Erkennung

Es kann schwierig sein, einen DoS-Angriff zu erkennen, da die Störungen zunächst nicht bösartig erscheinen.

• Sie können anhand mehrerer Kriterien feststellen, ob Sie von einem DoS-Angriff betroffen sind.
• Nach Angaben des United States Computer Emergency Readiness Team (US-CERT) gehören zu den drei häufigsten Symptomen eines Angriffs
• Langwierige Netzwerkleistung (Öffnen von Dateien oder Zugriff auf Websites)
• Nichtverfügbarkeit einer bestimmten Website, oder
• Unmöglichkeit, auf eine beliebige Website zuzugreifen

Massnahmen

Um Überlastungen von kritischer IT-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt:

• Eine generelle Schutzmaßnahme ist die Wahl von sicheren Kennwörtern für Router, Netzwerke und vernetzte Geräte im Internet der Dinge.^[1]
• Es wird empfohlen, die UPnP-Funktion bei Routern zu deaktivieren und unbenutzte Dienste zu sperren, um zu verhindern, dass die Geräte in einem lokalen Netzwerk missbraucht werden können.^[1]
• Bei kleineren Überlastungen, die nur von einem oder wenigen Rechnern/Absendern verursacht werden, kann eine Dienstverweigerung mit Hilfe von einfachen Sperrlisten (i. d. R.
• eine Liste von Absenderadressen) vollzogen werden.
• Diese Sperrlisten werden von einer Firewall ausgeführt: Sie verwirft dabei Datenpakete von IP-Adressen aus dieser Sperrliste (oder leitet sie um).
• Oft kann eine Firewall auch simple Angriffe automatisch erkennen und diese Sperrlisten dynamisch erzeugen, zum Beispiel durch Rate Limiting von TCP-SYN- und ICMP-Paketen.
• Bei Rate Limiting wird jedoch nicht zwischen erwünschten und schädlichen Anfragen unterschieden.
• Der Einsatz von SYN-Cookies mindert die Auswirkungen eines SYN-Flooding-Angriffs.
• Analyse- und Filtermaßnahmen können sowohl auf dem betroffenen Rechner als auch auf dem Grenzrouter des Providers eingerichtet werden.
• Letzteres ist insbesondere die effektivere Variante bei Überlastungen des Internetzugangs.
• Außerdem sollten Grenzrouter ungültige Absenderadressen nach RFC 2267 filtern um DoS-Angriffe zu verhindern, die versuchen, via IP-Spoofing die Sperrlisten zu umgehen.
• Falls dem Angreifer nur die IP-Adresse des betroffenen Rechners bekannt ist, besteht zudem die Möglichkeit, diese zu ändern (beim PC zu Hause würde in der Regel der Neustart des Routers reichen).
• Erfolgt jedoch ein DoS-Angriff über einen öffentlichen DNS-Hostname und nicht über die IP-Adresse allein, so hilft diese Maßnahme nur kurzfristig.
• Bereits bei der Wahl des Providers sollte berücksichtigt werden, ob dieser explizit einen Grundschutz gegen DDoS-Angriffe anbietet.
• Der Grundschutz ist eine Kombination aus mehrfachen Internet-Anbindungen im zwei- bis dreistelligen Gbit/s-Bereich und spezialisierter Hardware zur Datenstromanalyse und Abwehr von Angriffen auf Anwendungsebene.
• Eine weitere mögliche – in der Regel aber kostenaufwendigere – Gegenmaßnahme gegen Überlastungen ist die sogenannte Serverlastverteilung.
• Dabei werden die bereitgestellten Dienste mit der Hilfe von verschiedenen Virtualisierungstechniken auf mehr als einen physischen Rechner verteilt.
• Da DNS-Amplification-Angriffe in der Vergangenheit bereits Angriffsvolumen von mehr als 200 bis 300 GBit/s erreicht haben, ist als einzig dauerhafte Möglichkeit die Nutzung eines Filter-Services sinnvoll.
• Diese werden von mehreren kommerziellen Anbietern offeriert, die dabei notwendigerweise über noch stärkere Anbindungen bis in den Terabit-Bereich verfügen müssen. Selbst größte Angriffe können so ohne Störung des eigenen Rechenzentrums gefahrlos bewältigt werden.
• Die Dienste unterscheiden sich in Qualität und Größe der abfangbaren Angriffe.
• Jedoch ist die Datenschutz-Situation zu beachten.
• So leiten viele US-Anbieter die Daten durch die USA oder das Vereinigte Königreich, was hinsichtlich der Auftragsdatenverarbeitung nach BDSG nicht erlaubt ist.

