DoS, DDoS, Denial of Service

Kein Anschluss unter dieser URL

01.02.2013 von Alfredo Vistola
Denial-of-Service-Attacken sind ein wenig angestaubt und alles andere als hochkomplex. Dennoch feiern sie ihren x-ten Frühling. Was können Unternehmen tun, um sie endlich in den Griff zu bekommen?

Eine stete Verfügbarkeit der Server und Dienste ist das höchste Gut für Unternehmen, deren Geschäftsmodelle und -prozesse ganz oder teilweise auf dem Internet beruhen. Sie ist durch DoS/DDoS-Angriffe (Denial-of-Service/Distributed-Denial-of-Service) bedroht. Botnetze (eine Gruppe von vernetzten Rechnern, die infiziert wurden) verfügen über eine immense Kapazität und können von jedem Interessenten einfach und günstig gemietet werden, um dem Mitbewerb oder auch politischen Zielen zu schaden:

168 Stunden mit mehr Bandbreite - 5500 Dollar
168 Stunden mit 4750 Mbit/s kosten aktuell 5500 Dollar.

Quelle für alle Angaben: Femtocell-Studie „Modeling the economic incentives of DDoS attacks“
168 Stunden - 600 Dollar
Wer eine ganze Woche lang einen Webserver mit 1000 Mbit/s Bandbreite angreifen will, löhnt 600 Dollar.
24 Stunden - 70 Dollar
Eine DDoS-Attacke einmal rund um die Uhr kostet mit 45 Mbit/s Bandbreite 70 Dollar.
2 Stunden - 20 Dollar
Eine zweistündige Attacke mit 45 Mbit/s eingesetzter Bandbreite kostet rund 20 Dollar.

DDoS - was ist das?

Hacktivisten aus dem Anonymous-Kollektiv setzen DDoS für ihre Zwecke ein.
Foto: Shutterstock, Pedro Rufo

Als "Denial of Service (DoS)"-Angriff wird die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Angreifer erreichen diese Überlastung meist durch eine mutwillige Attacke auf einen Host (Server), einen Rechner oder eine sonstige Komponenten in einem Datennetz, um einen oder mehrere bereitgestellte Dienste arbeitsunfähig zu machen.

Im Gegensatz zu einem einfachen "Denial of Service"-Angriff werden "Distributed Denial of Service (DDoS)"-Angriffe nicht nur über einen Angriffsrechner gefahren, sondern gleichzeitig im Verbund mit mehreren Rechnern. Das hat zur Folge, dass mehr Datenverkehr erzeugt werden kann und es für die Betroffenen sehr aufwendig ist, festzustellen, woher die Angriffe kommen.

Wie gehen DDoS-Angriffe vonstatten?

Der Angreifer platziert dazu - ohne Kenntnis des Anwenders - einen Software-Agenten auf verschiedenen Rechnern im Internet - häufig bereits Monate vor dem eigentlichen Angriff. Das so entstehende Botnetz lässt sich nun zumeist von einem Operator (auch Bot-Master oder Bot-Herder genannt) überwachen und steuern. Wird ein DDoS-Angriff auf ein bestimmtes Ziel gestartet, erfolgt er über die infizierten Rechner, auf denen die Agenten installiert sind. Im Verbund erzeugen diese ein enormes Angriffsvolumen. Ziel ist es, Firewalls, Web Services und Anwendungen für alle anderen Anwender unerreichbar zu machen.

Im Allgemeinen unterscheidet man zwischen Angriffen, die auf die Auslastung der Netzwerk-Bandbreite zum einen und auf die Auslastung der Systemressourcen (Arbeitsspeicher, CPU,...) zum anderen abzielen.

Evolution von DoS/DDoS-Angriffen

Obwohl DoS/DDoS-Angriffe bereits Jahrzehnte existieren, haben sich ihre Art, Umfang und Größe im Laufe der Zeit signifikant weiterentwickelt. Frühere DDoS-Angriffe nutzten eine begrenzte Anzahl von Computern, um einen einzigen Host (Server) oder andere kleine Ziele anzugreifen.

