Zur Navigation Zum Artikel

Wenn Sie sich diesen Artikel vorlesen lassen wollen benutzen Sie den Accesskey + v, zum beenden können Sie den Accesskey + z benutzen.

Ratgeber Security

Wie Sie Denial-of-Service-Angriffe überleben

Denial-of-Service-Attacken können die IT-Infrastruktur eines Unternehmens lahmlegen. Was steckt dahinter und wie können Sie sich schützen?

  1. cowo-ddos-teaser Foto: IDG

  2. LOIC: Das Tool lässt Nutzer Teil eines freiwilligen Botnets werden. (Bildquelle: Sourceforge) Foto: IDG

  3. Secunia PSI Foto: IDG

  4. Offline NT Password Foto: IDG

  5. DeviceLock Foto: IDG

  6. PREDATOR Foto: IDG

  7. ArchiCrypt USB-Protect Foto: IDG

  8. Alle meine Passworte Foto: IDG

  9. Any Password Foto: IDG

  10. Sticky Password Foto: IDG

  11. WOT Foto: IDG

  12. Lastpass Foto: IDG

  13. HOIC: Eine alternative zu LOIC, die auch für interne Testzwecke nutzbar sein soll. Foto: IDG

  14. So schützen Sie Ihre Daten Foto: IDG

  15. 1. Regeln für E-Mail-Kommunikation definieren: Foto: IDG

  16. 2. Datenverschlüsselung einsetzen: Foto: IDG

  17. 3. Starke Passwörter verwenden: Foto: IDG

  18. 4. Regelmäßig Sicherheits-Audits durchführen: Foto: IDG

  19. 5. IT-Sicherheits-Regelwerk erstellen und pflegen: Foto: IDG

  20. 6. Vertrauenswürdigkeit von Partnern prüfen: Foto: IDG

  21. 7. System-Management konsequent umsetzen: Foto: IDG

  22. 8. Auch Systemverwalter überwachen: Foto: IDG

  23. 9. Spezielle Sicherheitssysteme nutzen: Foto: IDG

  24. 10. Die Gebäudesicherheit nicht vergessen: Foto: IDG

  25. Sturm-Kontrolle: Aktuelle Netzwerkhardware kann ICMP-Fluten im LAN abwehren. Foto: IDG

  26. Gegen DoS: Netzwerkkomponenten enthalten meist verschiedene Gegenmaßnahmen, etwa gegen bekannte Tools. Foto: IDG

Vorheriges Bild

1 / 26

Nächstes Bild

"Operation Payback", so nannten die Aktivisten ihre Angriffe auf Banken und Kreditkartenanstalten. Mit Hilfe einer Armee von Freiwilligen sollten die Server bis zum Zusammenbruch belastet werden, was teilweise auch gelang. Solche Denial-of-Service-Attacken, kurz DoS, sind nicht erst seit Wikileaks auf dem Vormarsch. Im Gegenteil, in einer Studie des Anbieters Arbor Networks zeigt sich, dass vor allem gezielte Attacken in 2010 um mehr als 100 Prozent angestiegen sind.

Im Grunde bedeutet Denial of Service zwar lediglich, dass der Zugriff auf eine Ressource oder einen Dienst nicht mehr möglich ist. Ob der Grund eine Attacke aus dem Web ist, ein besonders gut verlinkter Artikel oder ein Hardware-Fehler, der das Netzwerk lahmlegt, ist dabei durchaus relevant - denn um den Zwischenfall zu überstehen, benötigt man in jedem Fall eine andere Strategie.

In diesem Artikel erläutern wir zunächst die Hintergründe der Angriffsmethoden und zeigen, wie sich Unternehmen auf Attacken vorbereiten können und deren Auswirkungen in den Griff kriegen.