Wie kann man einen Denial-of-Service-Angriff verhindern?

Denial-of-Service-Angriffe lassen sich nicht vollständig verhindern, aber es gibt Möglichkeiten, sich darauf vorzubereiten, um ihre Auswirkungen zu verringern.

• Zu den proaktiven Schritten, die Sie unternehmen können, gehören:
• Erstellen Sie einen DoS-Reaktionsplan, der alle Aspekte des Umgangs mit einem Angriff abdeckt, einschließlich Kommunikation, Schadensbegrenzung und Wiederherstellung.
• Verbessern Sie Ihre Netzwerksicherheit und stärken Sie Ihre allgemeine Sicherheitslage, indem Sie Antivirus- und Anti-Malware-Software installieren und eine Firewall einrichten, die den eingehenden Datenverkehr überwacht und verwaltet.
• Melden Sie sich bei einem DoS-Schutzdienst (Intrusion Detection System) an, der bösartigen Datenverkehr filtert und umleitet und bekannte Angriffssignaturen erkennen kann.
• Erwägen Sie die Einführung einer Netzwerksegmentierung, um Systeme in separate Subnetze aufzuteilen und eine Überflutung des gesamten Netzwerks zu vermeiden.
• Überprüfen Sie Ihre Sicherheitseinstellungen und -praktiken und führen Sie bei Bedarf Verbesserungen ein.

Rechtliche Situation

• In Deutschland ist die Beteiligung an DoS-Attacken als Computersabotage nach Vorlage:§ Abs. 1 StGB mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe bedroht, wenn die Dateneingabe oder -übermittlung in der Absicht erfolgt, einem anderen Nachteile zuzufügen, und dadurch eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird.^[2][3] Gemäß Vorlage:§ Abs. 3 StGB ist auch der Versuch strafbar.
• Daneben ist ferner auch die Vorbereitung einer Straftat nach Vorlage:§ Abs. 1 StGB selbst strafbar, Vorlage:§ Abs. 5 StGB i. V. m. Vorlage:§ StGB.
• Hierunter fällt insbesondere die Herstellung und Verbreitung von Computerprogrammen für DoS-Attacken.^[4] Außerdem kann der Geschädigte Schadenersatz fordern.^[5] Im Verhältnis zwischen Zugangsanbieter und Reseller liegt das Vertragsrisiko nach Ansicht des Amtsgerichts Gelnhausen regelmäßig bei dem Reseller, so dass er jenem gegenüber auch dann zahlungspflichtig ist, wenn die Leitung durch eine DDoS-Attacke gestört wird.^[6] Die Bundesregierung ließ die Frage der generellen Strafbarkeit im Rahmen einer Online-Demonstration in einer Antwort auf eine Kleine Anfrage offen: „Ob eine DDoS-Attacke eine Straftat im Sinne des § 303b StGB (Computersabotage) darstellt, obliegt der Prüfung im Einzelfall durch die zuständigen Strafverfolgungsbehörden und Gerichte.
• Allgemeine Vorschriften zur Einschätzung gibt es bei Bundesbehörden nicht.“^[7]
• In Österreich können DoS- bzw. 
• DDoS-Attacken die strafrechtlichen Delikte nach Vorlage:§ StGB (Datenbeschädigung) und Vorlage:§ StGB (Störung der Funktionsfähigkeit eines Computersystems) erfüllen.
• Der Missbrauch von Computerprogrammen nach Vorlage:§ StGB ist als Vorbereitungshandlung zu diesen Delikten zu sehen und selbst unter Strafe gestellt.
• Im Vereinigten Königreich droht sogar für das bloße Herunterladen der für die Angriffe genutzten Software LOIC eine Freiheitsstrafe von zwei Jahren.^[5]
• In der Schweiz ist DoS als das Unbrauchbarmachen von Daten und Datenbeschädigung nach Art. 144^bis StGB strafbar und kann mit einer Geldstrafe oder einer Freiheitsstrafe bis zu drei Jahren, im Qualifikationsfall (großer Schaden) mit einer Freiheitsstrafe von einem Jahr bis zu fünf Jahren geahndet werden.