Das aufkommende kommerzielle Interesse am Internet sorgte für eine attraktive Umgebung für Angreifer und machte ihre schlechten Absichten für die großen Unternehmen schnell zum Problem. So vollzog sich im Jahr 2000 ein größerer DDoS-Angriff auf die Web-Angebote von unter anderem Ebay, Yahoo und Amazon, der einen merklichen wirtschaftlichen Schaden anrichtete. Auch Microsoft und die Recording Industry Association of America (RIAA) standen vermehrt unter Beschuss. In den Jahren 2002 und 2007 wurden koordinierte DDoS-Attacken gegen die DNS Root-Server (Domain Name System, es gibt 13 Root-Sever) gefahren, um den Namensauflösungsdienst und somit das gesamte Internet lahmzulegen. Der Angriff im Jahr 2002 war weitgehend erfolgreich, der im Jahr 2007 weniger.

Wie mächtig DDoS-Angriffe werden können, bekamen im Jahr 2010 auch die großen Kreditkartenanbieter Visa und Mastercard zu spüren, als sie im Zuge der Wikileaks-Affäre attackiert wurden und ihre Websites teilweise tagelang nicht funktionierten. Die für die Angriffe verantwortliche Aktivistengruppe "Anonymous" schaffte es mittels DDoS-Angriffen sogar, das riesige Paypal-Transaktionsnetz erheblich zu stören.

Und auch aktuelle Fälle gibt es zur Genüge: Ende Januar 2012 mussten das FBI, das US-Justizministerium und einige Websites der Musikindustrie daran glauben - als Reaktion auf die Schließung des Portals MegaUpload. Einer internen Untersuchung des Web-Security-Dienstleisters Akamai zufolge wurden allein im November 2011 mehr als 20 DDoS-Angriffsversuche auf große deutsche Unternehmenskunden, darunter viele DAX-Konzerne, verübt. Dabei mussten es die attackierten Server mit teilweise 31mal soviel Datenverkehr wie sonst üblich aufnehmen. Einer Untersuchung von Kaspersky Lab nach betrug die durchschnittliche Bandbreite, mit denen DDoS-Attacken im zweiten Halbjahr 2011 gefahren wurden, 110 MBit pro Sekunde.

