Wie Sie Denial-of-Service-Angriffe überleben Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


27.02.2011 Moritz Jäger*

Wie Sie Denial-of-Service-Angriffe überleben

Denial-of-Service-Attacken können die IT-Infrastruktur eines Unternehmens lahmlegen. Was steckt dahinter und wie können Sie sich schützen?

Operation Payback, so nannten die Aktivisten ihre Angriffe auf Banken und Kreditkartenanstalten. Mit Hilfe einer Armee von Freiwilligen sollten die Server bis zum Zusammenbruch belastet werden, was teilweise auch gelang. Solche Denial-of-Service-Attacken, kurz DoS, sind nicht erst seit Wikileaks auf dem Vormarsch. Im Gegenteil, in einer Studie des Anbieters Arbor Networks zeigt sich, dass vor allem gezielte Attacken in 2010 um mehr als 100 Prozent angestiegen sind.

Im Grunde bedeutet Denial of Service zwar lediglich, dass der Zugriff auf eine Ressource oder einen Dienst nicht mehr möglich ist. Ob der Grund eine Attacke aus dem Web ist, ein besonders gut verlinkter Artikel oder ein Hardware-Fehler, der das Netzwerk lahmlegt, ist dabei durchaus relevant - denn um den Zwischenfall zu überstehen, benötigt man in jedem Fall eine andere Strategie.

In diesem Artikel erläutern wir zunächst die Hintergründe der Angriffsmethoden und zeigen, wie sich Unternehmen auf Attacken vorbereiten können und deren Auswirkungen in den Griff kriegen.

DDOS: WERKZEUG VON ERPRESSEN, KRIMINELLEN UND SELBSTERNANNTEN RÄCHERN Die bekannteste Art des Angriffs von Externen ist zweifelsohne eine Distributed Denial of Service-Attacke, kurz DDoS. Angreifer nutzen dabei einen Verbund an Rechnern, um einen Dienst, meist eine Website, so lange mit Anfragen zu überhäufen, bis die Server unter der Last zusammenbrechen. Als Quellen dienen dafür häufig Botnets, also mit Viren infizierte Rechnerverbunde, die von einer zentralen Stelle Anweisungen erhalten. Der Protest rund um Wikileaks hat allerdings gezeigt, dass Protestierende auch freiwillig ihre Rechnerkapazitäten zur Verfügung stellen, wenn es um eine ihrer Meinung nach gerechte Sache geht.

Das Problem dabei: Denial of Service-Schwachstellen sind in den meisten Systemen und Programmen enthalten und, einmal entdeckt, relativ einfach auszunutzen. Allein der englische Wikipedia-Eintrag zählt dreizehn verschiedene Formen der Attacken. Die Firma Armoraid hat fünf grundsätzliche Definitionen erstellt, an denen man eine aktive DoS-Attacke erkennt:

• Unnötiger Verbrauch eines Großteils der Rechenressourcen, etwa CPU-Leistung, Bandbreite oder Speicherplatz

• Störung von Konfigurationsinformationen, etwa indem die Routing-Informationen verfälscht werden

• Störung der Statusinformationen, etwa indem TCP Sessions zurückgesetzt werden,

• Störung von physikalischen Komponenten, etwa wenn ein Server oder eine Netzwerkkomponente zum Absturz gebracht wird

• Sabotage der Kommunikation zwischen Endstelle und Nutzer, so dass beispielsweise die Verbindung zurückgesetzt wird.

Es bringt übrigens kaum etwas, die jeweiligen Ursprungs-IP-Adressen direkt anzugehen. Neben rechtlichen Problemen sind diese meist gefälscht, wer also meint, proaktiv gegen Angreifer vorgehen zu können, attackiert im schlimmsten Fall selbst andere Systeme. Die Verwendung gefälschter IP-Adressen führt oftmals zu einem so genannten Backscatter-Effekt. Dabei schickt der Server die Pakete an die angegebene IP, da diese aber nicht der Ursprung der Anfrage ist, kann das Gegenüber nichts mit den Paketen anfangen. Spezielle Systeme können diese Pakete erkennen und so indirekt Hinweise zu einer aktiven DDoS-Attacke sammeln. Wie Backscatter funktioniert, erklärt beispielsweise die CAIDA auf dieser Seite in einer Animation.

POPULÄRE ATTACKEN: SYN FLOODS UND SMURF-ANGRIFFE SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer so genannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.

Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist dies kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechenden manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es können folglich keinen neuen Verbindungen initiiert werden.

Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, so dass legitime Anfragen nicht mehr bearbeitet werden können.

Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.

ERSTE HILFE UND GEGENMASSNAHMEN Was kann man also tun, wenn man Opfer eines solchen Angriffs ist? Zunächst muss man wissen, was vor sich geht. Lösungen wie etwa Intrusion Detection/Intrusion Prevention Systeme können bereits dann Alarm schlagen, wenn sich eine Attacke ankündigt - so ist man vorgewarnt und kann unter Umständen noch Gegenmaßnahmen einleiten.

Die einfachste Art der Gegenwehr ist, die verfügbaren Ressourcen so lange zu erhöhen, bis die Angriffe ins Leere laufen. Das klingt in der Theorie zwar gut, in der Praxis kann dies aber schnell zu unüberschaubaren Kosten führen - selbst wenn man skalierbare Cloud-Angebote nutzt.

Zunächst sollte man sich einen Überblick verschaffen, woher die Angriffe kommen und welches System, etwa welche IP, das Ziel der Attacken ist. Sind es nur wenige IPs, kann man diese in seinen Firewall-Systemen blockieren. Ebenso, wenn das Ziel nur einzelne oder wenige Systeme sind - diese kann man mit einer alternativen IP versehen und die Änderungen per DNS neu verteilen.

Das verschafft normalerweise zumindest ein wenig Luft für Reaktionen. In jedem Fall sollte man spätestens jetzt seinen Internetprovider einschalten. Dieser kann unter Umständen die Angriffe bereits in seinem Netzwerk blocken.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: