Denial of Service (DoS; englisch für „Verweigerung des Dienstes“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte.
Häufigster Grund ist die Überlastung des Datennetzes. Das kann unbeabsichtigt verursacht werden, aber auch durch einen konzertierten Angriff auf die Server oder sonstige Komponenten des Datennetzes.
Im Fall einer durch eine Vielzahl von gezielten Anfragen verursachten, mutwilligen Dienstblockade spricht man von einer Denial-of-Service-Attacke und, wenn die Anfragen von einer großen Zahl an Rechnern aus durchgeführt werden, von einer Distributed-Denial-of-Service attack (DDoS-Angriff, deutsch wörtlich verteilter Dienstverweigerungsangriff). Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
Wenn eine Überlastung mutwillig herbeigeführt wird, dann geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte Dienste funktionsunfähig zu machen. War dies ursprünglich vor allem eine Form von Protest oder Vandalismus, werden Denial-of-Service-Attacken mittlerweile von Cyber-Kriminellen zum Kauf angeboten, um Konkurrenten zu schädigen. Ebenso werden Serverbetreiber zu einer Geldzahlung erpresst, damit ihr Internetangebot wieder erreichbar wird.
DoS-Angriffe wie SYN-Flooding oder der Smurf-Angriff belasten den Internetzugang, das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer größeren Anzahl Anfragen als diese verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden. Wenn möglich, ist es effizienter, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese auf Anfragen nicht mehr reagiert. Beispiele sind WinNuke, die Land-Attacke, die Teardrop-Attacke oder der Ping of Death.
Im Unterschied zu anderen Angriffen will der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder Ähnliches vom Zielrechner. Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:
Eine besondere Form stellt der Distributed-Reflected-Denial-of-Service-Angriff (DRDoS-Angriff) dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar, da die Absenderadresse beim Opfer die Adresse vom regulären arbeitenden Internetdienst darstellt.
Ein Beispiel für einen solchen Angriff ist die auf dem User Datagram Protocol (UDP) basierende DNS Amplification Attack, bei der das Domain Name System als Reflektor missbraucht wird. Der dabei auftretende „Verstärkungsfaktor“ (englisch amplification factor) beschreibt das Verhältnis der Paketgröße vom Reflektor zu der Paketgröße, welcher der Angreifer zu Auslösung dieser Antwort an den regulären Internetdienst schicken muss.
Ist dieser Verstärkungsfaktor größer 1 muss der Angreifer weniger Datenvolumen erzeugen als beim eigentlichen angegriffenen System durch die Antworten des Reflektorsystems zustande kommt. Für den Angreifer ist daher ein möglichst größer Verstärkungsfaktor am Reflektor vorteilhaft. Der konkrete Verstärkerfaktor ergibt sich durch die Definition des ausgenutzten Protokolls und dessen Eigenschaften. In folgender Tabelle sind einige, auf UDP basierende Verstärkerfaktoren für DRDoS-Angriffe zusammengefasst:
Protokoll | Erzielbarer Verstärkungsfaktor | Hinweise |
---|---|---|
MiCollab | 2,2 Milliarden | VoIP-Telefonsystem von der Firma Mitel; behoben in R9.4 SP1 FP1 |
Memcached | 50.000 | Behoben in version 1.5.6 |
NTP | 556,9 | Behoben in version 4.2.7p26 |
CHARGEN | 358,8 | Character Generator Protocol, UDP-Port 19 |
DNS | bis zu 179 | |
QOTD | 140,3 | Quote of the Day, UDP-Port 17 |
Quake Network Protocol | 63,9 | Behoben ab Version 71 |
BitTorrent | 4 - 54,3 | Behoben in der Bibliothek libuTP seit 2015 |
CoAP | 10 - 50 | |
ARMS | 33,5 | |
SSDP | 30,8 | |
Kad | 16,3 | P2P Netzwerk basierend auf Kademlia |
SNMPv2 | 6,3 | |
Steam Protocol | 5,5 | |
NetBIOS | 3,8 | |
STUN | 2,38 |
Weitere bekannte Methoden sind der Smurf- und der Fraggle-Angriff, bei denen ein Paket mit der IP-Adresse des Opfers als Absender an die Broadcast-Adresse eines Netzwerks gesendet wird. Das bewirkt, dass das Paket um die Anzahl der Geräte im Netzwerk vervielfacht und an das Opfer zurückgeschickt wird.
E-Mail-Backscatter wird eingesetzt, um nach einem ähnlichen Verfahren das E-Mail-Postfach eines Opfers zu füllen.
Mutwillige DDoS-Angriffe werden oft (aber nicht ausschließlich, siehe DDoS als Protestaktion) mit Hilfe von Backdoor-Programmen oder Ähnlichem durchgeführt. Diese Backdoor-Programme werden in der Regel von Trojanern auf nicht ausreichend geschützten Rechnern installiert und versuchen selbstständig, weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen. Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt. Die Steuerung des Angriffs erfolgt über IRC, HTTP oder mittels eines Peer-to-Peer-Netzes.
