Definition

Denial of Service (DoS)

Durch einen Denial-of-Service (DoS)-Angriff werden Dienste in ihrer Funktionalität beeinträchtigt und stehen Nutzern sowie Unternehmen nur eingeschränkt zur Verfügung. Bei Distributed-Denial-of-Service greift eine große Zahl von infiltrierten Systemen (manchmal als Botnet bezeichnet)  ein einzelnes Ziel an.

Ein DoS-Angriff wird gewöhnlich nicht für einen Diebstahl von Informationen eingesetzt, trotzdem kostet diese Attacke viel Zeit und Geld. Die Methode führt typischerweise dazu, dass Dienste wie E-Mail nicht mehr zur Verfügung stehen oder temporär alle Netzwerk-Verbindungen ausfallen. Denial of Service kann Programmierung und Dateien betroffener Computersysteme zerstören. Bekannte Ziele von DoS-Angriffen sind Facebook, Microsoft und Twitter, deren Seiten des Angriffs nur eingeschränkt nutzbar waren.

Häufige Methoden von Denial-of-Service-Angriffe sind:

Buffer-Overflow-Angriff

Die meist verwendete Form von DoS-Angriffen besteht darin, mehr Traffic an eine Netzwerk-Adresse zu senden, als der vom Entwickler vorgesehene Puffer erwartet. Der Täter macht sich diese Schwachstelle zu Nutze oder attackiert einfach das System in der Hoffnung, mit dem Buffer-Overflow Erfolg zu haben. Bekannte ältere DoS-Angriffe nutzten die Puffer-Eigenschaften von Programmen oder Systemen aus. Diese sind:

  • Das Senden einer E-Mail mit einem Attachment, das einen 256-Zeichen langen Dateinamen besitzt und an E-Mail-Clients von Netscape und Microsoft gerichtet war.
  • Das Senden von übergroßen Internet-Control-Message-Protocol (ICMP)-Paketen. Diese Methode ist als Packet Internet oder Inter-Network Groper (Ping) bekannt.
  • Einem User, der das E-Mail-Programm Pine (nicht mehr erhältlich) verwendete, eine Nachricht zu senden mit einer Absender-Adresse, die mehr als 256 Zeichen lang ist.

SYN-Angriff

Ein SYN-Angriff verwendet den Verbindungsaufbau des TCP-Transportprotokolls für eine Flooding-Attacke. Das TCP-Protokoll bedient sich der Methode des Drei-Wege-Handshakes, um eine Verbindung herzustellen. Für das „Hand schütteln“ existiert beim Server ein Pufferspeicher. In diesem werden die Anfragen vom Client gespeichert, bis dessen Einverständnis eingetroffen ist. Zum Nachrichtenaustausch gehören Pakete, die ein SYN-Feld zur Identifizierung (SYN) und Bestätigung (ACK) beinhalten. Der Täter versendet schnell eine Reihe von Verbindungsanforderungen ohne sie zu bestätigen. Hierdurch bleiben die Pakete im Puffer, so dass legitimierte Anfragen nicht ausgeführt werden. Obwohl diese nach einer gewissen Zeit ohne Antwort gelöscht werden, kommt es aufgrund der erhöhten Anfrage zu einer Flutung des Puffers und das System wird instabil. Netzwerk-Administratoren können einen Absturz und Neustart verhindern, indem sie die Größe des Puffers und das Zeitlimit optimieren.

Teardrop-Angriff

Dieser Denial-of-Service-Angriff basiert auf übergroßen Internet-Protocol (IP)-Paketen, die für den nächsten Router zu groß sind und in einzelne Fragmente aufgeteilt werden müssen. Jedes IP-Paket wird mit einem Offset versehen, damit das gesamte Paket nach Übertragung vom empfangenen System zusammengesetzt werden kann. Beim Teardrop-Angriff verändert der Angreifer das Offset des zweiten oder späteren Fragments. Der Router kann das IP-Paket nicht zusammensetzen und je nach Betriebssystem wird die Länge der Fragmente nicht überprüft. Es kommt pro Paket zur Fehlermeldung. Die Anhäufung dieser Meldungen führt zum Systemabsturz.

Smurf-Angriff

Bei diesem Angriff sendet der Täter ein Ping (oder „echo my message back to me“)-Request an die Broadcast-Adresse eines Netzwerks. In das ICMP-Paket trägt der Angreifer als Absender die Adresse des anzugreifenden Systems ein. Der Router im Zielnetzwerk leitet das Paket an alle im Netzwerk befindlichen Computer weiter. Jeder dieser Rechner antwortet dem anzugreifenden Computer und überschwemmt diesen mit einer Datenflut. Wenn das Flooding groß genug ist, kann der entsprechende Host nicht mehr zwischen gefälschten sowie reellen Anfragen unterscheiden und die Pakete weiterleiten.

Malware

Computer-Malware, die sich über ein Netzwerk unterschiedlich reproduzieren, können als Denial-of-Service-Attacken angesehen werden. In der Regel werden die Systeme nicht gezielt angegriffen. Die Viren hängen sich entweder an das Betriebssystem oder an Programme. Je nach Malware wird DoS vom User des infiltrierten Systems kaum oder stark wahrgenommen.

Diese Definition wurde zuletzt im August 2013 aktualisiert

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close