TMP

Sichert Ihre Websites vor Angriffen aus dem Internet

DDoS-Attacken (Distributed-Denial-of-Service) gehören mittlerweile leider zum Alltag in der IT.

• Um die Bandbreite oder die Ressourcen eines Servers zu überlasten, wird dieser mit gefälschten Anfragen überflutet.
• Dabei werden oftmals massenhaft kompromittierte Rechner eingesetzt (Bot-Netze), um gigantischen Datenverkehr zu erzeugen.
• Die Folge sind hohe Ladezeiten Ihrer Website oder im schlimmsten Fall sogar der Totalausfall.
• Damit Ihre Web-Anwendungen, Websites, Server und IT-Infrastruktur gegen diese Gefahren abgesichert sind, setzt Hetzner Online auf eine automatisierte Sicherheitslösung, bei der Angriffsmuster in den meisten Fällen frühzeitig erkannt und abgewehrt werden.
• Basierend auf den neuen hochwertigen Hardware-Applikationen und der komplexen Filtertechnik sind Sie vor DDoS-Angriffen weitestgehend geschützt.
• Und das kostenlos.

Sicherheitslösung für den DDoS-Schutz

Zur Abwehr von DDoS-Angriffen kommt ein System zum Einsatz, das hauptsächlich aus Hardware von Arbor und Juniper besteht.

Traffic-Verlauf im Regelbetrieb

Traffic-Verlauf inklusive DDoS-Schutz bei Angriff

Automatische Erkennung von Angriffsmustern

Neben einer Erkennung basierend auf der Trafficmenge und Paketmenge sind wir in der Lage, den eigentlichen Angriff genau einzugrenzen und dadurch präzise auf den verwendeten Angriffstyp einzugehen.

• Ein UDP-Flood mit 500.000 Paketen pro Sekunde ist für Server unbedenklich. 500.000 SYN Pakete können jedoch ein Problem darstellen.
• Genau diese Unterscheidung ist möglich.

Filtern des Traffics nach bekannten Angriffsmustern

Hierbei werden die häufig verwendeten Angriffe sehr effizient gefiltert, indem sie bereits in einem Filternetzwerk verworfen werden.

• Dies betrifft vor allem Angriffe wie DNS-Reflection, NTP-Reflection oder UDP Floods auf Port 80.

Challenge-Response-Authentifizierung und dynamische Trafficfilterung

An dieser Stelle werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert.

• Auch können wir sehr flexibel auf einzelne Angriffe reagieren und diese zuverlässig mitigieren.
• Die verwendete Technologie erlaubt ein hohes Maß an Automatisierung, welche Schritt für Schritt weiter optimiert wird.
• Dies geschieht dadurch, dass alle Angriffe überprüft werden und unsere Filter und Responses kontinuierlich angepasst werden.

Auswirkungen auf den Kunden

Der DDoS-Schutz verursacht keine zusätzlichen Kosten und ist für alle Kunden verfügbar.

• Die Erkennung von DDoS-Angriffen wurde verbessert und ist dauerhaft aktiv.
• Sollte eine Attacke erkannt werden, schaltet sich der Schutz innerhalb weniger Sekunden dynamisch ein und filtert den Angriff.
• Durch die dynamische Vorgehensweise wird Ihr Traffic im Normalfall nicht beeinflusst.

1. https://www.hetzner.com/de/unternehmen/ddos-schutz/