Die Aktionen der Hacktivisten
Die in losen Gruppen organisierten Hacker haben in den vergangenen Jahren einige spektakuläre Aktionen gestartet. Hier sehen Sie eine Zusammenfassung.
September 2008: Fox News
Einige Monate später gab es die nächste öffentlichkeitswirksame Attacke von Anonymous. Das Ziel dieses Mal: Bill O'Reilly, der wichtigste Moderator des konservativen Fernsehsenders Fox News, und seine Anhänger. Mitglieder der Hacker-Gruppe knackten die Web-Seite des Moderators, sammelten E-Mail-Adresse samt Passwörter und Anschriften von 205 O'Reilly-Unterstützer ein und übergaben die Informationen Wikileaks. Am Tag darauf folgten zwei DDoS-Angriffe auf Billoreilly.com. Das Bild zeigt angeblich die Einladung zum Hacken von Fox News, die auf dem Imageboard 4Chan innerhalb der Anonymous-Gruppe zirkulierte.
Oktober 2010: KISS- Bassist Gene Simmons
Anonymous legte GeneSimmons.com mit einer DDoS-Attacke im Rahmen der "Operation Payback" lahm. Die Kampagne richtete sich gegen einzelne Personen und Institutionen, die im Verdacht standen, die Privatsphäre im Internet zu gefährden. Die Hacker hatten insbesondere den Verband der Musikindustrie in den USA im Visier (Recording Industry Association of America; RIAA), weil er massiv gegen die Tauschbösen im Internet vorging. KISS-Bassist Gene Simmons geriet in den Fokus der Hacker-Gruppe, weil er gegen die "pickeligen College-Kids" gewettert hatte, die illegal Musik aus dem Internet laden.
Dezember 2010: Diverse Finanzdienstleister
Ende 2010 solidarisierte sich Anonymous mit der Whisteblower-Plattform Wikileaks und ihrem Gründer und Aushängeschild Julian Assange. Die DDos-Attacken richteten sich gegen PayPal und andere Finanzinstituten, die die Annahme von Spenden für Wikileaks verweigerten. Vorausgegangen war die Veröffentlichung der Berichte von US-Diplomaten auf der Plattform. Auf dem Poster, das für die "Operation Avenge Assange" warb und das im Internet zirkulierte, schrieb die Gruppe, dass Assange die gleichen Prinzipien wie das Hacker-Kollektiv "vergöttere".
Dezember 2010: Santa Cruz County
Im Dezember 2010 machte eine weitere Organisation mit einer spektakulären Attacke auf sich aufmerksam: Die "Peoples Liberation Front" streckte die Web-Seite der Stadtverwaltung von Santa Cruz County nieder. Einer Pressemitteilung des US-Justizministeriums zufolge reagierten die Hacker auf Festnahmen von Demonstranten. Sie hatten vor dem örtlichen Gericht protestiert und hatten damit gegen die Camping-Richtlinien innerhalb der Stadtgrenzen verstoßen. Im September 2011 klagten die Behörden Joshua John Covelli (Bild) für seine führende Rolle bei der DDoS-Attacke gegen die Santa-Cruz-Web-Seite an. Er war zuvor schon im Zusammenhang mit dem Angriff auf PayPal aufgefallen.
Februar 2011: HBGary Federal und Aaron Barr
Als Anonymous Wind davon bekam, dass Aaron Barr, damaliger CEO der Sicherheitsfirma HBGary Federal, die Identität der wichtigsten Hacker veröffentlichen wolle, trat die Hacker-Gruppe die Flucht nach vorn an: Sie knackte HBGary Federals Web-Site und verschaffte sich über nur schwach gesicherte Systeme Zugang zum E-Mail-Server. Dort fanden die Hacker unter einigen kompromittierenden Nachrichten auch einen Hinweis darauf, wie Barr den WikiLeaks- und Salon.com-Autor Glenn Greenwald angehen wollte. Die Enthüllung der E-Mails brachte die Security-Firma erheblich ins schlingern. Das Bild zeigt den HBGary-Stand auf einer RSA-Konferenz.
Mai 2011: PBS
So sah die Web-Seite der US-Senderkette PBS aus, nachdem LulzSec-Mitglieder sie sich im Mai 2011 vorgenommen hatten. Die Aktivisten waren unzufrieden mit einer Dokumentation des PBS-Spartenkanals Frontline über den Wikileaks-Informanten Bradley Manning. LulzSec verbreitete zudem über den Newsticker von PBS, dass der 1996 verstorbene Rapper Tupac Shakur in Neuseeland lebe. Zudem postete die Gruppe Login-Daten und Adressen einiger Besucher der PBS-Site.
Juni 2011: InfraGard Atlanta
