Port des Zielservers, um ihn zu überwältigen und ihn unfähig zu machen, auf echte Verbindungsanfragen zu antworten. Das funktioniert folgendermaßen:

  • Der Hacker sendet eine große Anzahl von SYN-Anfragen an den Server, häufig über gefälschte IP-Adressen;
  • Der Server, der den Angriff nicht bemerkt, antwortet auf jeden der Verbindungsversuche mit einem SYN / ACK-Paket und lässt einen Port offen, um die Antwort zu empfangen;
  • Der Hacker sendet weitere SYN-Anfragen, während der Server auf die ACK-Bestätigung wartet. Jedes neue SYN-Paket veranlasst den Server, für eine bestimmte Zeit eine neue Port-Verbindung offen zu halten. Sobald alle verfügbaren Ports belegt sind, kann der Server nicht mehr normal funktionieren. Dadurch werden alle Kommunikationsanschlüsse des Servers in einen halboffenen Zustand versetzt – der Server lässt ständig Verbindungen offen und wartet darauf, dass jede Verbindung einen Timeout erleidet, bevor der Port wieder verfügbar wird. Deshalb wird diese Art von Angriff als „halboffener Angriff“ bezeichnet.
DoS-Angriff; TCP SYN Flood-Angriff

Mitigation

Es gibt einige Methoden, um diese Art von Angriffen zu verhindern:

  • Verwendung von SYN-Cookies: Mithilfe von kryptografischem Hashing sendet der Server seine SYN-ACK-Antwort mit einer Sequenznummer (seqno). Diese wird aus der IP-Adresse des Clients, der Portnummer und einigen anderen eindeutigen Informationen gebildet. Wenn der Client antwortet, wird dieser Hash in das ACK-Paket aufgenommen. Der Server prüft zunächst die ACK und weist erst dann den Speicher für die Verbindung zu;
  • Verwendung von RST-Cookies: Der Server sendet absichtlich ein ungültiges SYN-ACK für die erste Anfrage eines bestimmten Clients. Dies führt dazu, dass der Client ein RST-Paket erzeugt, das den Server darüber informiert, dass etwas nicht stimmt. Wenn dieses Paket empfangen wird, weiß der Server, dass die Anfrage legitim ist, protokolliert den Client und akzeptiert weitere eingehende Verbindungen von ihm;
  • Verwendung von Mikroblöcken: Zuweisung eines Mikro-Datensatzes (bis zu 16 Byte) im Serverspeicher für jede eingehende SYN-Anfrage anstelle eines kompletten Verbindungsobjekts.
  • Vergrößerung der Backlog-Warteschlange: Anpassung der TCP-Stacks, um die Auswirkungen von SYN-Floods abzuschwächen. Dies kann entweder durch eine Verringerung des Timeouts geschehen, bis ein Stack den einer Verbindung zugewiesenen Speicher freigibt, oder durch das selektive Verwerfen eingehender Verbindungen.
  • Recycling der ältesten halboffenen TCP-Verbindung: Überschreiben der ältesten halboffenen Verbindung, sobald der Backlog gefüllt ist. Diese Methode setzt voraus, dass die legitimen Verbindungen in kürzerer Zeit vollständig aufgebaut werden können, als der Backlog mit bösartigen SYN-Paketen gefüllt werden kann. Diese Verteidigung versagt jedoch, wenn das Angriffsvolumen steigt.

Teardrop-Angriff

Teardrop-Angriffe sind DoS-Angriffe, die darin bestehen, fragmentierte Datenpakete an einen Zielserver zu senden. Diese Angriffe nutzen einen TCP/PI-Fragmentierungs-Neuzusammensetzungsfehler im Code einiger Betriebssysteme aus, die große Datenmengen verarbeiten. Anstatt alle Bits in der richtigen Reihenfolge zusammenzusetzen und sie wie erwartet auszuliefern, warten die Systeme auf Teile, die nie ankommen. Die Angreifer nutzen diesen Fehler aus, indem sie riesige, fragmentierte Datenpakete an den Zielcomputer senden, die sich gegenseitig überlappen. Da der Server nicht in der Lage ist, die Pakete wieder zusammenzusetzen, ist er überlastet und stürzt ab. Teardrop-Angriffe funktionieren in der Regel auf Computern mit älteren Betriebssystemen, wie Windows 95, Windows 3.1x, Windows NT und einigen früheren Linux-Versionen. Einige Angriffe funktionierten jedoch auch auf Systemen mit Windows 7 und Windows Vista.

Mitigation

Die aktuellen Gerätenetzwerke sind sehr fortschrittlich und können beschädigte fragmentierte Pakete leicht erkennen. Sobald ein problematisches Paket identifiziert wurde, kann es leicht ausgeschlossen werden, um die Teardrop-Attacke zu verhindern.

