Denial of Service: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
K Textersetzung - „Man-Pages“ durch „Man-Page“
 
(97 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
== Beschreibung ==
== Beschreibung ==
[[Datei:Stachledraht DDos Attack.svg|mini|Schema eines mittels des DDoS-Clients ''Stacheldraht'' ausgeführten DDoS-Angriffs]]
[[Datei:Stachledraht DDos Attack.svg|mini|Schema eines mittels des DDoS-Clients ''Stacheldraht'' ausgeführten DDoS-Angriffs]]
'''Denial of Service''' ('''DoS'''; [[Englische Sprache|englisch]] für „Verweigerung des Dienstes“) bezeichnet in der [[Informationstechnik]] die Nichtverfügbarkeit eines [[Internetdienst]]es, der eigentlich verfügbar sein sollte.
* Häufigster Grund ist die Überlastung des [[Datennetz]]es.
* Das kann unbeabsichtigt verursacht werden oder durch einen konzertierten Angriff auf die [[Server]] oder sonstige Komponenten des Datennetzes erfolgen.
Im Fall einer durch eine Vielzahl von gezielten Anfragen verursachten, mutwilligen Dienstblockade spricht man von einer ''Denial-of-Service-Attacke'' und, wenn die Anfragen von einer großen Zahl an Rechnern aus durchgeführt werden, von einer '''Distributed-Denial-of-Service attack''' ('''DDoS-Angriff''', deutsch wörtlich ''verteilter Dienstverweigerungsangriff'').
* Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
; Der Mechanismus eines DoS-Angriffs ist recht einfach: Er zielt darauf ab, die Kapazität des Angriffsziels durch Datenverkehr zu überlasten.
* Die spezifische Art und Weise, wie ein solcher Angriff ausgeführt wird, hängt von der Schwachstelle des Zielsystems ab.
; Eine Möglichkeit besteht beispielsweise darin, viele Anfragen mit gefälschten Rücksendeadressen (d.h. sie sind Junk) an einen Server zu senden.
* Dies macht es dem Server unmöglich, die Herkunft der Anfragen zu überprüfen.
* Dies kann dazu führen, dass ein Server einfach seine RAM- oder CPU-Kapazität erschöpft und abstürzt.
; Es gibt eine Vielzahl von verschiedenen DoS-Angriffen.
* Je nach Angriffsvektor zielen DoS-Angriffe entweder auf die Überflutung oder den Absturz eines Systems ab.
* Die drei Haupttypen von DoS-Angriffen sind:
* '''Angriffe auf der Anwendungsebene''' zielen darauf ab, eine bestimmte Anwendung oder einen Dienst zum Absturz zu bringen und nicht das gesamte Netz.
* Dies wird in der Regel dadurch erreicht, dass die Anwendung mit bösartigen HTTP-Anfragen überflutet wird und nicht mehr reagieren kann.
* Angriffe auf der Anwendungsschicht werden in Anfragen pro Sekunde (RPS) gemessen.
* '''Angriffe auf der Protokoll'''– oder Netzwerkebene nutzen Schwachstellen in Netzwerkprotokollen und -verfahren aus, indem sie auf die Infrastruktur und Netzwerkverwaltungs-Tools abzielen.
* Sie zielen darauf ab, ein ganzes Netz und nicht nur eine einzelne Anwendung zu stören.
* Diese Angriffe werden in Paketen pro Sekunde (PPS) oder Bits pro Sekunde (BPS) gemessen.
* '''Volumetrische Angriffe''' sind die häufigste Art von DoS-Angriffen.
* Dabei wird versucht, die Bandbreitenkapazität eines Ziels zu überlasten, indem es mit gefälschten Anfragen überflutet wird.
* Dies führt zu einer Überlastung des Netzes und macht es für den legitimen Datenverkehr unmöglich, dieses zu passieren.
* Das Ausmaß dieser Angriffe wird in Bits pro Sekunde (BPS) gemessen.
; Sind DoS-Angriffe gefährlich?
DoS-Angriffe führen zwar in der Regel nicht zu Datendiebstahl oder -verlust (es sei denn, sie werden mit anderen Angriffen kombiniert), können aber den Dienst für Stunden oder sogar Monate lahmlegen.


'''Denial of Service''' ('''DoS'''; [[Englische Sprache|englisch]] für „Verweigerung des Dienstes“) bezeichnet in der [[Informationstechnik]] die Nichtverfügbarkeit eines [[Internetdienst]]es, der eigentlich verfügbar sein sollte.  
; Was ist eine „Dienstverweigerung“?
* Häufigster Grund ist die Überlastung des [[Datennetz]]es.  
* Eine Dienstverweigerung liegt vor, wenn einem rechtmäßigen Benutzer der Zugriff auf ein Netzwerk, ein System, ein Gerät oder andere Ressourcen verweigert wird, auf die er sonst zugreifen darf.
* Das kann unbeabsichtigt verursacht werden oder durch einen konzertierten Angriff auf die [[Server]] oder sonstige Komponenten des Datennetzes erfolgen.
* Das kann ihre E-Mail, ihr E-Banking-Konto, öffentliche Online-Dienste usw. umfassen.
Eine Dienstverweigerung kann das Ergebnis eines Cyberangriffs sein, der als Denial-of-Service-Attacke (DoS-Angriffe) bekannt ist und dessen ausdrückliches Ziel es ist, diesen Effekt zu erzielen.


Im Fall einer durch eine Vielzahl von gezielten Anfragen verursachten, mutwilligen Dienstblockade spricht man von einer ''Denial-of-Service-Attacke'' und, wenn die Anfragen von einer großen Zahl an Rechnern aus durchgeführt werden, von einer '''Distributed-Denial-of-Service attack''' ('''DDoS-Angriff''', deutsch wörtlich ''verteilter Dienstverweigerungsangriff'').  
; Herkömmliche Überlastungen
* Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte [[Website|Webseite]] aufgrund der Berichterstattung in einem publikumswirksamen [[Massenmedien|Medium]] zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im [[Netzjargon]] auch „[[Slashdot-Effekt]]“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen.
* Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite [[heise online]] und der dort gelegentlich auftretende „Heise-Effekt“.


== Absichtlich herbeigeführte Serverüberlastungen ==
=== Was ist Denial-of-Service? ===
Wenn eine Überlastung mutwillig herbeigeführt wird, dann geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte [[Netzwerkdienst|Dienste]] funktionsunfähig zu machen.  
Ein Denial-of-Service (DoS) liegt vor, wenn ein Dienst, eine Website oder ein Netzwerk für die vorgesehenen Benutzer, die ansonsten ein Recht auf Zugang haben, nicht verfügbar ist.
* War dies ursprünglich vor allem eine Form von Protest oder Vandalismus, werden Denial-of-Service-Attacken mittlerweile von [[Internetkriminalität|Cyber-Kriminellen]] zum Kauf angeboten, um Konkurrenten zu schädigen.
* Dies kann die Folge eines Denial-of-Service-Angriffs sein.
* Ebenso werden Serverbetreiber zu einer Geldzahlung erpresst, damit ihr Internetangebot wieder erreichbar wird.<ref>[http://www.viruslist.com/de/analysis?pubid=200883656 ''Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle.''] In: ''Viruslist.com''</ref>


==== Wie funktionieren Denial-of-Service-Angriffe? ====
Im Allgemeinen wird bei DoS-Angriffen versucht, einen Dienst durch große Mengen an Datenverkehr zu überschwemmen oder zum Absturz zu bringen, oder es werden Schwachstellen in der Netzwerkkonfiguration oder Infrastruktur des Systems ausgenutzt.


==== Ist ein Denial-of-Service-Angriff (DoS) dasselbe wie ein verteilter Denial-of-Service-Angriff (DDoS)? ====
Beide Angriffe zielen auf dasselbe Ziel ab, aber während bei einem DoS nur ein Rechner (oder eine Quelle) verwendet wird, nutzt ein DDoS die Leistung von Hunderten und Tausenden von Rechnern, um seine Ziele zu erreichen.


[[Kategorie:Entwurf]]
=== Relevanz ===
==== Häufigkeit ====
; Angriffe mit breiten Auswirkungen haben sich zwischen 2015 und 2016 nahezu verdoppelt.
* Vor allem unsichere [[Internet of Things|IoT]]-Geräte stellen eine zunehmende Gefahr dar.
* Ein [[Mirai (Computerwurm)|Mirai]]-Ableger sorgte 2016 für eine Großstörung im Netz der Deutschen Telekom.
* Im selben Jahr gab es breit angelegte Attacken auf die Webseiten der Kandidaten im US-Präsidentschaftswahlkampf sowie einen Angriff auf den DNS-Dienstleister Dyn, durch den ein Wochenende lang unter anderem Twitter, Netflix und Spotify nicht erreichbar waren.
Das [[World Wide Web Consortium]] erfuhr vom 28. Februar bis 2. März 2022 schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum [[Russischer Überfall auf die Ukraine 2022|Angriff auf die Ukraine]] nicht eindeutig dokumentiert ist.
; Zunehmende Vernetzung von immer mehr Geräten stellt neue Herausforderungen an die IT-Sicherheit
* Das Prinzip „Security by Design“, wonach IT-Sicherheit bei der Soft- und Hardwareentwicklung von Anfang an berücksichtigt wird, kann hier Abhilfe schaffen.
* Auch die Installation von Sicherheitsupdates, um Sicherheitslücken rechtzeitig zu schließen, ist eine wichtige Komponente.


=== Funktionsweise ===
==== DoS-Angriff ====
DoS-Angriffe wie [[SYN-Flood]]ing oder der [[Smurf-Angriff]] belasten den Internetzugang, das Betriebssystem oder die Dienste eines [[Hostrechner|Hosts]], beispielsweise [[Hypertext Transfer Protocol|HTTP]], mit einer größeren Anzahl Anfragen als diese verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden.  
; Definition DoS-Angriff
* Wenn möglich, ist es effizienter, [[Programmfehler]] auszunutzen, um eine Fehlerfunktion (wie einen [[Absturz (Computer)|Absturz]]) der Serversoftware auszulösen, worauf diese auf Anfragen nicht mehr reagiert.  
* Ein Denial-of-Service-Angriff ist die absichtliche Überflutung einer Maschine oder eines Netzwerks mit gefälschtem Datenverkehr, um sie zu überlasten und ihren Dienst nicht verfügbar zu machen.
* Beispiele sind [[WinNuke]], die [[Land-Attacke]], die [[Teardrop-Attacke]] oder der [[Ping of Death]].
* Dies kann dazu führen, dass der Zielserver abstürzt oder einfach nicht mehr in der Lage ist, auf legitime Anfragen zu reagieren.
; Denial-of-Service-Angriffe führen in der Regel nicht zu einer Beeinträchtigung des Systems, zu Datenverlust oder Diebstahl.
* Ein DoS-Angriff kann jedoch einen erheblichen Zeit- und Ressourcenverlust für den angegriffenen Dienst verursachen, da er zwischen einigen Stunden und mehreren Monaten dauern kann.
* Im Gegensatz zu einem verteilten Denial-of-Service-Angriff (DDoS) wird ein DoS-Angriff über einen einzelnen Rechner ausgeführt.
 