Kurz danach manipulierte LulzSec die Web-Site von InfraGard in Atlanta. Die Organisation bekämpft gemeinsam mit dem FBI die Cyberkriminalität. Nach dem Besuch der Hacker-Gruppe zeigte die Web-Seite ein YouTube-Video. Die Hacker entwendeten zudem persönliche Daten von 180 InfraGard-Anwendern und veröffentlichte sie auf The Pirate Bay zusammen mit Auszügen aus geheimen E-Mails, die mit dem FBI ausgetauscht wurden. Auslöser der Attacke waren angeblich Äußerungen von Barack Obama zu den Aktivitäten von Hackern.
Mai bis Juni 2011: Sony Pictures
Wenige Wochen später wurde Sony erneut zum Angriffsziel der Hacker. Dieses Mal attackierte LulzSec Sony Pictures und brach in diversen Web-Seiten und Datenbanken des Konzerns ein. Die Gruppe behauptete, sie habe mehr als eine Millionen persönliche Daten von Sony-Kunden entwendet, darunter Passwörter und Postadressen. Sie veröffentlichte Details des Angriffs und Passwörter sowie 75.000 Musik-Codes und 3,5 Millionen Coupons.
Juni 2011: Der Senat der Vereinigten Staaten
Ebenfalls im Juni hackte die Gruppe die Web-Seite des US-Senats. Eine Sprecherin der Parlamentkammer bestätigte später den Angriff.
Juni 2011: CIA
Kurz danach nahm sich LulzSec den CIA vor. Mit einem DDoS-Angriff zwang die Gruppe die CIA-Web-Seite für mehrere Stunden in die Knie.
Juni 2011: InfraGard Connecticut
Im Juni nahm LulzSec erneut InfraGard ins Visier. Via Twitter verkündete die Gruppe, sie habe mittels einfacher SQL-Injection die Web-Seite von InfraGard Connecticut geknackt.
Juli 2011: The Sun
Eigentlich hatte sich LulzSec Ende Juni 2011 aufgelöst. Doch der Abhörskandal um die britischen Boulevard-Zeitung "News of the World" und den News-Corp.-Konzern des Medienmoguls Rupert Murdoch rief die Gruppe noch einmal auf den Plan: Sie manipulierte die Web-Seite der britischen Zeitung "The Sun", die ebenfalls zum Murdoch-Imperium zählt. Dort platzierte sie eine Meldung über den Tod von Murdoch. Der eingefügte Link führte zu einem Twitter-Account von LulzSec.
Juli 2011: ManTech International
Nach dem Ende von LulzSec sorgte Anonymous wieder für Aufmerksamkeit. Die Hacker brachen in das Netz der Rüstungsfirma ManTech International ein und drohten damit, Dokumente zu veröffentlichen, die man vom internen Server geladen hatte.
August 2011: Öffentlicher Nahverkehr in San Franzisko
Mitte August 2011 hackte Anonymous die Online-Präsenz des öffentlichen Nahverkehrs in San Francisco, "Bay Area Rapid Transit" (Bart). Die Gruppe veröffentlichte User-Namen, Adressen und Telefonnummern von über 2000 Pendlern und brachte die Web-Seite MyBart.org zum Erliegen. Anonymous reagierte damit auf das Abschalten des Mobilfunknetzes für alle Bart-Passagiere. Damit hatten die Verkehrbetriebe verhindern wollen, dass sich Demonstranten über Handy absprechen und zu Aktionen verabreden. Anlass der damaligen Kundgebung in San Franzisko war der Tod eines US-Bürger, der von den Sicherheitskräften der Verkehrsbetriebe erschossen wurde.
Oktober 2011: Web-Seiten mit Kinderpornographie
Im Rahmen der Operation Darknet löschte Anonymous Links zu Kinder-Pornografie-Seiten auf einer Web-Präsenz namens Darknet. Die Hacktivisten warnten die Hosting-Firma Freedom Hosting und forderte sie auf, sämtliche illegale Inhalte zu löschen. Als der Betreiber sich weigerte verschafften sich die Hacker Zugang zu den Servern, sperrten sämtliche Zugänge zu gehosteten Web-Seiten und veröffentlichen Login-Details von 1600 Anwendern. Freedom Hosting stellte die Kinder-Pornografie-Seiten wieder her, nur um erneut von Anonymous attackiert zu werden.
November 2011: Die Finanzindustrie
Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Florida Family Association
Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Stratfor
Weihnachten 2011 drang die Hackergruppe in die Systeme von Stratfor ein, einer US-Firma für internationale Sicherheitsanalysen, und kopierte offenbar tausende Kreditkartennummern. Den Datenklau verkauften die Hacker als Wohltätigkeitsaktion zur Weihnachtszeit.

