/ Was ist ein DoS-Angriff (Denial-of-Service)?
Was ist ein DoS-Angriff (Denial-of-Service)?
Wie laufen DoS-Angriffe ab?
Bei DoS-Angriffen setzen Hacker Programme ein, die den Server des Opfers mit schädlichem Traffic überfluten. Dieser Traffic besteht aus lauter einzelnen Anfragen, die scheinbar von legitimen Usern stammen und deswegen vom Server validiert werden. Die „Serviceverweigerung“, auf die die Bezeichnung „Denial-of-Service“ anspielt, entsteht durch den Verlust an Bandbreite und Netzwerkressourcen, die für legitimen und geschäftskritischen Traffic zur Verfügung stehen.
Die angegriffenen Systeme oder Daten sind dadurch für legitime User, die Zugriff darauf benötigen, nicht verfügbar. DoS-Angriffe werden häufig zur Erpressung eingesetzt, da ein Unternehmen, das seinen Kunden seinen Service nicht anbieten kann, mit Umsatzeinbußen und Rufschädigung rechnen muss. Insofern bestehen gewisse Ähnlichkeiten zu Ransomware– mit dem Unterschied, dass bei DoS-Angriffen nicht die Daten, sondern die Services des Opfers als Geisel genommen werden.
Welcher Unterschied besteht zwischen DoS-Angriffen und DDoS-Angriffen?
DoS-Angriffe gehen von einer einzigen Quelle aus. Bei DDoS-Angriffen (Distributed Denial-of-Service) hingegen werden betrügerische Anfragen von mehreren Quellen gleichzeitig gestreamt. In der Regel nutzen Angreifer eine Gruppe vernetzter Geräte aus – teilweise sogar im globalen Maßstab –, um den Zielserver zu überfluten. Die dabei erzielte Wirkung ist um ein Vielfaches größer als bei DoS-Angriffen.
Eine derartige Gruppe infizierter Computer wird als Botnet bezeichnet. Die Geräte innerhalb eines Botnets sind miteinander synchronisiert und warten auf Anweisungen eines Angreifers an einer bestimmten IP-Adresse, bevor sie einen Flutangriff auslösen. Diese Angriffe beginnen normalerweise zu einem im Voraus geplanten Zeitpunkt und können stunden- oder sogar tagelang anhalten.
DoS-Angriffe lassen sich stoppen, indem der betroffene Server einfach die Verbindung schließt, über die der Angriff verübt wird. DDoS-Angriffe sind sehr viel gefährlicher und schwieriger einzudämmen, da der Traffic hier von mehreren Quellen gleichzeitig ausgeht.
Darüber hinaus setzen Kriminelle jetzt IoT-Geräte ein, um ihre Botnets durch die Reduzierung manueller Prozesse noch gefährlicher zu machen. Sie können nämlich mithilfe von IoT-Geräten die Synchronisierung ihrer Botnet-Geräte erheblich vereinfachen und so die Wirksamkeit ihrer Angriffe erhöhen.
Welche DoS-Angriffe waren von besonderer Tragweite?
Im Vergleich zu DoS-Angriffen lassen sich DDoS-Angriffe schwieriger abwehren und können daher über einen längeren Zeitraum durchgeführt werden. Vor allem deshalb kommen sie sehr viel häufiger vor.
Cloud-Service-Anbieter sind aufgrund ihrer inhärenten Anfälligkeit für solche Bedrohungen besonders häufig von DDoS-Angriffen betroffen. Allein in letzter Zeit sorgten mehrere spektakuläre Angriffe auf prominente Unternehmen für Schlagzeilen:
- Amazon: Im Februar 2020 war Amazon von einem der bisher schwersten DDoS-Angriffe betroffen. Mithilfe von CLDAP-Reflexion (Connectionless Lightweight Directory Access Protocol) wurde ein AWS-Kunde drei Tage lang mit einem Spitzenvolumen von 3,3 Terabyte pro Sekunde (TBps) attackiert.
- GitHub: Im Februar 2018 wurden GitHub-Server 20 Minuten lang mit einem Volumen von 1,35 Terabyte pro Sekunde bombardiert. Der Angriff wurde von „über tausend verschiedenen autonomen Systemen“ gestartet, die auf „Zehntausenden Einzelgeräten“ gehostet wurden.
