2Sep
DoS-( Denial of Service) und DDoS-Angriffe( Distributed Denial of Service) werden immer häufiger und potenter. Denial-of-Service-Angriffe gibt es in vielen Formen, aber sie haben einen gemeinsamen Zweck: Sie verhindern, dass Benutzer auf eine Ressource zugreifen, ganz gleich, ob es sich um eine Webseite, E-Mail, das Telefonnetzwerk oder etwas anderes handelt. Werfen wir einen Blick auf die häufigsten Arten von Angriffen auf Webziele und darauf, wie DoS zu DDoS werden kann.
Die häufigsten Arten von Denial-of-Service( DoS) -Attacken
Im Kern wird ein Denial-of-Service-Angriff typischerweise dadurch ausgeführt, dass ein Server - beispielsweise der Server einer Website - so oft überflutet wird, dass er seine Dienste nicht bereitstellen kannlegitime Benutzer. Es gibt einige Möglichkeiten, wie dies durchgeführt werden kann. Die häufigsten sind TCP-Überflutungsangriffe und DNS-Verstärkungsattacken.
TCP-Überflutungsangriffe
Fast der gesamte Webverkehr( HTTP / HTTPS) wird mit dem TCP( Transmission Control Protocol) ausgeführt. TCP hat mehr Overhead als das alternative UDP-Protokoll( User Datagram Protocol), ist jedoch auf Zuverlässigkeit ausgelegt. Zwei über TCP miteinander verbundene Computer bestätigen den Empfang jedes Pakets. Wenn keine Bestätigung bereitgestellt wird, muss das Paket erneut gesendet werden.
Was passiert, wenn ein Computer die Verbindung trennt? Möglicherweise verliert ein Benutzer die Stromversorgung, sein Internetdienstanbieter hat einen Fehler oder die von ihm verwendete Anwendung wird beendet, ohne den anderen Computer zu informieren. Der andere Client muss aufhören, dasselbe Paket erneut zu senden, oder es verschwendet Ressourcen. Um eine nicht endende Übertragung zu verhindern, wird eine Zeitlimitdauer spezifiziert und / oder ein Limit wird festgelegt, wie oft ein Paket erneut gesendet werden kann, bevor die Verbindung vollständig abgebrochen wird.
TCP wurde entwickelt, um im Falle einer Katastrophe eine zuverlässige Kommunikation zwischen den Militärbasen zu ermöglichen, aber gerade dieses Design macht es anfällig für Denial-of-Service-Angriffe. Als TCP erstellt wurde, stellte niemand fest, dass es von mehr als einer Milliarde Client-Geräten verwendet werden würde. Der Schutz gegen moderne Denial-of-Service-Attacken war nur ein Teil des Designprozesses.
Der häufigste Denial-of-Service-Angriff auf Webserver wird durch das Versenden von SYN-Paketen( Synchronisierungen) ausgeführt. Das Senden eines SYN-Pakets ist der erste Schritt zum Initiieren einer TCP-Verbindung. Nach dem Empfang des SYN-Pakets antwortet der Server mit einem SYN-ACK-Paket( Synchronisationsbestätigung).Abschließend sendet der Client ein ACK( Acknowledgement) -Paket und schließt die Verbindung ab.
Wenn der Client jedoch nicht innerhalb einer bestimmten Zeit auf das SYN-ACK-Paket antwortet, sendet der Server das Paket erneut und wartet auf eine Antwort. Es wird diesen Vorgang immer wieder wiederholen, was Speicher- und Prozessorzeit auf dem Server verschwenden kann. Wenn genug getan wird, kann es so viel Speicher und Prozessorzeit verschwenden, dass legitime Benutzer ihre Sitzungen gekürzt bekommen oder neue Sitzungen nicht starten können. Darüber hinaus kann die erhöhte Bandbreitennutzung von allen Paketen Netzwerke sättigen, was dazu führt, dass sie nicht in der Lage sind, den Verkehr zu transportieren, den sie tatsächlich wollen.
DNS-Amplifikationsattacken
Denial-of-Service-Angriffe können auch auf DNS-Server zielen: auf Server, die Domainnamen( wie howtogeek.com) in IP-Adressen( 12.345.678.900) übersetzen, mit denen Computer kommunizieren. Wenn Sie in Ihrem Browser howtogeek.com eingeben, wird es an einen DNS-Server gesendet. Der DNS-Server leitet Sie dann auf die tatsächliche Website. Geschwindigkeit und niedrige Latenz sind Hauptprobleme für DNS, daher arbeitet das Protokoll über UDP statt TCP.DNS ist ein kritischer Teil der Infrastruktur des Internets und die Bandbreite, die von DNS-Anfragen verbraucht wird, ist im Allgemeinen minimal.