Werbung

DDoS: Werkzeug von Erpressen, Kriminellen und selbsternannten Rächern

Die bekannteste Art des Angriffs von Externen ist zweifelsohne eine Distributed Denial of Service-Attacke, kurz DDoS. Angreifer nutzen dabei einen Verbund an Rechnern, um einen Dienst, meist eine Website, so lange mit Anfragen zu überhäufen, bis die Server unter der Last zusammenbrechen. Als Quellen dienen dafür häufig Botnets, also mit Viren infizierte Rechnerverbunde, die von einer zentralen Stelle Anweisungen erhalten. Der Protest rund um Wikileaks hat allerdings gezeigt, dass Protestierende auch freiwillig ihre Rechnerkapazitäten zur Verfügung stellen, wenn es um eine ihrer Meinung nach gerechte Sache geht.

Das Problem dabei: Denial of Service-Schwachstellen sind in den meisten Systemen und Programmen enthalten und, einmal entdeckt, relativ einfach auszunutzen. Allein der englische Wikipedia-Eintrag zählt dreizehn verschiedene Formen der Attacken. Die Firma Armoraid hat fünf grundsätzliche Definitionen erstellt, an denen man eine aktive DoS-Attacke erkennt:

Es bringt übrigens kaum etwas, die jeweiligen Ursprungs-IP-Adressen direkt anzugehen. Neben rechtlichen Problemen sind diese meist gefälscht, wer also meint, proaktiv gegen Angreifer vorgehen zu können, attackiert im schlimmsten Fall selbst andere Systeme. Die Verwendung gefälschter IP-Adressen führt oftmals zu einem so genannten Backscatter-Effekt. Dabei schickt der Server die Pakete an die angegebene IP, da diese aber nicht der Ursprung der Anfrage ist, kann das Gegenüber nichts mit den Paketen anfangen. Spezielle Systeme können diese Pakete erkennen und so indirekt Hinweise zu einer aktiven DDoS-Attacke sammeln. Wie Backscatter funktioniert, erklärt beispielsweise die CAIDA auf dieser Seite in einer Animation.

Populäre Attacken: SYN Floods und Smurf-Angriffe

SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer so genannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.

Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist dies kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechenden manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es können folglich keinen neuen Verbindungen initiiert werden.

Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, so dass legitime Anfragen nicht mehr bearbeitet werden können.

Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.

Erste Hilfe und Gegenmaßnahmen

Was kann man also tun, wenn man Opfer eines solchen Angriffs ist? Zunächst muss man wissen, was vor sich geht. Lösungen wie etwa Intrusion Detection/Intrusion Prevention Systeme können bereits dann Alarm schlagen, wenn sich eine Attacke ankündigt - so ist man vorgewarnt und kann unter Umständen noch Gegenmaßnahmen einleiten.

Die einfachste Art der Gegenwehr ist, die verfügbaren Ressourcen so lange zu erhöhen, bis die Angriffe ins Leere laufen. Das klingt in der Theorie zwar gut, in der Praxis kann dies aber schnell zu unüberschaubaren Kosten führen - selbst wenn man skalierbare Cloud-Angebote nutzt.

Zunächst sollte man sich einen Überblick verschaffen, woher die Angriffe kommen und welches System, etwa welche IP, das Ziel der Attacken ist. Sind es nur wenige IPs, kann man diese in seinen Firewall-Systemen blockieren. Ebenso, wenn das Ziel nur einzelne oder wenige Systeme sind - diese kann man mit einer alternativen IP versehen und die Änderungen per DNS neu verteilen.

Das verschafft normalerweise zumindest ein wenig Luft für Reaktionen. In jedem Fall sollte man spätestens jetzt seinen Internetprovider einschalten. Dieser kann unter Umständen die Angriffe bereits in seinem Netzwerk blocken.