Heute lässt die Motivation für DDoS-Angriffe nach der Definition des Sicherheits-Dienstleisters Secunet in drei Kategorien fassen:

Der technische Hintergrund

DoS/DDoS Angriffe können auf der Netzwerkebene (Layer-3/Layer-4), oder auf höheren Ebenen wie der Applikationsebene (Layer-7) erfolgen, bei denen der Angreifer legale, illegale oder fehlerhafte Anfragen an das Ziel sendet. In allen Fällen werden Netzwerk- und Systemressourcen verbraucht, die dem "normalen" Anwender nicht mehr zur Verfügung stehen, sodass Dienste und Services langsamer werden oder ganz ausfallen.

Drei Angriffsarten

Frühere DoS/DDoS-Angriffe spielten sich auf Netzwerkebene (Layer-2 bis Layer-4) ab, aktuelle Attacken schließen häufig die Applikationsebene mit ein (bis Layer-7). Sie lassen sich in drei Kategorien unterteilen:

  1. Low-Level Protokoll-Angriffe (SYN-Flooding, Connection Flooding, ICMP Flooding)

  2. HTTP Flooding (HTTP Flooding, Slowloris, Slow POST, SSL attacks)

  3. DNS attacks (attacks against DNS infrastructure)

Einfache Netzwerkangriffe

Einfache DDoS-Angriffe werden auch "Flooding" genannt und basieren darauf, dass eine überwältigende Menge an Netzwerkverkehr an das gewünschte Ziel gesendet, es quasi "überschwemmt" wird. Das Ziel (beispielsweise der Server) oder ein Gerät vor dem Ziel (wie ein Router oder eine Firewall) kann der Last nicht standhalten und der übrige, legitime Datenverkehr erreicht daraufhin den Backend-Server nicht mehr.

Ein TCP-SYN-Flooding-Angriff ist für diese Art von verteilen Angriffen typisch. Sie sind so konzipiert, dass sie den "Stateful"-Verbindungsmechanismus der Geräte, die auf Layer-4 abzielen (beispielsweise Hosts) oder die Verbindungstabelle für "Stateful"-Geräte (z.B. Stateful Firewalls) zum Überlaufen bringen.

Eine normale Verbindung zwischen einem Benutzer und einem Server: Der Drei-Wege-Handshake verläuft korrekt.
Foto: F5 Networks

Um zu verstehen, wie ein SYN-Flood-Angriff funktioniert, ist es notwendig, die grundlegenden Mechanismen des TCP-Protokolls zu kennen. Zum Aufbau einer TCP-Verbindung auf Layer-4 sendet der Client ein Paket mit gesetztem SYN-Flag. Der Server empfängt das SYN-Paket, schreibt einen Eintrag in seine Verbindungstabelle und schickt ein SYN-ACK-Paket zurück. Im Normfall sendet der Client anschließend ein ACK-Paket an den Server, um den Verbindungsaufbau abzuschließen. Dieser Vorgang wird als Drei-Wege-Handshake bezeichnet (SYN, SYN-ACK, ACK).

SYN Flood: Ein Angreifer sendet mehrere SYN-Pakete, sendet aber keine ACK-Pakete zum Server zurück. Die Verbindungen sind somit halboffen und verbrauchen Server-Ressourcen.
Foto: F5 Networks

Bei einem SYN-Flood-Angriff sendet ein bösartiger Client ebenfalls ein SYN-Paket an den Server, will damit aber keine Verbindung aufbauen. Er wartet nicht auf die SYN-ACK Antwort vom Server, sondern sendet sofort eine Vielzahl neuer SYN-Pakete. So schafft es ein einzelner Client durchaus, einen ungeschützten Server zu überlasten. Wenn nun beispielsweise 1000 Clients eines Botnets je 1000 SYN-Pakete an den gleichen Server schicken, wird dieser versuchen, eine Million Verbindungen aufzubauen. Eine Zahl, die weit über die Grenzen eines einzelnen Standardhosts hinausgeht.