- Google: Im Oktober 2020 veröffentlichte Google Informationen zu einem Angriff mit UDP-Überflutung, der von drei chinesischen Internetdienstanbietern (ISPs) gehostet wurde und Google-Server über einen Zeitraum von sechs Monaten mit einem Datenvolumen von über 2,5 Terabyte pro Sekunde bombardierte.
Woran erkennt man einen DoS-Angriff?
Route Advertisements – die zum Austausch von Informationen über Verbindungspfade im Internet dienen – werden von Infrastrukturanbietern in der Regel nicht gefiltert. Auch eine effektive Paketfilterung zur Verifizierung der jeweiligen Traffic-Quelle kommt bei vielen Anbietern zu kurz. Dadurch entstehen Transparenzlücken, die Angreifer gerne ausnutzen, um Organisationen mit schädlichem Traffic zu attackieren.
Bei DoS- und DDoS-Angriffen stehen generell drei Motive im Vordergrund: eine feindselige Einstellung gegenüber dem Angriffsziel (insbesondere bei Angriffen von sogenannten Hacktivisten), erpresserische Absichten sowie die Hoffnung, die Opfer durch die Serviceverweigerung genügend abzulenken, um unbemerkt Daten und andere vertrauliche Informationen stehlen zu können. Frühwarnzeichen im eigentlichen Sinne gibt es bei DoS-Angriffen nicht. Erfahrene Sicherheitsexperten können jedoch erkennen, wenn Bedrohungsakteure Traffic an eine Organisation schicken, um die Erfolgsaussichten eines potenziellen Angriffs zu sondieren.
Die Akteure senden eine große Anzahl von Anfragen, beispielsweise an verschiedene Bereiche einer Website, um festzustellen, ob die Webserver für einen DoS-Angriff anfällig sind. Solche „Vorbeben“ sind als Anzeichen für einen möglicherweise bevorstehenden Angriff zu werten.
Eine effektive Lösung zur Überwachung der Netzwerksicherheit liefert Ihren Cybersicherheitsexperten aussagekräftige Informationen zur Analyse des Netzwerk-Traffics und Erkennung paketübergreifender Muster, die eindeutig auf einen Angriff hinweisen. Um Angriffe in Echtzeit erkennen und entsprechende Gegenmaßnahmen ergreifen zu können, müssen Sie die Metadaten von Routern, Switches und anderen Netzwerkgeräten im Auge behalten. Dazu brauchen Sie ein leistungsstarkes Überwachungstool.
Kategorien von DoS-Angriffen
Bei DoS-Angriffen setzen Bedrohungsakteure primär vier unterschiedliche Techniken ein, um Systeme und Daten zu erpresserischen Zwecken auszunutzen:
- Browserumleitung: User, die das Laden einer Webseite anfordern, werden stattdessen zu einer anderen Webseite mit schädlichen Inhalten weitergeleitet.
- Schließen von Verbindungen: Angreifer schließen offene Ports, um Usern den Zugriff auf die betreffenden Datenbanken zu verweigern.
- Datenvernichtung: Hacker löschen Dateien, sodass Usern beim Aufrufen der betreffenden Inhalte die Fehlermeldung „Ressource nicht gefunden“ angezeigt wird. Wenn Anwendungen Schwachstellen aufweisen, die sie anfällig für Injektionsangriffe machen, können Angreifer auch die Datenbanktabelle löschen, damit der Service nicht verfügbar ist.
- Ressourcenüberlastung: Böswillige Akteure fordern wiederholt Zugriff auf eine bestimmte Ressource an, damit die Webanwendung überlastet wird und durch ständiges Neuladen der Seite langsamer wird oder ganz abstürzt.
Kategorien von DDoS-Angriffen
Insbesondere sollten Sie vor folgenden gängigen DDoS-Angriffen auf der Hut sein:
- SYN-Überflutung: Angreifer nutzen eine TCP-Verbindung (SYN-ACK) aus, um hohe Volumen von SYN-Paketen zu senden und so die Ressourcen des Zielsystems zu überlasten.
- Spoofing: Angreifer geben sich als User oder Geräte aus und starten einen Cyberangriff mit gefälschten Paketen, nachdem ihre Verbindungsanfragen genehmigt wurden.
- DDoS-Angriff auf Anwendungsebene: Hier wird eine Schwachstelle oder Fehlkonfiguration in einer Anwendung ausgenutzt und einem User der Zugriff auf die Anwendung oder deren Nutzung verweigert.
- DNS-Überflutung (Domain Name System): Angreifer setzen die DNS-Auflösung für einen bestimmten Domainnamen außer Kraft, indem die entsprechenden Server mit Anfragen überflutet werden.