Abwehrmaßnamen mit Bordmitteln

De facto lassen sich zahlreiche Angriffe, vor allem SYN Floods, mit der richtigen Konfiguration in der Firewall blockieren oder die Auswirkungen minimieren. Cisco gibt in diesem Support-Eintrag grundlegende Abwehrmaßnamen vor, die sich auch in den Geräten von anderen Herstellern implementieren lassen:

Speziell wenn es um die LOIC-Attacken geht, die etwa bei den Angriffen auf PayPal, Visa oder Mastercard im letzten Jahr genutzt wurden, kann man noch zusätzlich aktiv werden. Ein angeblich selbst Betroffener hat diesen Eintrag des SANS kommentiert: Die Angriffe seien demnach nicht besonders bandbreitenintensiv. Man könne sie relativ gut in den Griff kriegen, wenn man die Anzahl der gleichzeitig möglichen Verbindungen pro IP reglementiert. Zudem sollte man versuchen, die Angriffe zu unterwandern, indem man sich etwa selbst mit den Chaträumen der jeweiligen "Aktionsgruppen" verbindet. Es sei selten, so der Kommentator, dass Angriffe so offen vorab bekannt gegeben werden.

Eine weitere, wenn auch besonders drastische Maßnahme, ist das Blackholing. Dabei wird der komplette eingehende Traffic so weitergeleitet, dass er einfach verschwindet, ohne dass der jeweilige Partner eine Rückmeldung erhält. Die Weiterleitung könnte etwa auf ein IP erfolgen, die nicht vergeben ist oder deren Server ausgeschalten ist. Der Vorteil ist, dass man sich und seinen Systemen dadurch zusätzliche Zeit verschafft, um etwa Gegenmaßnahmen einzuleiten. Der Nachteil ist, dass alle Anfragen ins Leere laufen, auch legitime Zugriffe.

Hardware-basierte Lösungen gegen DoS-Angriffe

Natürlich hat sich auch um dieses Segment eine umfangreiche Herstellerlandschaft gebildet, die mit eigenen Lösungen aufwarten. Normalerweise sind alle aktuellen IPS-Systeme und Firewalls mit entsprechenden Signaturen versehen, welche gängige Attacken erkennen, entsprechende Warnungen an die Verantwortlichen schicken und gegebenenfalls vorprogrammierte Gegenmaßnahmen einleiten können.

Zahlreiche Internetprovider bieten außerdem spezielle Blackholing- oder Sinkholing-Dienste an. Wie bereits weiter oben erwähnt, wird der komplette Traffic dabei umgeleitet und verworfen. Der Provider kann dies normalerweise besser regeln, da er einen detaillierten Überblick über sein Netzwerk hat.

Eine weitere Möglichkeit sind so genannte Clean Pipes. Dabei wird der komplette Traffic durch das das Data Center eines weiteren Providers geleitet. Dieser untersucht die Verbindungen auf Attacken oder anderen auffälligen Traffic. Sobald das System verdächtige Aktivitäten erkennt, säubert es die jeweiligen Anfragen aus dem Datenstrom heraus und leitet so nur die legitimen Verbindungen zum eigentlichen Server weiter. Einen solchen Dienst bietet unter anderem Verisign an.

Innovative Gegenmaßnahmen SpeakUp und DOS Deflate

Neben den Hardware-Herstellern haben sich auch zahlreiche Software-Entwickler zu dem Thema Gedanken gemacht. DOS Deflate ist beispielsweise ein kostenloses Script für die Linux-Shell, das von der Firma Media Layer entwickelt wurde. Das Script kann herausfinden, welche IPs mit dem jeweiligen Server verbunden sind und wie viele Verbindungen pro IP eingerichtet sind. Übersteigt die Anzahl der Verbindungen pro IP einen zuvor eingestellten Grenzwert, wird die Firewall aktiv und blockiert die jeweilige IP. Weitere Informationen zu Download und Konfiguration finden sich auf dieser Seite.