==== DoS-Angriff und DDoS-Angriff ====
Der Hauptunterschied zwischen einem DoS- und einem DDoS-Angriff (Distributed Denial of Service) liegt in der Anzahl der verwendeten Systeme oder Geräte.
* Normalerweise hat ein DoS-Angriff eine einzige IP-Adresse als Quelle.
* Im Gegensatz dazu wird ein DDoS-Angriff von mehreren synchronisierten Adressen gestartet, was die Abwehr erheblich erschwert.
Auf diese Weise hat ein DDoS-Angriff mehrere Vorteile gegenüber einem DoS-Angriff:
* Es wird eine größere Anzahl von Rechnern zur Ausführung des Angriffs verwendet.
* Die Angriffsquellen sind weit verstreut, manchmal sogar weltweit, was es schwierig macht, den Angriff zu erkennen, einzudämmen und schließlich zu stoppen.
* Aufgrund der Vielzahl der beteiligten Systeme ist es schwierig, den tatsächlichen Angreifer zu ermitteln.
Eine Möglichkeit, einen DDoS-Angriff auszuführen, ist über ein so genanntes Botnet.
* Ein Botnet ist eine Gruppe von kompromittierten Geräten, die mit dem Internet verbunden sind und vom Angreifer kontrolliert werden.
Mit Hilfe von Command-and-Control-Software können Angreifer Geräte mit fehlerhaften oder fehlenden Sicherheitsvorkehrungen übernehmen und diese dazu verwenden, das Ziel mit Anfragen zu überfluten.
* Das bedeutet, dass der Angreifer nicht alle für einen DDoS-Angriff erforderlichen Geräte besitzen muss, sondern anfällige Geräte übernehmen und diese nutzen kann.
Mit dem Aufkommen des Internets der Dinge (Internet of Things, IoT) sind DDoS-Angriffe deutlich häufiger und einfacher geworden, da viele IoT-Geräte ungeschützt sind und leicht übernommen werden können.
* In einigen Fällen umfasst ein Botnetz Hunderttausende von Geräten.
Aufgrund der Effektivität dieser Angriffe kam es in den letzten Jahren zu einer starken Zunahme von DoS- und DDoS-Angriffen und sogar zu DoS/DDoS als Dienstleistung, die von Hackern angeboten wird.


Im Unterschied zu anderen Angriffen will der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine [[Passwort|Passwörter]] oder Ähnliches vom Zielrechner.  
=== Absichtlich herbeigeführte Serverüberlastungen ===
* Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:
Wenn eine Überlastung mutwillig herbeigeführt wird, dann geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte [[Netzwerkdienst|Dienste]] funktionsunfähig zu machen.
* War dies ursprünglich vor allem eine Form von Protest oder Vandalismus, werden Denial-of-Service-Attacken mittlerweile von [[Internetkriminalität|Cyber-Kriminellen]] zum Kauf angeboten, um Konkurrenten zu schädigen.
* Ebenso werden Serverbetreiber zu einer Geldzahlung erpresst, damit ihr Internetangebot wieder erreichbar wird.


* Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt.  
==== Funktionsweise ====
; DoS-Angriffe wie [[SYN-Flood]]ing oder der [[Smurf-Angriff]] belasten den Internetzugang, das Betriebssystem oder die Dienste eines [[Hostrechner|Hosts]], beispielsweise [[Hypertext Transfer Protocol|HTTP]], mit einer größeren Anzahl Anfragen als diese verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden.
* Wenn möglich, ist es effizienter, [[Programmfehler]] auszunutzen, um eine Fehlerfunktion (wie einen [[Absturz (Computer)|Absturz]]) der Serversoftware auszulösen, worauf diese auf Anfragen nicht mehr reagiert.
* Beispiele sind [[WinNuke]], die [[Land-Attacke]], die [[Teardrop-Attacke]] oder der [[Ping of Death]].
; Im Unterschied zu anderen Angriffen möchte der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine [[Passwort|Passwörter]] oder Ähnliches vom Zielrechner
Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:
* Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt.
* Dies soll dafür sorgen, dass das mit der [[Administrator (Rolle)|Administration]] betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist oder die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
* Dies soll dafür sorgen, dass das mit der [[Administrator (Rolle)|Administration]] betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist oder die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
* Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten [[Technische Kompromittierung|kompromittiert]] werden.  
* Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten [[Technische Kompromittierung|kompromittiert]] werden.
* Beispiel hierfür ist das [[Hijacking]] fremder [[Domain (Internet)|Domains]] durch Liefern gefälschter [[Domain Name System|DNS]]-Antworten.
* Beispiel hierfür ist das [[Hijacking]] fremder [[Domain (Internet)|Domains]] durch Liefern gefälschter [[Domain Name System|DNS]]-Antworten.


=== Distributed-Reflected-Denial-of-Service-Angriff ===
==== Distributed-Reflected-Denial-of-Service-Angriff ====
Eine besondere Form stellt der ''Distributed-Reflected-Denial-of-Service-Angriff'' (DRDoS-Angriff) dar.  
; Eine besondere Form stellt der ''Distributed-Reflected-Denial-of-Service-Angriff'' (DRDoS-Angriff) dar.
* Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als [[IP-Adresse|Absenderadresse]] die des Opfers ein ([[IP-Spoofing]]).  
* Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als [[IP-Adresse|Absenderadresse]] die des Opfers ein ([[IP-Spoofing]]).
* Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar.  
* Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar.
* Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar.  
* Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar.
* Ein Beispiel für einen solchen Angriff ist die [[DNS Amplification Attack]], bei der das [[Domain Name System]] als [[Spiegel|Reflektor]] missbraucht wird.
* Ein Beispiel für einen solchen Angriff ist die [[DNS Amplification Attack]], bei der das [[Domain Name System]] als [[Spiegel|Reflektor]] missbraucht wird.
 
; Weitere bekannte Methoden sind der [[Smurf-Angriff|Smurf-]] und der Fraggle-Angriff, bei denen ein Paket mit der IP-Adresse des Opfers als Absender an die Broadcast-Adresse eines Netzwerks gesendet wird.
Weitere bekannte Methoden sind der [[Smurf-Angriff|Smurf-]] und der Fraggle-Angriff, bei denen ein Paket mit der IP-Adresse des Opfers als Absender an die Broadcast-Adresse eines Netzwerks gesendet wird.  
* Das bewirkt, dass das Paket um die Anzahl der Geräte im Netzwerk vervielfacht und an das Opfer zurückgeschickt wird.
* Das bewirkt, dass das Paket um die Anzahl der Geräte im Netzwerk vervielfacht und an das Opfer zurückgeschickt wird.
[[Email-Backscatter]] wird eingesetzt, um nach einem ähnlichen Verfahren das E-Mail-Postfach eines Opfers zu füllen.
[[Email-Backscatter]] wird eingesetzt, um nach einem ähnlichen Verfahren das E-Mail-Postfach eines Opfers zu füllen.


=== DDoS und Botnetze ===
==== DDoS und Botnetze ====
Mutwillige DDoS-Angriffe werden oft (aber nicht ausschließlich, siehe [[#DDoS als Protestaktion|DDoS als Protestaktion]]) mit Hilfe von [[Backdoor]]-Programmen oder Ähnlichem durchgeführt.  
; Mutwillige DDoS-Angriffe werden oft (aber nicht ausschließlich, siehe [[#DDoS als Protestaktion|DDoS als Protestaktion]]) mit Hilfe von [[Backdoor]]-Programmen oder Ähnlichem durchgeführt.
* Diese Backdoor-Programme werden in der Regel von [[Trojanisches Pferd (Computerprogramm)|Trojanern]] auf nicht ausreichend geschützten Rechnern installiert und versuchen selbstständig, weitere Rechner im Netzwerk zu [[Computervirus#Infektionsarten|infizieren]], um so ein [[Botnet]]z aufzubauen.  
* Diese Backdoor-Programme werden in der Regel von [[Trojanisches Pferd (Computerprogramm)|Trojanern]] auf nicht ausreichend geschützten Rechnern installiert und versuchen selbstständig, weitere Rechner im Netzwerk zu [[Computervirus#Infektionsarten|infizieren]], um so ein [[Botnet]]z aufzubauen.
* Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt.  
* Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt.
* Die Steuerung des Angriffs erfolgt über [[Internet Relay Chat|IRC]], [[Hypertext Transfer Protocol|HTTP]] oder mittels eines [[Peer-to-Peer|Peer-to-Peer-Netzes]].
* Die Steuerung des Angriffs erfolgt über [[Internet Relay Chat|IRC]], [[Hypertext Transfer Protocol|HTTP]] oder mittels eines [[Peer-to-Peer|Peer-to-Peer-Netzes]].


=== DDoS und Internet der Dinge ===
==== DDoS und Internet der Dinge ====
Mit zunehmender Bedeutung des [[Internet der Dinge|Internets der Dinge]] werden für DDoS-Angriffe auch Geräte missbraucht, die auf den ersten Blick harmlos wirken: Internet-fähige Fernsehrekorder, Set-Top-Boxen, Fernseher, Überwachungskameras oder Uhren.  
; Mit zunehmender Bedeutung des [[Internet der Dinge|Internets der Dinge]] werden für DDoS-Angriffe auch Geräte missbraucht, die auf den ersten Blick harmlos wirken: Internet-fähige Fernsehrekorder, Set-Top-Boxen, Fernseher, Überwachungskameras oder Uhren.
* Die Geräte werden oft mit Standard-Passwörtern ausgeliefert und ihre [[Firmware]] selten aktualisiert, was sie zu attraktiven Zielen für automatisierte Angriffe aus dem Internet macht.<ref>Hintergrundbericht von Brian Krebs: [https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/ ''Who Makes the IoT Things Under Attack?''] In: ''krebsonsecurity.com''.  
* Die Geräte werden oft mit Standard-Passwörtern ausgeliefert und ihre [[Firmware]] selten aktualisiert, was sie zu attraktiven Zielen für automatisierte Angriffe aus dem Internet macht.
* Abgerufen 5.
* Einmal infiziert, können sie ähnlich wie Rechner eines [[Botnet]]zes orchestriert werden.
* Oktober 2016.</ref> Einmal infiziert, können sie ähnlich wie Rechner eines [[Botnet]]zes orchestriert werden.


=== DDoS als Protestaktion ===
==== DDoS als Protestaktion ====
Als Form des Protestes sind DDoS-Attacken immer populärer geworden.  
; Als Form des Protestes sind DDoS-Attacken immer populärer geworden.
* Einfach zu bedienende Werkzeuge wie zum Beispiel die populäre [[Low Orbit Ion Cannon]] ermöglichen es nun auch nicht computerversierten Personen, den Betrieb fremder Computer, Websites und Dienste mit Denial-of-Service-Angriffen zu stören.
* Einfach zu bedienende Werkzeuge wie zum Beispiel die populäre [[Low Orbit Ion Cannon]] ermöglichen es nun auch nicht computerversierten Personen, den Betrieb fremder Computer, Websites und Dienste mit Denial-of-Service-Angriffen zu stören.
 