- ICMP-Überflutung (Internet Control Message Protocol): Bei dieser Angriffsart, die auch als „Ping Flood“ bezeichnet wird, erstellt der Bedrohungsakteur einen sogenannten Smurf-Angriff mit einer gefälschten Quell-IP-Adresse. Diese Methode kann auch zum Senden eines „Ping of Death“ verwendet werden, bei dem große Pakete einen Pufferüberlauf verursachen.
- UDP-Überflutung (User Datagram Protocol): Angreifer überfluten willkürlich ausgewählte Ports des Zielsystems, das dann Ressourcen verbraucht und mit „Ziel nicht erreichbar“-Paketen antwortet.
Abwehr von DoS-Angriffen
Vor DoS- und DDoS-Angriffen ist keine Branche sicher. Wenn Sie einige Best-Practice-Handlungsempfehlungen beachten, können Sie jedoch dafür sorgen, dass Ihre Organisation über alle erforderlichen Tools und Protokolle zur effektiven Bekämpfung von DoS und DDoS verfügt.
Mit folgenden fünf Maßnahmen schaffen Sie die Voraussetzungen für eine erfolgreiche Abwehr von DoS-Angriffen:
- Erstellung eines Notfallplans für DoS-Angriffe. Überprüfen Sie Ihr gesamtes System auf potenzielle Schwachstellen, Sicherheitsrisiken oder Lücken im Sicherheitsstatus. Auf dieser Basis können Sie dann einen Notfallplan für den Fall eines Angriffs erarbeiten.
- Absicherung der Infrastruktur. Durch Einsatz cloudbasierter Firewalls, Traffic-Überwachung und Threat Intelligence (z. B. Eindringschutz) verschaffen Sie sich einen erheblichen Vorteil im Kampf gegen DoS-Angriffe.
- Früherkennung von Warnzeichen. Bei unerwarteten Einbrüchen der Netzwerkleistung, Website-Ausfällen oder plötzlicher Zunahme des Spam-Volumens müssen sofortige Gegenmaßnahmen ergriffen werden.
- Umstellung auf cloudbasierte Services. Cloud-Ressourcen stellen mehr Bandbreite bereit als On-Premise-Ressourcen, und da sich nicht alle Server am selben Standort befinden, ist das Risiko geringer, dass Bedrohungsakteure sämtliche Systeme des Unternehmens ins Visier nehmen.
- Überwachung des Systems auf ungewöhnliche Aktivitäten. Dadurch können Sicherheitsbeauftragte DoS- oder DDoS-Angriffe in Echtzeit erkennen und abwehren. Im nächsten Abschnitt stellen wir Maßnahmen vor, mit denen Sie das Risiko von DoS- und DDoS-Angriffen insgesamt reduzieren können.
Wie lässt sich das Risiko eines DoS-Angriffs reduzieren?
Organisationen, die kein ausreichendes Niveau an Sicherheit und Transparenz gewährleisten, machen sich anfällig – und zwar nicht nur für DoS- und DDoS-Angriffe, sondern auch für andere Bedrohungen wie Malware, Ransomware, Spearphishing usw. Daher empfiehlt es sich unbedingt, leistungsstarke Abwehrmechanismen zu implementieren, um Ihre Organisation vor den verheerenden Folgen erfolgreicher DoS- und DDoS-Angriffe zu schützen. Folgende Maßnahmen haben sich im Kampf gegen DoS und DDoS als besonders effektiv erwiesen:
- Cloudbasierte Sicherheit. Cloudbasierte Sicherheitslösungen ermöglichen eine konsistente Richtliniendurchsetzung für alle User unabhängig vom jeweiligen Standort und Gerät. Zudem profitiert Ihre Organisation von lückenlosem Einblick in die gesamte IT-Umgebung. Updates und Patches werden automatisch eingespielt, sodass Sie jederzeit vor allen akuten Bedrohungen geschützt sind.
- Extended Detection and Response (XDR). XDR ist eine Weiterentwicklung des EDR-Konzepts (Endpoint Detection and Response). Sie liefert Auskunft über die aktuelle Bedrohungslage an allen Endgeräten sowie Einblick in potenzielle Daten- und Cloud-Risiken. Darüber hinaus profitiert Ihre Organisation von ganzheitlicher Threat Intelligence. Dadurch wird die Flut von Fehlalarmen eingedämmt, die Sicherheitsexperten normalerweise bearbeiten müssen. Stattdessen können sie sich gezielt auf die Abwehr tatsächlicher Bedrohungen konzentrieren.