Einen komplett anderen Ansatz fährt Speak Up, das Projekt ist allerdings derzeit noch Theorie: Speak Up versucht, unter den zahlreichen Anfragen die bösartigen Attacken herauszufiltern. Dabei geht das System davon aus, dass legitime Clients normalerweise mehr Bandbreite zur Verfügung haben, als die Rechner der Angreifer. Das System frägt also bei den verbundenen Clients an, ob diese einige größere Pakete zum Server schicken können. Ein legitimer Client, so die Forscher in ihrer Arbeit, kann diese Anfrage normalerweise erfüllen und wird bevorzugt behandelt. Die Systeme der Angreifer sind dagegen meist am Limit ihrer Kapazitäten und können die geforderten Daten nicht bringen. Die "guten" Clients werden demnach bevorzugt, die Angreifer hinten angestellt. Speak Up hat einige Vorteile, beinhaltet allerdings auch zahlreiche Fallstricke - etwa wenn die Nutzer langsame Verbindungen nutzen oder vom Smartphone aus surfen. Das komplette Forschungspapier ist hier verfügbar.

Ungewolltes Denial of Service: Wenn die Seite zu populär wird

Neben gezielten Angriffen kann es auch passieren, dass eine Seite einfach zu populär wird, um mit dem Ansturm der Nutzer klarzukommen. Ein imposantes Beispiel war beispielsweise der Tot des Sängers Michael Jackson: Innerhalb kürzester Zeit wurde Google mit vollkommen legitimen Anfragen überflutet, die das System nahezu komplett auslasteten - der Kurznachrichtendienst Twitter kollabierte unter der Last sogar.

Dieses Phänomen ist ebenfalls nicht neu, unter anderem ist es als "Slashdot"-Effekt bekannt. Der Name stammt von der Website Slashdot, einem der ersten populären News-Aggregatoren im Web. Wurde eine Seite auf Slashdot erwähnt, folgte ein massiver Anstieg an Besuchern. Vor allem kleinere Webseiten waren diesem nicht gewachsen und gaben auf.

Die Gegenmaßnahmen hier unterscheiden sich deutlich von denen einer Attacke, schließlich sind alle Anfragen legitim. Die einfachste Gegenmaßnahme ist es, eine statische und möglichst einfache Landing-Page einzurichten, welche den interessanten Inhalt enthält. Vor allem bei Downloads oder rechenintensiven Angebote, etwa Videos o.ä. sollte man sich zudem überlegen, ob man sie, zumindest für einen kurzen Zeitraum, auf die Server eines Anbieters auslagert, der mit entsprechend hohen Anfragen klar kommt - Cloud-basierte Lösungen mit flexiblen Ressourcen bieten sich hier an. Zudem kann man die Nutzer über andere Dienste informieren, etwa Twitter oder Facebook, um auf den ungewöhnlich hohen Andrang hinzuweisen.

Fazit

DoS- und DDoS-Attacken werden nicht verschwinden, im Gegenteil. Sie sind billig, erfordern kaum IT-Erfahrung und sind durchaus effektive Angriffsmethoden gegen Internet-Angebote. Zwar kann man sich mit verschiedenen Maßnahmen gegen Angriffe schützen oder die Auswirkungen minimieren, eine "Silver Bulett" gibt es allerdings nicht.

Es hilft auch wenig, sich auf die Hoffnung zu verlassen, dass es einen selbst nicht erwischen wird. Besonders die Attacken der Wikileaks-Unterstützer haben gezeigt, wie schnell eine Firma ins Visier von Angreifern geraten kann. Auch Kriminellen wird es immer einfacher gemacht: Botnetze lassen sich tage- oder stundenweise mieten, um etwa einen Konkurrenten lahmzulegen.

IT-Verantwortliche und Administratoren sollten sich in jedem Fall auf den Notfall vorbereiten. Wer vorab entsprechende Pläne und Gegenmaßnahmen entwickelt - und diese auch regelmäßig überprüft - kann im Falle eines Angriffs schnell und gezielt reagieren. Zudem gibt es Firmen, die spezielle Denial-of-Service-Tests durchführen, um das System etwa auf Angriffspunkte zu prüfen.

© IDG / In Zusammenarbeit mit computerwoche.de

Autor: Patrick Hagn