Aktuelle Seite:  
  1. Home
  2. IT-Sicherheit
  3. DoS und DDoS, was ist das?

Fundstücke

Website Überwachung

  • OS Linux v
  • PHP 8.1.27
  • MySQLi 10.4.33-MariaDB-1:10.4.33+maria~deb10
  • Zeit 04:12
  • Zwischenspeicherung Deaktiviert
  • Gzip Deaktiviert
  • Benutzer 2
  • Beiträge 48
  • Anzahl Beitragshäufigkeit 1176951

Who's Online

Aktuell sind 175 Gäste und keine Mitglieder online

Über mich

Home

DoS und DDoS, was ist das?

Details
IT-Sicherheit

Was sind DoS-Angriffe (Denial-of-Service Attacks)
Viele werden schon davon gehört haben, aus aktuellen Meldungen etc.,  aber die wenigsten wissen wohl was das eigentlich ist.
Nun das ist kein Problem (solange man nicht selbst betroffen ist) und weil ich heute vom US-CERT per Mail eine gute Erklärung erhalten habe, werde ich diese mal ganz frei übersetzen :-).
Die DoS lassen sich kaum von normalen Netzwerkaktivitäten unterscheiden, zumindest oberflächlich betrachtet. Die Auswirkungen solcher schädlichen Netzwerkattacken sind da schon deutlicher.

Was ist ein DoS-Angriff?
Wären eines Angriffs verhindert der Angreifer das normale Benutzer z. B. auf Informationen von Webseiten zugreifen oder seine eMail's abrufen kann. Dies äussert sich meistens mit der Fehlerseite "Server oder Netzwerk nicht erreichbar". Nun gut nicht immer liegt ein DoS-Angriff vor wenn die Lieblingswebseite nicht im Browser erscheint, da gibt es schon noch ein paar andere Fehlerquellen auf dem Weg zum Webserver. Für den Anwender macht das allerdings keinen Unterschied, die Seite ist halt nicht erreichbar, das Onlinebanking funktioniert nicht etc..
In den meisten Fällen wird ein Angreifer den betreffenden Server einfach mit Anfragen überfluten. Zum Verständnis, immer wenn ich eine Adresse in meinen Webbrowser eintippe und die Entertaste betätige wird ein Webserver nach Informationen gefragt, und wenn er diese für mich hat auch ausgeliefert. Das heist ich sehe also die betreffende Seite in meinem Webrowser. Nun ist es aber so, dass der Server nur eine begrenzte Zahl von Anfragen nahezu gleichzeitig beantworten kann. Diese Zahl ist abhänig von der technischen Ausstattung des Servers und der verfügbaren Bandbreite des Netzwerkes. Zum Beispiel ist bei meinem Webserver keine großangelegte Attacke nötig, so ab etwa fünfzig gleichzeitigen Nutzern bleibt er scheinbar stehen und reagiert nicht mehr *grins*.
Der Webserver hat in diesem Moment alle Chips voll zu tun die eintreffenden Anfragen zu sortieren und überhaupt keine Zeitmehr welche zu beantworten.
Ein Angreifer kann auch eMails in hoher Anzahl und in kurzer Zeit versenden um z. B. einen Mailserver soweit zu beschäftigen, das dieser keine Zeit mehr hat auch noch Mails auszuliefern. Ein ähnliches Phänomen soll sich auch manchmal im richtigen Leben so um die Weihnachtszeit im Briefverkehr abspielen.Im übrigen reicht es auch eine große Anzahl von Mails mit einem großen Anhang zu versenden um ganz einfach die Postfächer zu verstopfen, den wenn ein bestimmtes vorgegebenes Limit erreicht ist, können keine weiteren NAchrichten entgegen genommen werden.

Was ist nun eine verteilter DoS-Angriff?
Schon mal was von Phatbot oder Zombie's gehört? Ein Angreifer bereitet seinen Angriff akribisch vor in dem er mit Hilfe von Trojanern andere Rechner im Internet für seine Zwecke nutzt. Offensichtlich gibt es ja noch viele Anwender, die gutgläubig auf jeden Anhang in der eMail klicken und so ihren Rechner, ohne es zu wissen, in einen Zombie verwandeln. Der betroffene Rechner lauscht fortan auf Befehle seines "Herrn" die ihn über das Internet erreichen. Ich denke jeder kann sich gut vorstellen, was passiert wenn nun statt eines einzelnen Rechners, hunderte oder tausende Rechner gemeinsam einen Webserver mit Anfragen überfluten, tausende von sinnlosen eMails gleichzeitig versendet werden usw..
Beispiele solcher Angriffe gab es in der Vergangenheit bereits genug und es ist wohl nicht davon auszugehen, dass es weniger werden, so lange es sorglose Anwender gibt!
In diesem Zusammenhang soll nicht verschwiegen werden, das natürlich auch die Methoden der Angreifer immer mehr verfeinert werden. Wie z. B. der oben erwähnte Phatbot, der mit einer ganzen Batterie von Befehlen ausgestattet ist um einen befallenen Rechner für alle möglichen Zwecke remot über das Internet zu nutzen.

