Ratgeber Security

Wie Sie Denial-of-Service-Angriffe überleben

26.12.2011
Von 
Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.

Populäre Attacken: SYN Floods und Smurf-Angriffe

SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer so genannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.

Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist dies kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechenden manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es können folglich keinen neuen Verbindungen initiiert werden.

Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, so dass legitime Anfragen nicht mehr bearbeitet werden können.

Sturm-Kontrolle: Aktuelle Netzwerkhardware kann ICMP-Fluten im LAN abwehren.
Sturm-Kontrolle: Aktuelle Netzwerkhardware kann ICMP-Fluten im LAN abwehren.

Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.