Befürworter dieser Form des Protestes argumentieren, dass bei [[Online-Demonstration]]en die Protestierenden nur ihre eigenen Ressourcen verwenden und deren Aktionen somit weder das Tatbestandsmerkmal der [[Gewalt]] noch eine Drohung mit einem empfindlichen Übel aufweisen.
Befürworter dieser Form des Protestes argumentieren, dass bei [[Online-Demonstration]]en die Protestierenden nur ihre eigenen Ressourcen verwenden und deren Aktionen somit weder das Tatbestandsmerkmal der [[Gewalt]] noch eine Drohung mit einem empfindlichen Übel aufweisen.  
* Daher sei diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.
* Daher sei diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.<ref>Achim Sawall: [http://www.golem.de/news/petition-anonymous-fordert-legalisierung-von-ddos-attacken-1301-96830.html ''Anonymous fordert Legalisierung von DDoS-Attacken.''] In: ''[[golem.de]]''. 10.
* Januar 2013, abgerufen am 28.
* März 2013.</ref>
 
In Deutschland ist bereits der Versuch der Störung als [[Computersabotage]] strafbar, siehe dazu Abschnitt [[#Rechtliche Situation|Rechtliche Situation]].
In Deutschland ist bereits der Versuch der Störung als [[Computersabotage]] strafbar, siehe dazu Abschnitt [[#Rechtliche Situation|Rechtliche Situation]].


=== DDoS von Staaten ===
==== DDoS von Staaten ====
Auch Staaten nutzten DDoS-Attacken, um unliebsame Websites, zumindest vorübergehend, lahmzulegen.  
; Auch Staaten nutzten DDoS-Attacken, um unliebsame Websites, zumindest vorübergehend, lahmzulegen.
* Die [[Volksrepublik China]] hat dazu die sogenannte [[Great Cannon of China]] erstellt und greift Websites an, die Tools anbieten, um die [[Projekt Goldener Schild|Great Firewall]] zu umgehen.
* Die [[Volksrepublik China]] hat dazu die sogenannte [[Great Cannon of China]] erstellt und greift Websites an, die Tools anbieten, um die [[Projekt Goldener Schild|Great Firewall]] zu umgehen.


=== Beispiele ===
=== Bekannte Angiffe ===
Im Folgenden werden acht bekannte Beispiele zu absichtlich herbeigeführten Serverüberlastungen aufgeführt.
; Bekannte Beispiele zu absichtlich herbeigeführten Serverüberlastungen


* August 2008: Die Webseite des [[Georgien|georgischen]] Präsidenten [[Micheil Saakaschwili]] ist nicht mehr erreichbar.<ref>[http://www.spiegel.de/netzwelt/web/0,1518,572033,00.html ''Hack-Attacke auf Georgien: Ehrenamtliche Angriffe.''] In: ''[[Spiegel Online]]'', 14.&nbsp;August 2008</ref>
{| class="wikitable sortable options"
* Anfang Juli 2009: [[Südkorea]]nische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar.  
|-
* Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.<ref>[https://amp.diepresse.com/493971 ''Hacker-Attacke auf Südkorea: Österreich unter Verdacht.''] In: ''[[DiePresse.com]]'', 10.&nbsp;Juli 2009</ref>
! Option !! Beschreibung
* 6.  
|-
* bis 8.  
| August 2008 || Die Webseite des [[Georgien|georgischen]] Präsidenten [[Micheil Saakaschwili]] ist nicht mehr erreichbar.
* Dezember 2010: Als Reaktion auf Sperrungen von [[WikiLeaks]]-Konten bei der [[Postfinance]] wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Websites angegriffen und – bis auf die Amazon-Site – zeitweise in die Knie gezwungen.<ref>{{Internetquelle |url=http://www.20min.ch/news/dossier/wikileaks/story/12595939 |titel=„Shame on you, Postfinance“ (Update) |werk=20min.ch |datum=2010-12-07 |abruf=2010-12-07}}</ref><ref>{{Internetquelle |url=http://www.n24.de/news/newsitem_6506110.html |titel=„Wikileaks-Gegner“ von Hackern bombardiert (Update) |werk=20min.ch |datum=2010-12-09 |archiv-url=https://web.archive.org/web/20101211060851/http://www.n24.de/news/newsitem_6506110.html |archiv-datum=2010-12-11  |abruf=2010-12-09}}</ref>
|-
* 18.  
| Anfang Juli 2009 || [[Südkorea]]nische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar.
* Mai 2012: Die Website der Stadt [[Frankfurt am Main]] wurde im Rahmen der [[Blockupy]]-Proteste durch [[Anonymous (Kollektiv)|Anonymous]] attackiert und war zeitweise nicht mehr erreichbar.<ref>{{Webarchiv |url=http://frankfurter-blog.de/2012/05/anonymous-attackiert-website-der-stadt-frankfurt |text=''Anonymous attackiert Website der Stadt Frankfurt.'' |wayback=20120724114124  }} In: ''Frankfurter-Blog'', 18.
* Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.
* Mai 2012</ref>
|-
* ab September 2012: Angriffe auf amerikanische Banken<ref>[http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html ''Bank Hacking Was the Work of Iranians, Officials Say.''] In: ''nytimes.com''</ref>
| 6. bis 8. Dezember 2010 || Als Reaktion auf Sperrungen von [[WikiLeaks]]-Konten bei der [[Postfinance]] wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Websites angegriffen und – bis auf die Amazon-Site – zeitweise in die Knie gezwungen.
* 19.  
|-
* März 2013: Ein Streit zwischen der Plattform Spamhaus und vermutlich dem anonymen Hoster Cyberbunker führte zum derzeit größten bekannten DDoS-Angriff via DNS-Amplification/-Reflection, dem auf Grund geschickter PR durch [[Cloudflare]], dem Website-[[Proxy (Rechnernetz)|Proxy]] von Spamhaus, kurzfristig nachgesagt wurde, er hätte {{"|das Internet spürbar verlangsamt}}.<ref>[http://www.spiegel.de/netzwelt/web/spamhaus-vs-cyberbunker-ddos-attacken-bremst-internet-a-891177.html ''Gigantische DDoS-Attacke: Spam-Streit bremst das komplette Internet.''] In: ''Spiegel Online'', 27.
| 18. Mai 2012 || Die Website der Stadt [[Frankfurt am Main]] wurde im Rahmen der [[Blockupy]]-Proteste durch [[Anonymous (Kollektiv)|Anonymous]] attackiert und war zeitweise nicht mehr erreichbar.
* März 2013</ref> Bei etwa 300 Gigabit pro Sekunde anfragenden DNS-Server ist dies, im Vergleich zu Spitzen von 2,5 Terabit/s alleine im [[DE-CIX]], unwahrscheinlich und wird vom Fachdienst Renesys lediglich als „lokaler Angriff“ eingeordnet.<ref>[http://www.golem.de/news/ddos-angriffe-spamhaus-attacke-erschuettert-das-internet-nicht-1303-98440.html ''Spamhaus Attacke erschüttert das Internet nicht.''] In: ''golem.de'', abgerufen am 24.
|-
* Juli 2013.</ref>
| ab September 2012 || Angriffe auf amerikanische Banken
* 21.  
|-
* Oktober 2016: Der Internetdienstleister Dyn wurde ab 7 Uhr, beginnend an der [[Ostküste der Vereinigten Staaten|Ostküste der USA]], [[DDoS-Angriffe auf Dyn|Ziel einer DDoS-Attacke]], die die Angebote namhafter Dyn-Kunden wie [[Twitter]], [[Netflix]], [[Spotify]], [[Airbnb]], [[Reddit]] und anderer teilweise außer Funktion setzte.  
| 19. März 2013 || Ein Streit zwischen der Plattform Spamhaus und vermutlich dem anonymen Hoster Cyberbunker führte zum derzeit größten bekannten DDoS-Angriff via DNS-Amplification/-Reflection, dem auf Grund geschickter PR durch [[Cloudflare]], dem Website-[[Proxy-Server|Proxy]] von Spamhaus, kurzfristig nachgesagt wurde, er hätte {{"|das Internet spürbar verlangsamt}}. Bei etwa 300 Gigabit pro Sekunde anfragenden DNS-Server ist dies, im Vergleich zu Spitzen von 2,5 Terabit/s alleine im [[DE-CIX]], unwahrscheinlich und wird vom Fachdienst Renesys lediglich als „lokaler Angriff“ eingeordnet.
* Neu an dem Angriff, der in mehreren Wellen über den Tag erfolgte, war, dass er sich offenbar auf eine Infrastruktur aus ferngesteuerten Geräten stützte, die zum [[Internet der Dinge]] gehören.<ref>Nicole Perlroth: [http://www.nytimes.com/2016/10/22/business/internet-problems-attack.html ''Hackers Used New Weapons to Disrupt Major Websites Across U.S.''] In: ''New York Times'', 21.
|-
* Oktober 2016</ref>
| 21. Oktober 2016 || Der Internetdienstleister Dyn wurde ab 7 Uhr, beginnend an der [[Ostküste der Vereinigten Staaten|Ostküste der USA]], [[DDoS-Angriffe auf Dyn|Ziel einer DDoS-Attacke]], die die Angebote namhafter Dyn-Kunden wie [[Twitter]], [[Netflix]], [[Spotify]], [[Airbnb]], [[Reddit]] und anderer teilweise außer Funktion setzte.
* 28.  
* Neu an dem Angriff, der in mehreren Wellen über den Tag erfolgte, war, dass er sich offenbar auf eine Infrastruktur aus ferngesteuerten Geräten stützte, die zum [[Internet der Dinge]] gehören.
* Februar 2018: Der Online-Dienst [[GitHub]] wird gegen Mittag von einer neuen Form einer DDoS-Attacke, der ''Memcached Amplification Attack'', getroffen.  
|-
* Dabei wurden pro Sekunde 1,35 Terabit an Daten an den Server geschickt.  
* 28. Februar 2018: Der Online-Dienst [[GitHub]] wird gegen Mittag von einer neuen Form einer DDoS-Attacke, der ''Memcached Amplification Attack'', getroffen.
* Nach 8 Minuten konnte der Angriff durch Eingreifen des Dienstleisters ''Akamai'' beendet werden.<ref>[https://derstandard.at/2000075316595/1-35-Terabit-pro-Sekunde-Weltgroesste-DDoS-Attacke-gegen-Github "1,35 Terabit pro Sekunde: Weltgrößte DDoS-Attacke gegen Github"] Der Standard vom 2.  
* Dabei wurden pro Sekunde 1,35 Terabit an Daten an den Server geschickt.
* März 2018</ref>
* Nach 8 Minuten konnte der Angriff durch Eingreifen des Dienstleisters ''Akamai'' beendet werden.
* Im Rahmen des [[Russischer Überfall auf die Ukraine 2022|Russischen Überfalls auf die Ukraine 2022]] kam es zunächst zu [[Russischer Überfall auf die Ukraine 2022#DDoS-Attacken|DDoS-Attacken auf die Ukraine]], denen dann umgekehrt Angriffe auf russische Regierungseinrichtungen und Medien folgten, wobei private Hackergruppen aus aller Welt beteiligt sind.<ref>Oliver Wietlisbach: [https://www.it-markt.ch/cybersecurity/2022-03-08/anonymous-und-die-it-army-der-ukraine-im-cyberkrieg-gegen-russland ''Anonymous und die „IT-Army der Ukraine“ im Cyberkrieg gegen Russland.''] In: [[IT-Markt]], 8.
|}
* März 2022, abgerufen am 27.
* März 2022; Markus Reuter: [https://netzpolitik.org/2022/hacktivism-im-krieg-zwischen-digitaler-sitzblockade-und-cyberwar/ ''Hacktivism im Krieg: Zwischen digitaler Sitzblockade und Cyberwar.''] In: [[netzpolitik.org]], 28.
* Februar 2022, abgerufen am 27.
* März 2022; [https://alltechnews.de/russland-veroeffentlicht-liste-von-ips-und-domains-die-seine-infrastruktur-mit-ddos-attacken-angreifen-9508 ''Russland veröffentlicht Liste von IPs und Domains, die seine Infrastruktur mit DDoS-Attacken angreifen.''] alltechnews.de, 4.
* März 2022.
* Abgerufen am 27.
* März 2022; [https://www.ispk.uni-kiel.de/de/aktuelles/volltexte/vier-wochen-nach-kriegseroeffnung ''Wie ist die militärische Lage in der Ukraine einzuschätzen?''] Institut für Sicherheitspolitik an der Universität Kiel, 21.
* März 2022, abgerufen am 27.
* März 2022.</ref>