Einige Methoden zur Entschärfung eines Teardrop-Angriffs:

  • Wenn ältere Rechner noch im Einsatz sind und die entsprechenden Patches nicht verfügbar sind, müssen SMBv2 deaktiviert und die Ports 139 und 445 gesperrt werden (wie von Microsoft empfohlen);
  • Ein effizientes Firewall-Netzwerk: Es filtert Junk und infizierte Daten und hält sie vom Netzwerkspektrum fern;
  • Cache: Er stellt Statusinhalte bereit, die für den normalen Betrieb eines Geräts erforderlich sind, und hilft so, die mit dem Angriff verbundenen Risiken zu mindern;
  • Sicherer Proxy: prüft die eingehenden Pakete und verhindert, dass fehlerhafte Daten in das Gerät gelangen.

Smurf-Angriff

Smurf-Angriffe sind DoS-Angriffe, bei denen der Angreifer den Zielserver überflutet und dabei Schwachstellen des Internetprotokolls (IP) und des Internet Control Message Protocols (ICMP) ausnutzt. Diese Angriffe gehen vom Computer des Angreifers aus und zielen auf Router, die mit einer großen Anzahl von Geräten interagieren. Sie funktionieren, indem sie die Netzwerkressourcen überlasten, indem sie ICMP-Echo-Anfragen an Rechner im Netzwerk senden. Die Rechner antworten mit Echo-Antworten. Dadurch entsteht eine Botnet-Situation, die eine hohe ICPM-Verkehrsrate erzeugt. Infolgedessen wird der Server mit Datenanfragen und ICPM-Paketen überflutet, die das System überfordern und verlangsamen, so dass es nicht mehr funktioniert und angreifbar wird.

Angriffsbeschreibung

Der Smurf-Angriff funktioniert normalerweise in den folgenden Schritten:

  • Zuerst erstellt die Malware ein Netzwerkpaket, das an eine falsche IP-Adresse angehängt ist. Diese Technik wird „Spoofing“ genannt. Die Malware kann z. B. von einer nicht verifizierten Website oder einem infizierten E-Mail-Anhang heruntergeladen werden. Normalerweise bleibt sie inaktiv, bis einen entfernten Benutzer sie aktiviert;
  • Das Paket enthält eine ICMP-Ping-Nachricht, in der die Netzwerkknoten, die das Paket empfangen, aufgefordert werden, eine Antwort zurückzusenden;
  • Diese Antworten, oder „Echos“, werden dann wieder an die IP-Adressen im Netzwerk zurückgeschickt, wodurch eine Endlosschleife entsteht.

Mitigation

Es gibt einige Techniken, um diese DoS-Angriffe abzuwehren:

  • Blockieren von IP-directed Broadcasts: Die Deaktivierung des gerichteten Broadcast-Verkehrs an den Routern verhindert die ICPM-Echo-Broadcast-Anfragen an den Netzwerkgeräten.
  • Router und Hosts so konfigurieren, dass sie nicht auf ICPM-Echoanfragen reagieren.

Ping of Death (PoD)-Angriff

Ping of Death (PoD)-Angriffe sind DoS-Angriffe bei denen der Angreifer darauf abzielt, das Zielsystem zu stören, zu zerstören oder einzufrieren, indem er übergroße Datenpakete mit einem einfachen Ping-Befehl sendet.

Ein korrektes Internet Protocol Version 4 (IPv4) Paket besteht aus 65.535 Bytes. Manche Computer können größere Pakete nicht verarbeiten.

Angriffsbeschreibung

Der Angriff funktioniert folgendermaßen:

  • Computer verwenden ein ICMP-Echo-Antwort-Nachrichtensystem (bekannt als „ping“), um Netzwerkverbindungen zu testen. Das System funktioniert im Wesentlichen wie ein Sonargerät zwischen den Geräten. Es sendet einen Impuls, der ein Echo aussendet, das den Betreiber über die Netzwerkumgebung informiert. Wenn die Verbindung wie gewünscht funktioniert, erhalten die Quellgeräte eine Antwort von den Zielgeräten. Ping-Befehle sind auf eine maximale Größe von 65.535 Byte begrenzt.
  • Angreifer nutzen die ping-Befehle, um einen Ping of Death-Befehl zu entwickeln. Sie schreiben eine einfache Schleife, die es ihnen ermöglicht, den Ping-Befehl mit Paketgrößen auszuführen, die die Maximalgrenze von 65.535 Byte überschreiten, wenn der Zielcomputer versucht, die Fragmente wieder zusammenzusetzen.
  • Das Versenden von Paketen, die größer als 65.535 Bytes sind, verstößt gegen die Regeln von IP. Um dies zu vermeiden, senden Angreifer Pakete in Fragmenten, die ihr Zielsystem dann versucht, zusammenzusetzen. Wenn dies gelingt, führt das übergroße Paket zu einem Speicherüberlauf. Dies führt dazu, dass der Zielserver abstürzt, einfriert oder neu startet.