Warum kann jeder ein Teil des Problems sein?
Sicherlich werden sich Angriffe der oben beschriebenen Art nie ganz vermeiden lassen, aber jeder kann durch sein eigenes Tun ein Stück dazu beitragen, Beeintächtigungen zu verringern. Nicht zuletzt dienen die nachfolgenden Maßnahmen auch dem Schutz der eignen Privatsphäre und des eignene Ansehens.
Wer will sich schon vorwerfen lassen an einem Angriff gegen einen Web-, Mail- o.ä. Server mitgewirkt zu haben. Deshalb:

  • Installiere und warte eine Antiviren-Software deiner Wahl (es gibt da namhafte Hersteller im In- und Ausland, für die ich aber keine Werbung machen möchte)
  • Installiere eine Firewall, und Konfiguriere diese so, das nur der Netzwerkverkehr Deinen Rechner erreicht und verlässt, der für dich notwendig ist. (auch hier sei wieder auf die Hersteller verwiesen, meistens sind solche Personalfirewalls im Paket mit den Antivirenlösungen zu erhalten)
  • Schütze deine eMail-Adresse vor unberechtigten Zugriff, das erspart dir auch jede Menge Müll im Posteingang.
  • Nicht zu vergessen sind da noch die ganze Palette der bordeigenen Mittel des bevorzugten Betriebssystems, die die meisten Anwender weder kennen noch benutzen. Mann/Frau sollte sich deshalb auch nicht scheuen, mal jemanden zu fragen der sich damit auskennt.

Und da meine ich Leute, die wissen was sie tun und nicht gedankenlos den 95. Tuning-Tip aus den selbsternannten "Fachzeitschriften" abtippen. (aber das ist schon wieder ein anderes Thema)

Wie erkennte ich einen Angriff?
Nun, nicht alle Unterbrechungen im Netzwerkbetrieb sind das Resultat eines DoS- oder DDos-Angriffes. Manchmal gibt es auch andere Probleme technischer Art im Netzwerk oder der Administrator installiert gerade die letzen Updates auf dem Server usw..
Die folgenden Anzeichen können auf einen Angriff hindeuten:

  • unnormal langsamer Netzwerkzugriff beim Öffnen von Datein oder Webseiten
  • Unerreichbarkeit von Teilen einer Webseite
  • kein Zugriff auf eine oder mehrere Webseiten
  • eine große Menge an Müll-Nachrichten im Posteingang

Es gibt auch eine ganze Reihe von Anzeichen, dass man selbst zum ungewollten Angreifer geworden ist, das finden sich aber unter der Rubrik Trojaner, Viren etc. im Internet und soll hier nicht weiter besprochen werden.

Was kann ich tun, wenn ich denke das ein Angriff stattfindet?
Otto-Normal-Verbraucher fehlt normalerweise die technische Ausstattung und Software um solche Angriffe korrekt zu erkennen, sei es ob ich nun Ziel (eher unwahrscheinlich) oder Quelle bin. Wichtig ist es in jedem Fall sich entsprechende professionelle Hilfe zu holen und/oder im Internet nach entsprechenden Informationen zu suchen.
Am Arbeitsplatz ist es entscheiden, frühzeitig die verantworlichen Administratoren zu informieren, wenn ich plötzlich keinen Zugriff mehr auf Datein im Firmennetzwerk habe oder interne/externe Webseiten nicht erreichbar sind.
Am heimischen PC sollte der jeweilige Internetprovider Rat und Hilfe haben, und nicht nur über kostenpflichtige Hotlines. Aus meiner Sicht auch ein wichtiges Merkmal bei der Wahl meines Internetzuganges!

Das Orginal stammt von Mindi McDowell und kann hier  http://www.us-cert.gov/cas/tips/ST04-015.html nachgelesen werden.

Zugriffe: 19829

passpict101.jpg

Tags

Heise Security

12. Mai 2024

News und Hintergrund-Informationen zur IT-Sicherheit

Popular

RandomPicture

  • 2
  • 1
  • 5
  • 4
  • 3