Das Content Delivery Network Akamai stellte eine Steigerung der Angriffe vom vierten Quartal 2013 zum ersten Quartal 2014 um 39 % fest, zum Vorjahresquartal sind es 47 %.
Im Rahmen des [[Russischer Überfall auf die Ukraine 2022|Russischen Überfalls auf die Ukraine 2022]] kam es zunächst zu [[Russischer Überfall auf die Ukraine 2022#DDoS-Attacken|DDoS-Attacken auf die Ukraine]], denen dann umgekehrt Angriffe auf russische Regierungseinrichtungen und Medien folgten, wobei private Hackergruppen aus aller Welt beteiligt sind.
* Der Sicherheitsspezialist Imperva berichtet, dass ein Drittel aller Netzwerk-DDoS-Ereignisse ein Volumen von mehr als 10 Gbit/s haben. {{"|Diese Angriffe werden von Jahr zu Jahr aggressiver und umgehen DDoS-Schutzmaßnahmen.}}<ref>laut Sebastian Schreiber, Geschäftsführer des Sicherheitsspezialisten SySS</ref> Zweck solcher Angriffe sind meist Erpressung, Schädigung eines Konkurrenten oder Infiltration des Zielsystems.
* Es gibt über Stunden gehende Angriffe mit 180 Gbit/s, die selbst Providernetze überfordern.
* Manche Angreifer geben sich als Suchmaschinen-Bots aus.  
* Mehr als ein Viertel der angreifenden Bot-Netze befinden sich in China, Indien und dem Irak.<ref>''DDoS-Angriffe werden immer gefährlicher.'' In: ''VDInachrichten Nr. 20'', Technik & Wirtschaft vom 16.
* Mai 2014, Seite 14</ref>


== Herkömmliche Überlastungen ==
Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte [[Website|Webseite]] aufgrund der Berichterstattung in einem publikumswirksamen [[Massenmedien|Medium]] zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im [[Netzjargon]] auch „[[Slashdot-Effekt]]“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen.
* Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite [[heise online]] und der dort gelegentlich auftretende „Heise-Effekt“.<ref>[http://slashdot.org/faq/slashmeta.shtml#sm600 ''What is the „Slashdot Effect“?''] Abschnitt in der Slashdot-FAQ, 13.&nbsp;Juni 2000 (englisch)</ref><ref>[http://www.allesroger.net/archives/480-der-fluch-der-kleinen-pixel-und-des-inflationaeren-kommentierens.html ''Der Fluch der kleinen Pixel und des inflationären Kommentierens.''] In: ''Alles Roger'', 19.&nbsp;September 2007</ref><ref>{{Webarchiv |url=http://s9y.jurabilis.de/index.php?%2Farchives%2F1508-Der-HEISE-Effekt.html |text=''Der HEISE-Effekt.'' |wayback=20170825233930  }} In: ''jurabilis'', 20.&nbsp;Februar 2008</ref> Außerdem kann es bei Tweets populärer Nutzer des Netzwerks [[Twitter]] und Retweets ihrer [[Follower]] zu serverseitigen Ausfällen kommen.<ref>[http://netzwertig.com/2009/02/06/twitter-retweet-twitter-effekt/ ''Twitter + Retweet = Twitter-Effekt.''] In: ''netzwertig.com'', 6.&nbsp;Februar 2009</ref>


== Gegenmaßnahmen ==
Das Content Delivery Network Akamai stellte eine Steigerung der Angriffe vom vierten Quartal 2013 zum ersten Quartal 2014 um 39 % fest, zum Vorjahresquartal sind es 47 %.
Um Überlastungen von kritischer [[Informationstechnik|IT]]-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt:
* Der Sicherheitsspezialist Imperva berichtet, dass ein Drittel aller Netzwerk-DDoS-Ereignisse ein Volumen von mehr als 10 Gbit/s haben. {{"|Diese Angriffe werden von Jahr zu Jahr aggressiver und umgehen DDoS-Schutzmaßnahmen.}} Zweck solcher Angriffe sind meist Erpressung, Schädigung eines Konkurrenten oder Infiltration des Zielsystems.
* Es gibt über Stunden gehende Angriffe mit 180 Gbit/s, die selbst Providernetze überfordern.
* Manche Angreifer geben sich als Suchmaschinen-Bots aus.
* Mehr als ein Viertel der angreifenden Bot-Netze befinden sich in China, Indien und dem Irak.


* Eine generelle Schutzmaßnahme ist die Wahl von sicheren [[Passwort|Kennwörtern]] für [[Router]], [[Netzwerk]]e und vernetzte Geräte im [[Internet der Dinge]].<ref name="BSI">[https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Botnetz_iot_24102016.html ''Der Bot im Babyfon.''] [[Bundesamt für Sicherheit in der Informationstechnik]], 24.
== Anhang ==
* Oktober 2016, abgerufen am 27.
=== Siehe auch ===
* Oktober 2016</ref>
==
* Es wird empfohlen, die [[UPnP]]-Funktion bei Routern zu deaktivieren und unbenutzte Dienste zu sperren, um zu verhindern, dass die Geräte in einem lokalen Netzwerk missbraucht werden können.<ref name="BSI" />
{{Special:PrefixIndex/Denial of Service}}
* Bei kleineren Überlastungen, die nur von einem oder wenigen Rechnern/Absendern verursacht werden, kann eine Dienstverweigerung mit Hilfe von einfachen [[Sperrliste]]n (i.&nbsp;d.&nbsp;R.
* eine Liste von Absenderadressen) vollzogen werden.
* Diese Sperrlisten werden von einer [[Firewall]] ausgeführt: Sie verwirft dabei Datenpakete von IP-Adressen aus dieser Sperrliste (oder leitet sie um).
* Oft kann eine Firewall auch simple Angriffe automatisch erkennen und diese Sperrlisten dynamisch erzeugen, zum Beispiel durch [[Rate Limiting]] von [[Transmission Control Protocol|TCP]]-SYN- und [[Internet Control Message Protocol|ICMP]]-Paketen.
* Bei Rate Limiting wird jedoch nicht zwischen erwünschten und schädlichen Anfragen unterschieden.
* Der Einsatz von [[SYN-Cookies]] mindert die Auswirkungen eines [[SYN-Flooding]]-Angriffs.
* Analyse- und Filtermaßnahmen können sowohl auf dem betroffenen Rechner als auch auf dem Grenzrouter des [[Internetdienstanbieter|Providers]] eingerichtet werden.
* Letzteres ist insbesondere die effektivere Variante bei Überlastungen des Internetzugangs.
* Außerdem sollten Grenzrouter ungültige Absenderadressen nach RFC 2267 filtern um DoS-Angriffe zu verhindern, die versuchen, via [[IP-Spoofing]] die Sperrlisten zu umgehen.
* Falls dem Angreifer nur die [[IP-Adresse]] des betroffenen Rechners bekannt ist, besteht zudem die Möglichkeit, diese zu ändern (beim PC zu Hause würde in der Regel der Neustart des [[Router]]s reichen).
* Erfolgt jedoch ein DoS-Angriff über einen öffentlichen [[Domain Name System|DNS]]-[[Hostname]] und nicht über die IP-Adresse allein, so hilft diese Maßnahme nur kurzfristig.
* Bereits bei der Wahl des Providers sollte berücksichtigt werden, ob dieser explizit einen Grundschutz gegen DDoS-Angriffe anbietet.
* Der Grundschutz ist eine Kombination aus mehrfachen Internet-Anbindungen im zwei- bis dreistelligen Gbit/s-Bereich und spezialisierter Hardware zur Datenstromanalyse und Abwehr von Angriffen auf [[OSI-Modell|Anwendungsebene]].
* Eine weitere mögliche – in der Regel aber kostenaufwendigere – Gegenmaßnahme gegen Überlastungen ist die sogenannte [[Serverlastverteilung]].
* Dabei werden die bereitgestellten Dienste mit der Hilfe von verschiedenen [[Virtualisierung (Informatik)|Virtualisierungstechniken]] auf mehr als einen physischen Rechner verteilt.
* Da [[DNS Amplification Attack|DNS-Amplification-Angriffe]] in der Vergangenheit bereits Angriffsvolumen von mehr als 200 bis 300 GBit/s erreicht haben, ist als einzig dauerhafte Möglichkeit die Nutzung eines Filter-Services sinnvoll.
* Diese werden von mehreren kommerziellen Anbietern offeriert, die dabei notwendigerweise über noch stärkere Anbindungen bis in den Terabit-Bereich verfügen müssen.  Selbst größte Angriffe können so ohne Störung des eigenen Rechenzentrums gefahrlos bewältigt werden.
* Die Dienste unterscheiden sich in Qualität und Größe der abfangbaren Angriffe.
* Jedoch ist die Datenschutz-Situation zu beachten.
* So leiten viele US-Anbieter die Daten durch die USA oder das Vereinigte Königreich, was hinsichtlich der [[Auftragsdatenverarbeitung]] nach [[BDSG]] nicht erlaubt ist.