- Cloud-managed Security Operations Center (SOC). Mit einem in der Cloud verwalteten SOC können Sie Anwendungsfälle abdecken, für die Ihr Sicherheitsteam möglicherweise keine Kapazitäten hat. Dazu zählen insbesondere die Bereitstellung von Cloud-Richtlinien sowie Funktionen zur Bedrohungserkennung und -behebung, Datenschutzmechanismen und eventuell auch Compliance-Maßnahmen. Ähnlich wie durch Implementierung einer XDR-Lösung können Sie mit einem verwalteten SOC interne Kapazitäten ergänzen bzw. für andere wichtige Aufgaben freisetzen.
- Implementierung einer cloudbasierten Zero-Trust-Architektur. Laut Gartner wird bereits 2025 die Abwicklung von mindestens 70 % aller neuen Remotezugriff-Bereitstellungen überwiegend über ZTNA statt über VPN-Services erfolgen – Ende 2021 lag der Anteil noch bei weniger als 10 %. Zero-Trust-Sicherheit bietet den entscheidenden Vorteil, dass sämtliche Verbindungsanfragen dynamisch bewertet und kontextbasiert (d. h. unter Berücksichtigung von User-Identität, Gerät, Standort und angeforderter Anwendung) genehmigt werden. Dadurch haben Bedrohungsakteure keine Chance, sich unbefugt Zugriff zu verschaffen.
Nur ein einziger Anbieter stellt eine Cloud-native Zero-Trust-Lösung bereit. Und: Derselbe Anbieter arbeitet mit den weltbesten XDR-Architekten zusammen, um Sie bei der Erkennung von Bedrohungen auf sämtlichen Endgeräten, Clouds und Datenspeichern zu unterstützen. Dieser Anbieter ist Zscaler.
Vorteile der Zscaler-Lösung
Als einziger Sicherheitsservice-Anbieter verfügt Zscaler über eine Plattform mit ausreichenden Kapazitäten, um zuverlässigen Schutz vor akuten Bedrohungen wie DoS- und DDoS-Angriffen zu gewährleisten. Zscaler Private Access™ (ZPA™) wird im Rahmen der Zscaler Zero Trust Exchange™ bereitgestellt, der weltweit am besten bewerteten und am häufigsten eingesetzten SSE-Plattform (Security Service Edge).
Das einzigartige Design von ZPA basiert auf vier Grundprinzipien:
- Direktverbindungen zwischen Usern und Anwendungen ohne Netzwerkzugang
- Anwendungen sind für unbefugte User nicht sichtbar
- Anwendungssegmentierung statt Netzwerksegmentierung
- Sicherer Remotezugriff ohne VPN-Appliances
ZPA stellt eine einfache, sichere und effektive Methode für den Zugriff auf interne Anwendungen bereit. Der Zugriff basiert auf Richtlinien, die vom IT-Administrator im ZPA-Verwaltungsportal erstellt und in der Zscaler-Cloud gehostet werden. Auf allen User-Geräten wird der Zscaler Client Connector installiert, der den jeweiligen Gerätestatus überwacht und einen sicheren Mikrotunnel zur Zscaler-Cloud erstellt, wenn ein User Zugriff auf eine interne Anwendung anfordert.
Der App Connector von Zscaler wird als VM bereitgestellt und von ZPA neben Anwendungen platziert, die in einer öffentlichen Cloud bzw. im Rechenzentrum ausgeführt werden. Er dient zur Erstellung eines Mikrotunnels zur Zscaler Cloud. Dadurch werden DDoS-Angriffe verhindert, da der Z-Connector ausschließlich ausgehende Verbindungen zur Cloud herstellt und keine eingehenden Verbindungsanfragen empfängt.
Innerhalb der Zscaler-Cloud genehmigt ein Cloud Access Security Broker (CASB)den Zugriff und stellt die Verbindung zwischen User und Anwendung her. ZPA ist komplett Software-definiert, benötigt also keinerlei Appliances. So profitieren User von signifikanten Effizienzgewinnen durch Cloud und Mobilität, ohne dass die Sicherheit ihrer Anwendungen beeinträchtigt wäre. Mit herkömmlichen Netzwerkverbindungen und On-Premise-Firewalls lassen sich diese Vorteile nicht realisieren.