Hacker können diese Schwachstelle in jeder Quelle ausnutzen, die IP-Datagramme sendet. Dazu gehören ICMP-Echos, Internetwork Packet Exchange (IPX), Transmission Control Protocol (TCP) und User Datagram Protocol (UDP).

Mitigation

Unternehmen können die folgenden Techniken verwenden, um diese DoS-Angriffe zu verhindern:

  • Verwendung von Firewalls, die fragmentierte IP-Pakete auf ihre maximale Größe überprüfen und ICMP-Ping-Nachrichten blockieren;
  • Hinzufügen von Prüfungen zum Reassemblierungsprozess, um sicherzustellen, dass die Datenpakete nach der Rekombination die maximale Paketgröße nicht überschreiten;
  • Einrichtung eines Speicherpuffers mit genügend Platz, um Pakete zu verarbeiten, die die maximale Größe überschreiten.

Botnets

Ein Botnet ist eine Gruppe von mit Malware infizierten, mit dem Internet verbundenen Geräten, die von einem Hacker (auch Bot-Herder genannt) kontrolliert werden. Jeder einzelne Rechner innerhalb des Botnet-Netzwerks wird als Bot bezeichnet. Der Bot-Herder betreibt die Botnet-Infrastruktur von einem zentralen Punkt aus und kann die kompromittierten Geräte nutzen, um gleichzeitig eine koordinierte kriminelle Aktion durchzuführen. Botnets werden häufig für DDoS-Angriffe, das Einschleusen von Malware, das Versenden von Spam-E-Mails, Finanzvergehen und Klickbetrug eingesetzt.

Botnets entstehen, wenn der Bot-Herder Bots unter seinem Kommando und von Kontrollservern aus an unwissende Empfänger sendet, indem er Dateifreigaben, E-Mails, Social-Media-Anwendungen oder andere Bots als Vermittler nutzt. Sobald der Empfänger die bösartige Datei auf seinem Gerät öffnet, meldet sich der Bot an die Zentrale zurück, wo der Bot-Herder den infizierten Rechnern Befehle diktieren kann.

Botnets eignen sich gut für langfristige Eindringlinge. Bots lassen sich vom Bot-Herder leicht aktualisieren und können ihre gesamte Funktionalität ändern, je nachdem, was er mit ihnen erreichen will. Sie können sich auch an die Anpassungen und Gegenmaßnahmen des Zielsystems anpassen. Außerdem können sie andere infizierte Geräte im Botnet-Netzwerk als Kommunikationskanäle nutzen, so dass der Angreifer über eine große Anzahl von Kommunikationswegen verfügt, um seine Funktionen anzupassen und Updates zu liefern.

DoS-Angriff; Botnet

Mitigation

Die folgenden Techniken können helfen, Botnet-Angriffe abzuschwächen:

  • Regelmäßige Software-Updates, um die Wahrscheinlichkeit zu verringern, dass ein Botnet-Angriff Schwachstellen im System ausnutzt;
  • Einsatz eines Intrusion Detection Systems (IDS) im gesamten Netzwerk;
  • Verwendung von Blackhole-Filtern, die unerwünschten Datenverkehr stoppen, bevor er in ein geschütztes Netzwerk gelangt.

Wenn Du Dein Sicherheitsniveau noch nicht mit unserer kostenlosen Anwendung analysiert hast, registriere Dich hier!

Beitrag teilen:

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Diese Beiträge könnten Dich auch interessieren

Man working with a computer, General Data Protection Regulation and European Union flag

Datenschutzmeldungen (Art. 33 und 34)

Datenschutzmeldung an die Aufsichtsbehörde Nach der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Dies bezeichnet man als

Weiterlesen
August 13, 2021

DoS-Angriffe

Denial-of-Service Angriffe (oder DoS-Angriffe) sind bösartigere Angriffe, die darauf abzielen, ein System, einen Server oder / und ein Netzwerk mit Datenverkehr zu überfluten, um dessen

Weiterlesen
April 13, 2022
side view of focused businesswoman with tablet making calculations on calculator at workplace with

Auskunftsrecht (Art. 15)

Was ist das Auskunftsrecht? Das Auskunftsrecht ist das Recht der betroffenen Person, eine Bestätigung darüber zu verlangen, ob der für die Verarbeitung Verantwortliche sie betreffende

Weiterlesen
August 13, 2021

Hinweis:

Die Anwendung wird bald zur Verfügung gestellt.