== Rechtliche Situation ==
==== Sicherheit ====
* In Deutschland ist die Beteiligung an DoS-Attacken als [[Computersabotage]] nach {{§|303b|stgb|juris}} Abs.&nbsp;1 [[Strafgesetzbuch (Deutschland)|StGB]] mit bis zu drei Jahren [[Freiheitsstrafe (Deutschland)|Freiheitsstrafe]] oder mit [[Geldstrafe (Deutschland)|Geldstrafe]] bedroht, wenn die Dateneingabe oder -übermittlung in der Absicht erfolgt, einem anderen Nachteile zuzufügen, und dadurch eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird.<ref>Gröseling, Höfinger: ''Computersabotage und Vorfeldkriminalisierung – Auswirkungen des 41.
==== Dokumentation ====
* StrÄndG zur Bekämpfung der Computerkriminalität'', [[Multimedia und Recht|MMR]] 2007, 626, 628f.</ref><ref>Ernst: ''Das neue Computerstrafrecht'', [[Neue Juristische Wochenschrift|NJW]] 2007, 2661, 2665.</ref> Gemäß {{§|303b|stgb|juris}} Abs.&nbsp;3 StGB ist auch der Versuch strafbar.
===== RFC =====
* Daneben ist ferner auch die Vorbereitung einer Straftat nach {{§|303b|stgb|juris}} Abs.&nbsp;1 StGB selbst strafbar, {{§|303b|stgb|juris}} Abs.&nbsp;5 StGB i.&nbsp;V.&nbsp;m. {{§|202c|stgb|juris}} StGB.
===== Man-Page =====
* Hierunter fällt insbesondere die Herstellung und Verbreitung von Computerprogrammen für DoS-Attacken.<ref>Stree/Hecker, in: [[Schönke/Schröder]], 28.
===== Info-Pages =====
* Auflage 2010, § 303b StGB Rn. 21.</ref> Außerdem kann der Geschädigte Schadenersatz fordern.<ref name="Illegalität">{{Internetquelle |url=http://www.netzpolitik.org/2010/illegalitat-von-loic-tool-in-uk-deutschland-niederlanden/ |titel=„Illegalität“ von LOIC-Tool in UK, Deutschland & Niederlanden? |werk=[[netzpolitik.org]] |datum=2010-12-10 |abruf=2010-12-10}}</ref> Im Verhältnis zwischen Zugangsanbieter und [[Reseller]] liegt das [[Risiko|Vertragsrisiko]] nach Ansicht des Amtsgerichts Gelnhausen regelmäßig bei dem Reseller, so dass er jenem gegenüber auch dann zahlungspflichtig ist, wenn die Leitung durch eine DDoS-Attacke gestört wird.<ref>[http://www.it-recht-kanzlei.de/Urteil/2765/AG_Gelnhausen/51_C_20205/Rechte_und_Risikotragung_bei_Webspace-Vermietung.html AG Gelnhausen, Urt.
==== Links ====
* v. 6.
===== Einzelnachweise =====
* Oktober 2005 – 51 C 202/05]</ref> Die Bundesregierung ließ die Frage der generellen Strafbarkeit im Rahmen einer [[Online-Demonstration]] in einer Antwort auf eine [[Kleine Anfrage (Deutschland)|Kleine Anfrage]] offen: „Ob eine DDoS-Attacke eine Straftat im Sinne des § 303b StGB (Computersabotage) darstellt, obliegt der Prüfung im Einzelfall durch die zuständigen Strafverfolgungsbehörden und Gerichte.
<references />
* Allgemeine Vorschriften zur Einschätzung gibt es bei Bundesbehörden nicht.“<ref>{{BT-Drs|17|10379}}, S.&nbsp;10 zu Nr.&nbsp;17.</ref>
* In Österreich können DoS- bzw.
* DDoS-Attacken die strafrechtlichen Delikte nach {{§|126a|STGB|RIS-B|DokNr=NOR40093647}} [[Strafgesetzbuch (Österreich)|StGB]] (Datenbeschädigung) und {{§|126b|STGB|RIS-B|DokNr=NOR40093648}} StGB (Störung der Funktionsfähigkeit eines Computersystems) erfüllen.
* Der Missbrauch von Computerprogrammen nach {{§|126c|STGB|RIS-B|DokNr=NOR40050382}} StGB ist als Vorbereitungshandlung zu diesen Delikten zu sehen und selbst unter Strafe gestellt.
* Im [[Vereinigtes Königreich|Vereinigten Königreich]] droht sogar für das bloße Herunterladen der für die Angriffe genutzten Software [[Low Orbit Ion Cannon|LOIC]] eine Freiheitsstrafe von zwei Jahren.<ref name="Illegalität" />
* In der [[Schweiz]] ist DoS als das Unbrauchbarmachen von Daten und Datenbeschädigung nach [http://www.admin.ch/opc/de/classified-compilation/19370083/index.html#a144bis Art. 144<sup>bis</sup>] [[Strafgesetzbuch (Schweiz)|StGB]] strafbar und kann mit einer Geldstrafe oder einer Freiheitsstrafe bis zu drei Jahren, im Qualifikationsfall (großer Schaden) mit einer [[Freiheitsstrafe]] von einem Jahr bis zu fünf Jahren geahndet werden.
 
== Häufigkeit ==
Angriffe mit breiten Auswirkungen haben sich zwischen 2015 und 2016 nahezu verdoppelt.
* Vor allem unsichere [[Internet of Things|IoT]]-Geräte stellen eine zunehmende Gefahr dar.
* Ein [[Mirai (Computerwurm)|Mirai]]-Ableger sorgte 2016 für eine Großstörung im Netz der Deutschen Telekom.
* Im selben Jahr gab es breit angelegte Attacken auf die Webseiten der Kandidaten im US-Präsidentschaftswahlkampf sowie einen Angriff auf den DNS-Dienstleister Dyn, durch den ein Wochenende lang unter anderem Twitter, Netflix und Spotify nicht erreichbar waren.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/DDoS-Untersuchung-Angriffe-werden-zum-Problem-fuer-die-Allgemeinheit-3631903.html |titel=DDoS-Untersuchung |werk=[[Heise online]] |abruf=2017-02-23}}</ref><br />
 
Das [[World Wide Web Consortium]] erfuhr vom 28.
* Februar bis 2.
* März 2022 schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum [[Russischer Überfall auf die Ukraine 2022|Angriff auf die Ukraine]] nicht eindeutig dokumentiert ist.<ref>{{Internetquelle |url=https://status.w3.org/incidents/3j7q45ydmwv7/ |titel=Several W3C services unavailable |abruf=2022-03-26}}</ref>


Die zunehmende Vernetzung von immer mehr Geräten stellt neue Herausforderungen an die IT-Sicherheit.
===== Projekt =====
* Das Prinzip „Security by Design“, wonach IT-Sicherheit bei der Soft- und Hardwareentwicklung vom Anfang an berücksichtigt wird, kann hier Abhilfe schaffen.
===== Weblinks =====
* Auch die Installation von Sicherheitsupdates, um Sicherheitslücken rechtzeitig zu schließen, ist eine wichtige Komponente.
 
== Siehe auch ==
* [[Attacks of Self-Denial]]
* [[Online-Demonstration]]
* [[Slowloris]]
 
== Literatur ==
* Johannes Öhlböck, Balazs Esztegar: ''Rechtliche Qualifikation von Denial of Service Attacken.'' In: ''Journal für Strafrecht.'' Bd. 126, Nr. 4, 2011, {{ISSN|1813-3517}}, S. 126–133
 
== Weblinks ==
# https://de.wikipedia.org/wiki/Denial_of_Service
# https://de.wikipedia.org/wiki/Denial_of_Service
# [http://www.digitalattackmap.com/ Darstellung aktueller weltweiter DDoS-Attacken bis Mai 2021 in Form einer Karte]
# [http://www.digitalattackmap.com/ Darstellung aktueller weltweiter DDoS-Attacken bis Mai 2021 in Form einer Karte]
# [https://www.computec.ch/archiv/dokumente/denial_of_service/ Eine Liste freier deutschsprachiger Dokumente zum Thema]
# [https://www.computec.ch/archiv/dokumente/denial_of_service/ Eine Liste freier deutschsprachiger Dokumente zum Thema]
# [http://www.highgames.com/?set=hardwareview&view=8 Ausführliche Beschreibung des Denial of Service] (Stand: 5.  
# [http://www.highgames.com/?set=hardwareview&view=8 Ausführliche Beschreibung des Denial of Service] (Stand: 5.
# Juni 2005)
# Juni 2005)
# [https://www.ferner-alsdorf.de/distributed-denial-of-service-ddos-strafbar/ Rechtliche Einschätzung von Denial of Service Attacken nach deutschem Recht durch Jens Ferner],
# [https://www.ferner-alsdorf.de/distributed-denial-of-service-ddos-strafbar/ Rechtliche Einschätzung von Denial of Service Attacken nach deutschem Recht durch Jens Ferner],
# [https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html DoS- und DDoS-Attacken] – Informationen des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik]]
# [https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html DoS- und DDoS-Attacken] – Informationen des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik]]
<noinclude>