Mit zunehmender Bedeutung des Internets der Dinge werden für DDoS-Angriffe auch Geräte missbraucht, die auf den ersten Blick harmlos wirken: Internet-fähige Fernsehrekorder, Set-Top-Boxen, Fernseher, Überwachungskameras oder Uhren. Die Geräte werden oft mit Standard-Passwörtern ausgeliefert und ihre Firmware selten aktualisiert, was sie zu attraktiven Zielen für automatisierte Angriffe aus dem Internet macht. Einmal infiziert, können sie ähnlich wie Rechner eines Botnetzes orchestriert werden.
Als Form des Protestes sind DDoS-Attacken immer populärer geworden. Einfach zu bedienende Werkzeuge wie zum Beispiel die populäre Low Orbit Ion Cannon ermöglichen es nun auch nicht computerversierten Personen, den Betrieb fremder Computer, Websites und Dienste mit Denial-of-Service-Angriffen zu stören.
Befürworter dieser Form des Protestes argumentieren, dass bei Online-Demonstrationen die Protestierenden nur ihre eigenen Ressourcen verwenden und deren Aktionen somit weder das Tatbestandsmerkmal der Gewalt noch eine Drohung mit einem empfindlichen Übel aufweisen. Daher sei diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.
In Deutschland ist bereits der Versuch der Störung als Computersabotage strafbar, siehe dazu Abschnitt Rechtliche Situation.
Auch Staaten nutzten DDoS-Attacken, um unliebsame Websites, zumindest vorübergehend, lahmzulegen. Die Volksrepublik China hat dazu die sogenannte Great Cannon of China erstellt und greift Websites an, die Tools anbieten, um die Great Firewall zu umgehen.
Im Folgenden werden acht bekannte Beispiele zu absichtlich herbeigeführten Serverüberlastungen aufgeführt.
Das Content Delivery Network Akamai stellte eine Steigerung der Angriffe vom vierten Quartal 2013 zum ersten Quartal 2014 um 39 % fest, zum Vorjahresquartal sind es 47 %. Der Sicherheitsspezialist Imperva berichtet, dass ein Drittel aller Netzwerk-DDoS-Ereignisse ein Volumen von mehr als 10 Gbit/s haben. „Diese Angriffe werden von Jahr zu Jahr aggressiver und umgehen DDoS-Schutzmaßnahmen.“ Zweck solcher Angriffe sind meist Erpressung, Schädigung eines Konkurrenten oder Infiltration des Zielsystems. Es gibt über Stunden gehende Angriffe mit 180 Gbit/s, die selbst Providernetze überfordern. Manche Angreifer geben sich als Suchmaschinen-Bots aus. Mehr als ein Viertel der angreifenden Bot-Netze befinden sich in China, Indien und dem Irak.
Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte Webseite aufgrund der Berichterstattung in einem publikumswirksamen Medium zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im Netzjargon auch „Slashdot-Effekt“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen. Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite heise online und der dort gelegentlich auftretende „Heise-Effekt“. Außerdem kann es bei Tweets populärer Nutzer des Netzwerks Twitter und Retweets ihrer Follower zu serverseitigen Ausfällen kommen.
Um Überlastungen von kritischer IT-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt:
Auf dem Schwarzmarkt gibt es Dienstleister, die DDoS gegen Bezahlung anbieten. Da diese für einen Teil der Angriffe verantwortlich sind, versuchen Strafverfolger gegen diese vorzugehen, ähnlich wie auf anderen illegalen Märkten:
Angriffe mit breiten Auswirkungen haben sich zwischen 2015 und 2016 nahezu verdoppelt. Vor allem unsichere IoT-Geräte stellen eine zunehmende Gefahr dar. Ein Mirai-Ableger sorgte 2016 für eine Großstörung im Netz der Deutschen Telekom. Im selben Jahr gab es breit angelegte Attacken auf die Webseiten der Kandidaten im US-Präsidentschaftswahlkampf sowie einen Angriff auf den DNS-Dienstleister Dyn, durch den ein Wochenende lang unter anderem Twitter, Netflix und Spotify nicht erreichbar waren.
Das World Wide Web Consortium erfuhr vom 28. Februar bis 2. März 2022 schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum Angriff auf die Ukraine nicht eindeutig dokumentiert ist.
Die zunehmende Vernetzung von immer mehr Geräten stellt neue Herausforderungen an die IT-Sicherheit. Das Prinzip „Security by Design“, wonach IT-Sicherheit bei der Soft- und Hardwareentwicklung vom Anfang an berücksichtigt wird, kann hier Abhilfe schaffen. Auch die Installation von Sicherheitsupdates, um Sicherheitslücken rechtzeitig zu schließen, ist eine wichtige Komponente.
This article uses material from the Wikipedia Deutsch article Denial of Service, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). Abrufstatistik · Autoren Der Inhalt ist verfügbar unter CC BY-SA 4.0, sofern nicht anders angegeben. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki Deutsch (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.