Weitere Arten von Low-Level DoS/DDoS-Angriffen

Alle drei Arten der "Lower-Level"-Netzwerk-Angriffe werden häufig zusammen mit "Higher-Level"-Applikationsangriffen wie HTTP-Flooding kombiniert.

HTTP Flooding

Anders als die meisten einfachen Netzwerk-Angriffe, bei denen mit böswillig geänderten oder fehlerhaften Paketen Computing-Ressourcen überlastet werden, gehen HTTP-Flooding-Angriffe wie legale HTTP-Webanfragen von normalen Anwendern aus. Daher sind herkömmliche Firewall-Technologien nicht in der Lage, diese Angriffe vom normalen Datenverkehr zu unterscheiden, sodass sie an die Webserver im Rechenzentrum weitergeleitet werden. Da es sich bei HTTP-Flooding-Angriffen um Tausende oder Millionen von Anfragen handelt, werden die Webserver und häufig auch die Infrastruktur (Bandbreite, Applikationsserver, Datenbankserver, ...) überlastet.

Die beiden häufigsten Varianten von HTTP-Flooding-Angriffen unterscheiden sich in der Intelligenz der Angriff-Clients und vom gesendeten Inhalt. Bei der einfachen Variante senden die Angriff-Clients immer wieder die gleichen Anfragen und analysieren in der Regel keine Antworten vom Server. Das Programm oder Skript, das auf diesen Angriff-Clients läuft, ist einfach zu programmieren, aber auch einfacher zu identifizieren.

Bei der erweiterten Variante senden die Angriff-Clients Anfragen an die Startwebsite, analysieren die Antwort vom Server und können rekursiv weitere Anfragen an alle Unterseiten senden. Diese Angriffe sind schwer zu erkennen und zu filtern, da legitime und unterschiedliche Anfragen passend zur Antwort vom Server geschickt werden - ähnlich dem normalen Anwenderverhalten. Die Angriffs-Clients werden im Laufe der Zeit immer intelligenter, was letztlich zu einem Wettrüsten zwischen Sicherheitsverantwortlichen und Angreifern führt.

Langsames Überlaufen

Für Schlagzeilen sorgte die 2009 veröffentlichte Software Slowloris, mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkressourcen einen Webserver lahmlegen kann. Das Prinzip beruht darauf, möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten. Dieser Effekt wird durch das gleichzeitige Öffnen von Verbindungen und dem Senden von Teilanfragen erreicht. Von Zeit zu Zeit werden die Anfragen durch weitere HTTP-Header ergänzt, aber nie vollständig abgeschlossen. Die Anzahl offener Verbindungen steigt somit rasch an. Ein Webserver kann aber nur eine bestimmte Anzahl von Verbindungen parallel offen halten - darüber hinaus gehende Anfragen lehnt der Webbrowser schließlich ab. Ergebnis: Der Server ist lahmgelegt.

Slow POST beruht auf einem ähnlichen Prinzip. Der Angreifer sendet die Daten hier lediglich sehr langsam an den Server. Das Ergebnis ist jedoch das gleiche.

DNS-Angriffe

Das Domain Name System (DNS) übersetzt Namensanfragen (www.example.com) in numerische IP-Adressen (wie 192.168.204.201). Nahezu alle Clients verwenden DNS-Abfragen, um einen gewünschten Dienst auf einem Server zu erreichen. Fällt das DNS aus, sind alle Web- und E-Mail-Anwendungen nicht mehr zu erreichen. Dieser "Single-Point-of-Failure" macht das DNS zu einem verlockenden Ziel für Angreifer.

Typen von DNS-Angriffen auf DoS/DDoS-Basis

Abwehr und Minderung

Um Überlastungen von kritischer IT-Infrastruktur zu vermeiden, gibt es mehrere Möglichkeiten.