== Einzelnachweise ==
<references />
{{SORTIERUNG:Denial Of Service}}
[[Kategorie:Netzwerktechnik]]
[[Kategorie:Hackertechnik (Computersicherheit)]]
= TMP =
== Was ist eine „Dienstverweigerung“? ==
Eine Dienstverweigerung liegt vor, wenn einem rechtmäßigen Benutzer der Zugriff auf ein Netzwerk, ein System, ein Gerät oder andere Ressourcen verweigert wird, auf die er sonst zugreifen darf. Das kann ihre E-Mail, ihr E-Banking-Konto, öffentliche Online-Dienste usw. umfassen.
Eine Dienstverweigerung kann das Ergebnis eines Cyberangriffs sein, der als Denial-of-Service-Attacke (DoS-Angriffe) bekannt ist und dessen ausdrückliches Ziel es ist, diesen Effekt zu erzielen.
== Definition eines DoS-Angriffs ==
Ein Denial-of-Service-Angriff ist die absichtliche Überflutung einer Maschine oder eines Netzwerks mit gefälschtem Datenverkehr, um sie zu überlasten und ihren Dienst nicht verfügbar zu machen. Dies kann dazu führen, dass der Zielserver abstürzt oder einfach nicht mehr in der Lage ist, auf legitime Anfragen zu reagieren.
Denial-of-Service-Angriffe führen in der Regel nicht zu einer Beeinträchtigung des Systems, zu Datenverlust oder Diebstahl. Ein DoS-Angriff kann jedoch einen erheblichen Zeit- und Ressourcenverlust für den angegriffenen Dienst verursachen, da er zwischen einigen Stunden und mehreren Monaten dauern kann.
Im Gegensatz zu einem verteilten Denial-of-Service-Angriff (DDoS) wird ein DoS-Angriff über einen einzelnen Rechner ausgeführt.
== Wie ein Denial-of-Service-Angriff funktioniert ==
Der Mechanismus eines DoS-Angriffs ist recht einfach: Er zielt darauf ab, die Kapazität des Angriffsziels durch Datenverkehr zu überlasten. Die spezifische Art und Weise, wie ein solcher Angriff ausgeführt wird, hängt von der Schwachstelle des Zielsystems ab.
Eine Möglichkeit besteht beispielsweise darin, viele Anfragen mit gefälschten Rücksendeadressen (d. h. sie sind Junk) an einen Server zu senden. Dies macht es dem Server unmöglich, die Herkunft der Anfragen zu überprüfen. Dies kann dazu führen, dass ein Server einfach seine RAM- oder CPU-Kapazität erschöpft und abstürzt.
Es gibt eine Vielzahl von verschiedenen DoS-Angriffen. Je nach Angriffsvektor zielen DoS-Angriffe entweder auf die Überflutung oder den Absturz eines Systems ab. Die drei Haupttypen von DoS-Angriffen sind:
* '''Angriffe auf der Anwendungsebene''' zielen darauf ab, eine bestimmte Anwendung oder einen Dienst zum Absturz zu bringen und nicht das gesamte Netz. Dies wird in der Regel dadurch erreicht, dass die Anwendung mit bösartigen HTTP-Anfragen überflutet wird und nicht mehr reagieren kann. Angriffe auf der Anwendungsschicht werden in Anfragen pro Sekunde (RPS) gemessen.
* '''Angriffe auf der Protokoll'''– oder Netzwerkebene nutzen Schwachstellen in Netzwerkprotokollen und -verfahren aus, indem sie auf die Infrastruktur und Netzwerkverwaltungs-Tools abzielen. Sie zielen darauf ab, ein ganzes Netz und nicht nur eine einzelne Anwendung zu stören. Diese Angriffe werden in Paketen pro Sekunde (PPS) oder Bits pro Sekunde (BPS) gemessen.
* '''Volumetrische Angriffe''' sind die häufigste Art von DoS-Angriffen. Dabei wird versucht, die Bandbreitenkapazität eines Ziels zu überlasten, indem es mit gefälschten Anfragen überflutet wird. Dies führt zu einer Überlastung des Netzes und macht es für den legitimen Datenverkehr unmöglich, dieses zu passieren. Das Ausmaß dieser Angriffe wird in Bits pro Sekunde (BPS) gemessen.
=== Woran erkennt man einen DoS-Angriff? ===
Es kann schwierig sein, einen DoS-Angriff zu erkennen, da die Störungen zunächst nicht bösartig erscheinen. Sie können anhand mehrerer Kriterien feststellen, ob Sie von einem DoS-Angriff betroffen sind. Nach Angaben des United States Computer Emergency Readiness Team (US-CERT) gehören zu den drei häufigsten Symptomen eines Angriffs
* Langwierige Netzwerkleistung (Öffnen von Dateien oder Zugriff auf Websites)
* Nichtverfügbarkeit einer bestimmten Website, oder
* Unmöglichkeit, auf eine beliebige Website zuzugreifen
== Beispiele für Denial-of-Service-Angriffe ==
Es gibt viele verschiedene Arten von DoS-Angriffstechniken. Nachfolgend finden Sie einige Beispiele dafür, wie ein DoS-Angriff ausgeführt werden kann, abhängig von der Anfälligkeit des Zielservers. Einige von ihnen werden nicht mehr verwendet, weil ihre Schwachstellen beseitigt wurden, während andere weiterhin verwendet werden.
=== DoS-Angriff: ACK-Scan, SYN-Scan, FIN-Scan ===
Diese Scan-Techniken verwenden ähnliche Ansätze, um zu prüfen, ob die Ports des Angriffsziels offen sind und ausgenutzt werden können. Sie werden sowohl zum Sammeln von Informationen als auch zur Verweigerung von Diensten eingesetzt.
Die ACK-Scan-Technik wird beispielsweise von Angreifern verwendet, um Informationen über die Firewall- oder Zugriffskontrolllisten-Konfiguration (ACL) des Ziels zu sammeln. Es handelt sich dabei um einen Scan über ein Paket mit einem Bestätigungsflag (ACK), mit dem versucht wird, Hosts oder Ports zu identifizieren, die gefiltert sind oder nicht auf andere Weise gescannt werden können. Angreifer beobachten die Antwort des Routers, um die Konfiguration zu verstehen.
Daraus lassen sich, insbesondere in Kombination mit einem SYN-Scan, Informationen über die Art der Firewall des Ziels, ihren Regelsatz und die Art der Pakete, die zum Host durchgelassen werden, ableiten.
Gleichzeitig können die Angreifer beim Sammeln von Schwachstelleninformationen über einen Scan auch die offenen UDP/TCP-Ports eines Routers überfluten, um ihn zum Absturz zu bringen. Indem sie einen Verbindungsversuch starten, aber die Antwort des Servers von offenen Ports nicht bestätigen, können Angreifer die Ports offen halten und den Server kontinuierlich mit neuen Anfragen überfluten (auch als SYN-Flood bekannt).
=== DoS-Angriff: Smurf ===
Bei einem Smurf-Angriff zielt die böswillige Partei auf ein Netzwerk ab, dessen Konfiguration es erlaubt, Pakete an alle Geräte (Hosts) im Netzwerk auf einmal zu senden. Dies wird erreicht, indem ICMP-Pakete (Internet Control Message Protocol) an die IP-Broadcast-Adresse des Netzes gesendet werden, wodurch sie alle Computer erreichen.
Diese Pakete haben als Quelladresse die IP-Adresse des Ziels (d. h. die Quelladresse wird gefälscht). Standardmäßig antworten die Geräte im Netz dann auf die Pakete mit der gefälschten Quelladresse. Dadurch wird der Zielcomputer mit Datenverkehr überflutet und überlastet oder ganz abgeschaltet.
Es gibt nur wenige Unterschiede zwischen Smurf und dem so genannten ICMP-Flood oder Ping of Death.
=== DoS-Angriff: SYN-Flood ===
Ein SYN-Flood, auch als halboffener Angriff bekannt, ist eine Technik, die den Drei-Wege-Handshake des Transmission Control Protocol (TCP)/IP ausnutzt. Bei einer SYN-Flood sendet ein Angreifer wiederholt Verbindungsanfragen, d. h. SYN-Pakete (Synchronisierungspakete), an alle Ports eines Servers. Normalerweise antwortet ein Server dann mit Paketen, die die Synchronisierung bestätigen (SYN/ACK), von jedem Port, der gerade offen ist. Wenn ein Port geschlossen ist, antwortet er mit einem Reset-Paket (RST).
Normalerweise antwortet ein Client während des Handshakes auf das SYN/ACK-Paket mit einem acknowledged (ACK)-Paket. Damit bestätigt er, dass er das SYN/ACK-Paket des Servers erhalten hat, und die Kommunikation zwischen ihnen kann beginnen.
Bei einer SYN-Flut verwenden die Angreifer jedoch gefälschte IP-Adressen, um die ersten SYN-Pakete zu senden. Infolgedessen erhält der Server nie eine Antwort auf seine SYN/ACK-Pakete, und seine Ports bleiben offen (belegt) und können nicht zurückgesetzt werden (daher der Name „halboffen“). Bevor der Verbindungsversuch abbricht, werden weitere SYN-Pakete an diese Ports gesendet, was den Server veranlasst, sie offen zu halten und zu versuchen, eine Verbindung herzustellen.
Dies liegt daran, dass die Ports mit diesen Anfragen gesättigt sind, was zu einem Denial-of-Service-Angriff führt.
=== DoS-Angriff: Teardrop ===
Der Teardrop-Angriff nutzt eine Schwachstelle aus, die bei älteren Betriebssystemen und TCP/IP-Implementierungen auftritt. Wenn Pakete zu groß für Zwischensysteme wie Router sind, erlaubt die IP-Spezifikation die Fragmentierung von Paketen. Anschließend werden die Fragmente wieder zusammengesetzt.
In vielen älteren Systemen ist jedoch ein Fehler in der TCP/IP-Fragmentierung und -Zusammensetzung zu finden. Der Fehler besteht darin, dass sie Pakete, deren Offset-Felder sich überschneiden, nicht wieder zusammensetzen können. Angreifer nutzen diesen Fehler bei einem Teardrop-Angriff aus, indem sie Pakete mit überlappenden und übergroßen Nutzdaten senden, so dass das empfangende System sie nicht mehr zusammensetzen kann und schließlich abstürzt.
=== DoS-Angriff: ARP-Angriff ===
Bei dieser Technik, die auch als ARP-Spoofing-Angriff bekannt ist, werden ARP-Nachrichten (Address Resolution Protocol) über ein Netzwerk gesendet, um die MAC-Adresse des Angreifers mit der IP-Adresse des Ziels (Server oder Gateway, z. B. ein Router) zu verbinden.
Wenn dies erfolgreich ausgeführt wird, wird der Datenverkehr, der eigentlich zum Ziel führen sollte, stattdessen vom Angreifer empfangen, was zu einer Dienstverweigerung führt. Diese Art von Angriff kann nur in lokalen Netzen durchgeführt werden, die ARS verwenden.
=== DoS-Angriff: Fraggle-Angriff ===
Der Fraggle-Angriff, der auch als UDP-Flood bekannt ist, verwendet denselben Ansatz wie der Smurf-Angriff, indem er eine Schwachstelle ausnutzt, die mit dem Senden von Datenverkehr an die IP-Broadcast-Adresse des Ziels (z. B. eines Routers) verbunden ist. Der Hauptunterschied besteht darin, dass anstelle von ICMP UDP-Datenverkehr (User Datagram Protocol) verwendet wird, um einen Router oder Server zu überfluten.
Der Effekt ist, dass die IP-Adresse der Quelle der Anfrage gefälscht wird und dann der Verkehr aus dem Netzwerk zurück zum Router geleitet wird, wodurch dieser überflutet wird.
Sowohl der Fraggle- als auch der Smurf-Angriff sind weitgehend verschwunden, da Router Pakete, die an ihre Broadcast-Adresse gesendet werden, nicht mehr weiterleiten.
== Was ist der Unterschied zwischen einem DoS-Angriff und einem DDoS-Angriff? ==
Der Hauptunterschied zwischen einem DoS- und einem DDoS-Angriff (Distributed Denial of Service) liegt in der Anzahl der verwendeten Systeme oder Geräte. Normalerweise hat ein DoS-Angriff eine einzige IP-Adresse als Quelle. Im Gegensatz dazu wird ein DDoS-Angriff von mehreren synchronisierten Adressen gestartet, was die Abwehr erheblich erschwert.
Auf diese Weise hat ein DDoS-Angriff mehrere Vorteile gegenüber einem DoS-Angriff:
* Es wird eine größere Anzahl von Rechnern zur Ausführung des Angriffs verwendet.
* Die Angriffsquellen sind weit verstreut, manchmal sogar weltweit, was es schwierig macht, den Angriff zu erkennen, einzudämmen und schließlich zu stoppen.
* Aufgrund der Vielzahl der beteiligten Systeme ist es schwierig, den tatsächlichen Angreifer zu ermitteln.
Eine Möglichkeit, einen DDoS-Angriff auszuführen, ist über ein so genanntes Botnet. Ein Botnet ist eine Gruppe von kompromittierten Geräten, die mit dem Internet verbunden sind und vom Angreifer kontrolliert werden.
Mit Hilfe von Command-and-Control-Software können Angreifer Geräte mit fehlerhaften oder fehlenden Sicherheitsvorkehrungen übernehmen und diese dazu verwenden, das Ziel mit Anfragen zu überfluten. Das bedeutet, dass der Angreifer nicht alle für einen DDoS-Angriff erforderlichen Geräte besitzen muss, sondern anfällige Geräte übernehmen und diese nutzen kann.
Mit dem Aufkommen des Internets der Dinge (Internet of Things, IoT) sind DDoS-Angriffe deutlich häufiger und einfacher geworden, da viele IoT-Geräte ungeschützt sind und leicht übernommen werden können. In einigen Fällen umfasst ein Botnetz Hunderttausende von Geräten.
Aufgrund der Effektivität dieser Angriffe kam es in den letzten Jahren zu einer starken Zunahme von DoS- und DDoS-Angriffen und sogar zu DoS/DDoS als Dienstleistung, die von Hackern angeboten wird.
== Wie kann man einen Denial-of-Service-Angriff verhindern? ==
Denial-of-Service-Angriffe lassen sich nicht vollständig verhindern, aber es gibt Möglichkeiten, sich darauf vorzubereiten, um ihre Auswirkungen zu verringern. Zu den proaktiven Schritten, die Sie unternehmen können, gehören:
* Erstellen Sie einen DoS-Reaktionsplan, der alle Aspekte des Umgangs mit einem Angriff abdeckt, einschließlich Kommunikation, Schadensbegrenzung und Wiederherstellung.
* Verbessern Sie Ihre Netzwerksicherheit und stärken Sie Ihre allgemeine Sicherheitslage, indem Sie Antivirus- und Anti-Malware-Software installieren und eine Firewall einrichten, die den eingehenden Datenverkehr überwacht und verwaltet.
* Melden Sie sich bei einem DoS-Schutzdienst (Intrusion Detection System) an, der bösartigen Datenverkehr filtert und umleitet und bekannte Angriffssignaturen erkennen kann.
* Erwägen Sie die Einführung einer Netzwerksegmentierung, um Systeme in separate Subnetze aufzuteilen und eine Überflutung des gesamten Netzwerks zu vermeiden.
* Überprüfen Sie Ihre Sicherheitseinstellungen und -praktiken und führen Sie bei Bedarf Verbesserungen ein.
== FAQ ==
=== Was ist Denial-of-Service? ===
Ein Denial-of-Service (DoS) liegt vor, wenn ein Dienst, eine Website oder ein Netzwerk für die vorgesehenen Benutzer, die ansonsten ein Recht auf Zugang haben, nicht verfügbar ist. Dies kann die Folge eines Denial-of-Service-Angriffs sein.
=== Wie funktionieren Denial-of-Service-Angriffe? ===
Im Allgemeinen wird bei DoS-Angriffen versucht, einen Dienst durch große Mengen an Datenverkehr zu überschwemmen oder zum Absturz zu bringen, oder es werden Schwachstellen in der Netzwerkkonfiguration oder Infrastruktur des Systems ausgenutzt.
=== Sind DoS-Angriffe gefährlich? ===
DoS-Angriffe führen zwar in der Regel nicht zu Datendiebstahl oder -verlust (es sei denn, sie werden mit anderen Angriffen kombiniert), können aber den Dienst für Stunden oder sogar Monate lahm legen.
=== Ist ein Denial-of-Service-Angriff (DoS) dasselbe wie ein verteilter Denial-of-Service-Angriff (DDoS)? ===
Beide Angriffe zielen auf dasselbe Ziel ab, aber während bei einem DoS nur ein Rechner (oder eine Quelle) verwendet wird, nutzt ein DDoS die Leistung von Hunderten und Tausenden von Rechnern, um seine Ziele zu erreichen.