Allerdings wuchs DNS langsam, mit neuen Funktionen, die nach und nach hinzugefügt wurden. Dies führte zu einem Problem: DNS hatte eine Paketgröße von 512 Bytes, was für all diese neuen Funktionen nicht ausreichte. So veröffentlichte das IEEE 1999 die Spezifikation für Erweiterungsmechanismen für DNS( EDNS), die die Obergrenze auf 4096 Byte erhöhte, wodurch mehr Informationen in jede Anfrage aufgenommen werden konnten.
Diese Änderung machte DNS jedoch anfällig für "Verstärkungsattacken".Ein Angreifer kann speziell gestaltete Anforderungen an DNS-Server senden, um große Mengen an Informationen anzufordern und um deren Übermittlung an die IP-Adresse des Ziels zu bitten. Eine "Verstärkung" wird erzeugt, weil die Antwort des Servers viel größer ist als die Anfrage, die sie erzeugt, und der DNS-Server sendet seine Antwort an die gefälschte IP.
Viele DNS-Server sind nicht so konfiguriert, dass sie fehlerhafte Anfragen erkennen oder löschen. Wenn also Angreifer wiederholt gefälschte Anfragen senden, wird das Opfer von riesigen EDNS-Paketen überflutet, die das Netzwerk verstopfen. Da so viele Daten nicht verarbeitet werden können, gehen ihre legitimen Daten verloren.
Was ist ein DDoS-Angriff( Distributed Denial of Service)?
Ein Distributed-Denial-of-Service-Angriff ist einer mit mehreren( manchmal unwissenden) Angreifern. Websites und Anwendungen sind so konzipiert, dass sie viele gleichzeitige Verbindungen bewältigen können - schließlich wären Websites nicht sehr nützlich, wenn nur eine Person gleichzeitig zugreifen könnte. Riesige Dienste wie Google, Facebook oder Amazon sind dafür ausgelegt, Millionen oder Dutzende von Millionen gleichzeitiger Benutzer zu verwalten. Aus diesem Grund ist es für einen einzelnen Angreifer nicht möglich, sie mit einem Denial-of-Service-Angriff zu Fall zu bringen. Aber viele Angreifer könnten.
Am häufigsten werden Angreifer über ein Botnet rekrutiert. In einem Botnet infizieren Hacker alle Arten von internetfähigen Geräten mit Malware. Diese Geräte können Computer, Telefone oder sogar andere Geräte in Ihrem Haus sein, wie z. B. DVRs und Überwachungskameras. Sobald sie infiziert sind, können sie diese Geräte( sogenannte Zombies) benutzen, um periodisch einen Befehls- und Kontrollserver zu kontaktieren, um nach Anweisungen zu fragen. Diese Befehle reichen von der Kryptowährung bis hin zur Teilnahme an DDoS-Angriffen. Auf diese Weise brauchen sie nicht eine Tonne von Hackern, um sich zusammenzuschließen - sie können die unsicheren Geräte von normalen Heimbenutzern benutzen, um ihre schmutzige Arbeit zu erledigen.
Andere DDoS-Angriffe können freiwillig durchgeführt werden, normalerweise aus politisch motivierten Gründen. Kunden wie Low Orbit Ion Cannon machen DoS-Angriffe einfach und sind einfach zu verteilen. Beachten Sie, dass es in den meisten Ländern illegal ist, sich( absichtlich) an einem DDoS-Angriff zu beteiligen.
Schließlich können einige DDoS-Angriffe unbeabsichtigt sein. Ursprünglich als Slashdot-Effekt bezeichnet und als "Umarmung des Todes" verallgemeinert, können riesige Mengen legitimen Datenverkehrs eine Website lahmlegen. Wahrscheinlich haben Sie das schon einmal gesehen - eine beliebte Site führt zu einem kleinen Blog und ein großer Zustrom von Nutzern bringt die Seite versehentlich zum Absturz. Technisch wird dies immer noch als DDoS klassifiziert, auch wenn es nicht beabsichtigt oder böswillig ist.
Wie kann ich mich vor Denial-of-Service-Attacken schützen?
Typische Benutzer müssen sich nicht darum kümmern, dass sie das Ziel von Denial-of-Service-Angriffen sind. Mit Ausnahme von Streamern und Pro-Gamern ist es sehr selten, dass ein DoS auf eine Person gerichtet ist. Nichtsdestoweniger sollten Sie weiterhin alles tun, um Ihre Geräte vor Malware zu schützen, die Sie zu einem Botnet machen könnte.
Wenn Sie jedoch Administrator eines Webservers sind, gibt es eine Fülle von Informationen darüber, wie Sie Ihre Dienste gegen DoS-Angriffe absichern können. Serverkonfiguration und Appliances können einige Angriffe abmildern. Andere können verhindert werden, indem sichergestellt wird, dass nicht authentifizierte Benutzer keine Vorgänge ausführen können, für die erhebliche Serverressourcen erforderlich sind. Leider hängt der Erfolg einer DoS-Attacke am häufigsten davon ab, wer die größere Pipe hat. Dienste wie Cloudflare und Incapsula bieten Schutz vor Websites, können aber teuer sein.