# https://crashtest-security.com/de/dos-angriffe/
[[Kategorie:Netzwerk/Angriffe]]
</noinclude>

Aktuelle Version vom 6. November 2024, 12:26 Uhr

Denial of Service - Dienstverweigerung

Beschreibung

Schema eines mittels des DDoS-Clients Stacheldraht ausgeführten DDoS-Angriffs

Denial of Service (DoS; englisch für „Verweigerung des Dienstes“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte.

  • Häufigster Grund ist die Überlastung des Datennetzes.
  • Das kann unbeabsichtigt verursacht werden oder durch einen konzertierten Angriff auf die Server oder sonstige Komponenten des Datennetzes erfolgen.

Im Fall einer durch eine Vielzahl von gezielten Anfragen verursachten, mutwilligen Dienstblockade spricht man von einer Denial-of-Service-Attacke und, wenn die Anfragen von einer großen Zahl an Rechnern aus durchgeführt werden, von einer Distributed-Denial-of-Service attack (DDoS-Angriff, deutsch wörtlich verteilter Dienstverweigerungsangriff).

  • Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
Der Mechanismus eines DoS-Angriffs ist recht einfach
Er zielt darauf ab, die Kapazität des Angriffsziels durch Datenverkehr zu überlasten.
  • Die spezifische Art und Weise, wie ein solcher Angriff ausgeführt wird, hängt von der Schwachstelle des Zielsystems ab.
Eine Möglichkeit besteht beispielsweise darin, viele Anfragen mit gefälschten Rücksendeadressen (d.h. sie sind Junk) an einen Server zu senden.
  • Dies macht es dem Server unmöglich, die Herkunft der Anfragen zu überprüfen.
  • Dies kann dazu führen, dass ein Server einfach seine RAM- oder CPU-Kapazität erschöpft und abstürzt.
Es gibt eine Vielzahl von verschiedenen DoS-Angriffen.
  • Je nach Angriffsvektor zielen DoS-Angriffe entweder auf die Überflutung oder den Absturz eines Systems ab.
  • Die drei Haupttypen von DoS-Angriffen sind:
  • Angriffe auf der Anwendungsebene zielen darauf ab, eine bestimmte Anwendung oder einen Dienst zum Absturz zu bringen und nicht das gesamte Netz.
  • Dies wird in der Regel dadurch erreicht, dass die Anwendung mit bösartigen HTTP-Anfragen überflutet wird und nicht mehr reagieren kann.
  • Angriffe auf der Anwendungsschicht werden in Anfragen pro Sekunde (RPS) gemessen.
  • Angriffe auf der Protokoll– oder Netzwerkebene nutzen Schwachstellen in Netzwerkprotokollen und -verfahren aus, indem sie auf die Infrastruktur und Netzwerkverwaltungs-Tools abzielen.
  • Sie zielen darauf ab, ein ganzes Netz und nicht nur eine einzelne Anwendung zu stören.
  • Diese Angriffe werden in Paketen pro Sekunde (PPS) oder Bits pro Sekunde (BPS) gemessen.
  • Volumetrische Angriffe sind die häufigste Art von DoS-Angriffen.
  • Dabei wird versucht, die Bandbreitenkapazität eines Ziels zu überlasten, indem es mit gefälschten Anfragen überflutet wird.
  • Dies führt zu einer Überlastung des Netzes und macht es für den legitimen Datenverkehr unmöglich, dieses zu passieren.
  • Das Ausmaß dieser Angriffe wird in Bits pro Sekunde (BPS) gemessen.
Sind DoS-Angriffe gefährlich?

DoS-Angriffe führen zwar in der Regel nicht zu Datendiebstahl oder -verlust (es sei denn, sie werden mit anderen Angriffen kombiniert), können aber den Dienst für Stunden oder sogar Monate lahmlegen.

Was ist eine „Dienstverweigerung“?
  • Eine Dienstverweigerung liegt vor, wenn einem rechtmäßigen Benutzer der Zugriff auf ein Netzwerk, ein System, ein Gerät oder andere Ressourcen verweigert wird, auf die er sonst zugreifen darf.
  • Das kann ihre E-Mail, ihr E-Banking-Konto, öffentliche Online-Dienste usw. umfassen.

Eine Dienstverweigerung kann das Ergebnis eines Cyberangriffs sein, der als Denial-of-Service-Attacke (DoS-Angriffe) bekannt ist und dessen ausdrückliches Ziel es ist, diesen Effekt zu erzielen.

Herkömmliche Überlastungen

Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte Webseite aufgrund der Berichterstattung in einem publikumswirksamen Medium zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im Netzjargon auch „Slashdot-Effekt“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen.

  • Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite heise online und der dort gelegentlich auftretende „Heise-Effekt“.

Was ist Denial-of-Service?

Ein Denial-of-Service (DoS) liegt vor, wenn ein Dienst, eine Website oder ein Netzwerk für die vorgesehenen Benutzer, die ansonsten ein Recht auf Zugang haben, nicht verfügbar ist.

  • Dies kann die Folge eines Denial-of-Service-Angriffs sein.

Wie funktionieren Denial-of-Service-Angriffe?

Im Allgemeinen wird bei DoS-Angriffen versucht, einen Dienst durch große Mengen an Datenverkehr zu überschwemmen oder zum Absturz zu bringen, oder es werden Schwachstellen in der Netzwerkkonfiguration oder Infrastruktur des Systems ausgenutzt.

Ist ein Denial-of-Service-Angriff (DoS) dasselbe wie ein verteilter Denial-of-Service-Angriff (DDoS)?

Beide Angriffe zielen auf dasselbe Ziel ab, aber während bei einem DoS nur ein Rechner (oder eine Quelle) verwendet wird, nutzt ein DDoS die Leistung von Hunderten und Tausenden von Rechnern, um seine Ziele zu erreichen.

Relevanz

Häufigkeit

Angriffe mit breiten Auswirkungen haben sich zwischen 2015 und 2016 nahezu verdoppelt.
  • Vor allem unsichere IoT-Geräte stellen eine zunehmende Gefahr dar.
  • Ein Mirai-Ableger sorgte 2016 für eine Großstörung im Netz der Deutschen Telekom.
  • Im selben Jahr gab es breit angelegte Attacken auf die Webseiten der Kandidaten im US-Präsidentschaftswahlkampf sowie einen Angriff auf den DNS-Dienstleister Dyn, durch den ein Wochenende lang unter anderem Twitter, Netflix und Spotify nicht erreichbar waren.

Das World Wide Web Consortium erfuhr vom 28. Februar bis 2. März 2022 schwere Störungen durch wiederholte DDoS-Attacken, wobei die Zuordnung zum Angriff auf die Ukraine nicht eindeutig dokumentiert ist.

Zunehmende Vernetzung von immer mehr Geräten stellt neue Herausforderungen an die IT-Sicherheit
  • Das Prinzip „Security by Design“, wonach IT-Sicherheit bei der Soft- und Hardwareentwicklung von Anfang an berücksichtigt wird, kann hier Abhilfe schaffen.
  • Auch die Installation von Sicherheitsupdates, um Sicherheitslücken rechtzeitig zu schließen, ist eine wichtige Komponente.

DoS-Angriff

Definition DoS-Angriff
  • Ein Denial-of-Service-Angriff ist die absichtliche Überflutung einer Maschine oder eines Netzwerks mit gefälschtem Datenverkehr, um sie zu überlasten und ihren Dienst nicht verfügbar zu machen.
  • Dies kann dazu führen, dass der Zielserver abstürzt oder einfach nicht mehr in der Lage ist, auf legitime Anfragen zu reagieren.
Denial-of-Service-Angriffe führen in der Regel nicht zu einer Beeinträchtigung des Systems, zu Datenverlust oder Diebstahl.
  • Ein DoS-Angriff kann jedoch einen erheblichen Zeit- und Ressourcenverlust für den angegriffenen Dienst verursachen, da er zwischen einigen Stunden und mehreren Monaten dauern kann.
  • Im Gegensatz zu einem verteilten Denial-of-Service-Angriff (DDoS) wird ein DoS-Angriff über einen einzelnen Rechner ausgeführt.

DoS-Angriff und DDoS-Angriff

Der Hauptunterschied zwischen einem DoS- und einem DDoS-Angriff (Distributed Denial of Service) liegt in der Anzahl der verwendeten Systeme oder Geräte.

  • Normalerweise hat ein DoS-Angriff eine einzige IP-Adresse als Quelle.
  • Im Gegensatz dazu wird ein DDoS-Angriff von mehreren synchronisierten Adressen gestartet, was die Abwehr erheblich erschwert.

Auf diese Weise hat ein DDoS-Angriff mehrere Vorteile gegenüber einem DoS-Angriff:

  • Es wird eine größere Anzahl von Rechnern zur Ausführung des Angriffs verwendet.
  • Die Angriffsquellen sind weit verstreut, manchmal sogar weltweit, was es schwierig macht, den Angriff zu erkennen, einzudämmen und schließlich zu stoppen.
  • Aufgrund der Vielzahl der beteiligten Systeme ist es schwierig, den tatsächlichen Angreifer zu ermitteln.

Eine Möglichkeit, einen DDoS-Angriff auszuführen, ist über ein so genanntes Botnet.

  • Ein Botnet ist eine Gruppe von kompromittierten Geräten, die mit dem Internet verbunden sind und vom Angreifer kontrolliert werden.

Mit Hilfe von Command-and-Control-Software können Angreifer Geräte mit fehlerhaften oder fehlenden Sicherheitsvorkehrungen übernehmen und diese dazu verwenden, das Ziel mit Anfragen zu überfluten.

  • Das bedeutet, dass der Angreifer nicht alle für einen DDoS-Angriff erforderlichen Geräte besitzen muss, sondern anfällige Geräte übernehmen und diese nutzen kann.

Mit dem Aufkommen des Internets der Dinge (Internet of Things, IoT) sind DDoS-Angriffe deutlich häufiger und einfacher geworden, da viele IoT-Geräte ungeschützt sind und leicht übernommen werden können.

  • In einigen Fällen umfasst ein Botnetz Hunderttausende von Geräten.

Aufgrund der Effektivität dieser Angriffe kam es in den letzten Jahren zu einer starken Zunahme von DoS- und DDoS-Angriffen und sogar zu DoS/DDoS als Dienstleistung, die von Hackern angeboten wird.

Absichtlich herbeigeführte Serverüberlastungen

Wenn eine Überlastung mutwillig herbeigeführt wird, dann geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte Dienste funktionsunfähig zu machen.

  • War dies ursprünglich vor allem eine Form von Protest oder Vandalismus, werden Denial-of-Service-Attacken mittlerweile von Cyber-Kriminellen zum Kauf angeboten, um Konkurrenten zu schädigen.
  • Ebenso werden Serverbetreiber zu einer Geldzahlung erpresst, damit ihr Internetangebot wieder erreichbar wird.

Funktionsweise

DoS-Angriffe wie SYN-Flooding oder der Smurf-Angriff belasten den Internetzugang, das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer größeren Anzahl Anfragen als diese verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden.
Im Unterschied zu anderen Angriffen möchte der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder Ähnliches vom Zielrechner

Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:

  • Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt.
  • Dies soll dafür sorgen, dass das mit der Administration betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist oder die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
  • Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten kompromittiert werden.
  • Beispiel hierfür ist das Hijacking fremder Domains durch Liefern gefälschter DNS-Antworten.

Distributed-Reflected-Denial-of-Service-Angriff

Eine besondere Form stellt der Distributed-Reflected-Denial-of-Service-Angriff (DRDoS-Angriff) dar.
  • Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein (IP-Spoofing).
  • Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar.
  • Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar.
  • Ein Beispiel für einen solchen Angriff ist die DNS Amplification Attack, bei der das Domain Name System als Reflektor missbraucht wird.
Weitere bekannte Methoden sind der Smurf- und der Fraggle-Angriff, bei denen ein Paket mit der IP-Adresse des Opfers als Absender an die Broadcast-Adresse eines Netzwerks gesendet wird.
  • Das bewirkt, dass das Paket um die Anzahl der Geräte im Netzwerk vervielfacht und an das Opfer zurückgeschickt wird.

Email-Backscatter wird eingesetzt, um nach einem ähnlichen Verfahren das E-Mail-Postfach eines Opfers zu füllen.

DDoS und Botnetze

Mutwillige DDoS-Angriffe werden oft (aber nicht ausschließlich, siehe DDoS als Protestaktion) mit Hilfe von Backdoor-Programmen oder Ähnlichem durchgeführt.
  • Diese Backdoor-Programme werden in der Regel von Trojanern auf nicht ausreichend geschützten Rechnern installiert und versuchen selbstständig, weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen.
  • Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt.
  • Die Steuerung des Angriffs erfolgt über IRC, HTTP oder mittels eines Peer-to-Peer-Netzes.

DDoS und Internet der Dinge

Mit zunehmender Bedeutung des Internets der Dinge werden für DDoS-Angriffe auch Geräte missbraucht, die auf den ersten Blick harmlos wirken
Internet-fähige Fernsehrekorder, Set-Top-Boxen, Fernseher, Überwachungskameras oder Uhren.
  • Die Geräte werden oft mit Standard-Passwörtern ausgeliefert und ihre Firmware selten aktualisiert, was sie zu attraktiven Zielen für automatisierte Angriffe aus dem Internet macht.
  • Einmal infiziert, können sie ähnlich wie Rechner eines Botnetzes orchestriert werden.

DDoS als Protestaktion

Als Form des Protestes sind DDoS-Attacken immer populärer geworden.
  • Einfach zu bedienende Werkzeuge wie zum Beispiel die populäre Low Orbit Ion Cannon ermöglichen es nun auch nicht computerversierten Personen, den Betrieb fremder Computer, Websites und Dienste mit Denial-of-Service-Angriffen zu stören.

Befürworter dieser Form des Protestes argumentieren, dass bei Online-Demonstrationen die Protestierenden nur ihre eigenen Ressourcen verwenden und deren Aktionen somit weder das Tatbestandsmerkmal der Gewalt noch eine Drohung mit einem empfindlichen Übel aufweisen.

  • Daher sei diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.

In Deutschland ist bereits der Versuch der Störung als Computersabotage strafbar, siehe dazu Abschnitt Rechtliche Situation.

DDoS von Staaten

Auch Staaten nutzten DDoS-Attacken, um unliebsame Websites, zumindest vorübergehend, lahmzulegen.

Bekannte Angiffe

Bekannte Beispiele zu absichtlich herbeigeführten Serverüberlastungen
  • 28. Februar 2018: Der Online-Dienst GitHub wird gegen Mittag von einer neuen Form einer DDoS-Attacke, der Memcached Amplification Attack, getroffen.
  • Dabei wurden pro Sekunde 1,35 Terabit an Daten an den Server geschickt.
  • Nach 8 Minuten konnte der Angriff durch Eingreifen des Dienstleisters Akamai beendet werden.
Option Beschreibung
August 2008 Die Webseite des georgischen Präsidenten Micheil Saakaschwili ist nicht mehr erreichbar.
Anfang Juli 2009 Südkoreanische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar.
  • Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.
6. bis 8. Dezember 2010 Als Reaktion auf Sperrungen von WikiLeaks-Konten bei der Postfinance wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Websites angegriffen und – bis auf die Amazon-Site – zeitweise in die Knie gezwungen.
18. Mai 2012 Die Website der Stadt Frankfurt am Main wurde im Rahmen der Blockupy-Proteste durch Anonymous attackiert und war zeitweise nicht mehr erreichbar.
ab September 2012 Angriffe auf amerikanische Banken
19. März 2013 Ein Streit zwischen der Plattform Spamhaus und vermutlich dem anonymen Hoster Cyberbunker führte zum derzeit größten bekannten DDoS-Angriff via DNS-Amplification/-Reflection, dem auf Grund geschickter PR durch Cloudflare, dem Website-Proxy von Spamhaus, kurzfristig nachgesagt wurde, er hätte Vorlage:". Bei etwa 300 Gigabit pro Sekunde anfragenden DNS-Server ist dies, im Vergleich zu Spitzen von 2,5 Terabit/s alleine im DE-CIX, unwahrscheinlich und wird vom Fachdienst Renesys lediglich als „lokaler Angriff“ eingeordnet.
21. Oktober 2016 Der Internetdienstleister Dyn wurde ab 7 Uhr, beginnend an der Ostküste der USA, Ziel einer DDoS-Attacke, die die Angebote namhafter Dyn-Kunden wie Twitter, Netflix, Spotify, Airbnb, Reddit und anderer teilweise außer Funktion setzte.
  • Neu an dem Angriff, der in mehreren Wellen über den Tag erfolgte, war, dass er sich offenbar auf eine Infrastruktur aus ferngesteuerten Geräten stützte, die zum Internet der Dinge gehören.

Im Rahmen des Russischen Überfalls auf die Ukraine 2022 kam es zunächst zu DDoS-Attacken auf die Ukraine, denen dann umgekehrt Angriffe auf russische Regierungseinrichtungen und Medien folgten, wobei private Hackergruppen aus aller Welt beteiligt sind.


Das Content Delivery Network Akamai stellte eine Steigerung der Angriffe vom vierten Quartal 2013 zum ersten Quartal 2014 um 39 % fest, zum Vorjahresquartal sind es 47 %.

  • Der Sicherheitsspezialist Imperva berichtet, dass ein Drittel aller Netzwerk-DDoS-Ereignisse ein Volumen von mehr als 10 Gbit/s haben. Vorlage:" Zweck solcher Angriffe sind meist Erpressung, Schädigung eines Konkurrenten oder Infiltration des Zielsystems.
  • Es gibt über Stunden gehende Angriffe mit 180 Gbit/s, die selbst Providernetze überfordern.
  • Manche Angreifer geben sich als Suchmaschinen-Bots aus.
  • Mehr als ein Viertel der angreifenden Bot-Netze befinden sich in China, Indien und dem Irak.

Anhang

Siehe auch

==

Sicherheit

Dokumentation

RFC
Man-Page
Info-Pages

Links

Einzelnachweise


Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Denial_of_Service
  2. Darstellung aktueller weltweiter DDoS-Attacken bis Mai 2021 in Form einer Karte
  3. Eine Liste freier deutschsprachiger Dokumente zum Thema
  4. Ausführliche Beschreibung des Denial of Service (Stand: 5.
  5. Juni 2005)
  6. Rechtliche Einschätzung von Denial of Service Attacken nach deutschem Recht durch Jens Ferner,
  7. DoS- und DDoS-Attacken – Informationen des Bundesamtes für Sicherheit in der Informationstechnik