Die Bezeichnungen Denial of Service Angriff und Distributed Denial of Service Angriff (DoS und DDoS) sind ein Sammelbegriff für Angriffsmethoden, die das Ziel verfolgen, einen Dienst unverfügbar oder unerreichbar zu machen. Derartige Angriffe haben meist eine ideologische, politische oder monetäre Motivation, beispielsweise die Störung oder Rufschädigung einer Organisation, Angriffe auf wichtige Infrastrukturen bei wirtschaftlichen oder militärischen Konflikten oder Erpressung. Denial of Service Angriffe sind häufig und können grosse Schäden verursachen, besonders wenn sie von sehr vielen Anwendern genutzte Dienste betreffen oder die betroffene Organisation keine Ausfälle tolerieren kann. Nicht selten sind Opfer solcher Angriffe bemüht, ihre Verletzlichkeit und die Auswirkungen herunterzuspielen aus Sorge um ihren Ruf und vor schädlichen Auswirkungen auf ihr Geschäft. Auch in der Schweiz sind in jüngerer Zeit mehrere Beispiele von DDoS-Angriffen bekannt geworden.

Arten von DoS-Angriffen

Bei Denial of Service Angriffen wird unterschieden zwischen volumenbasierten Angriffen und solchen, die technische Schwächen in Protokollen oder Anwendungen oder ungeeignet konfigurierte Infrastrukturen ausnutzen. Kombinationen davon gibt es ebenfalls.

Volumenbasierte Denial of Service Angriffe

Viele der heutigen Denial of Service Angriffe verwenden volumenbasierte Vorgehensweisen. Hierbei wird eine sehr grosse Menge an Netzwerkverkehr erzeugt und auf das Angriffsziel geleitet, beispielsweise eine Website oder der Internetanschluss einer Organisation. Dadurch wird Sättigung der beim Opfer verfügbaren Bandbreite erreicht, wodurch legitime Anfragen von Benutzern nicht mehr bedient werden können. Diese Art von DoS-Angriff verwendet also einfach die Macht der Masse, womit auch unmittelbar einleuchtet, dass diejenige Partei mit der grösseren Kapazität die Oberhand behält.

Vor Jahren, als die Verbreitung von Systemen mit leistungsfähigen Internetanschlüssen noch nicht so gross war wie heute, versuchten Angreifer, zentrale Systeme mit grosser Bandbreite unter ihre Kontrolle zu bringen, um diese für Angriffe zu missbrauchen. Heute sind schnelle Internetzugänge auch bei Endanwendern weitverbreitet. Angreifer bringen möglichst viele solche Systeme unter Kontrolle und haben damit eine grosse Zahl Angriffspunkte zur Verfügung, häufig ohne dass der Besitzer sich dessen bewusst ist. Durch Malware infizierte und dadurch fernsteuerbare PCs (Botnets), virtuelle Server bei Cloudanbietern und ungenügend gesicherte oder verwundbare IoT-Geräte (Thing Bots) werden häufig benutzt, oft sind sie geographisch weit verteilt (distributed) und voneinander unabhängig.

Um ein möglichst grosses Volumen an Netzwerkverkehr zu erzeugen, können Angreifer in sogenannten Amplification Attacks Eigenschaften bestimmter Protokolle ausnutzen. Dabei sendet der Angreifer eine Anfrage, beispielsweise an einen DNS-Server, der dann eine viel grössere Antwort zurücksendet, wodurch der Verstärkungseffekt erreicht wird. Im nachfolgenden Beispiel führt eine DNS-Abfrage mit der Grösse von 49 Bytes zu einer Antwort von 2969 Bytes.

$ dig any admin.ch @8.8.8.8

; <<>> DiG 9.18.16 <<>> ANY admin.ch @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20628
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 31, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;admin.ch.                      IN      ANY

;; ANSWER SECTION:
admin.ch.               3600    IN      SOA     ins1.admin.ch. dnsmaster.admin.ch. 15468811 10800 600 604800 600
admin.ch.               0       IN      RRSIG   NSEC3PARAM 8 2 0 20230719162234 20230716032224 45579 admin.ch. hqm9Fy1SvIXRxLM5qX++gR4sG7ObQ9O3aWJmngMY2Yy5JJoVJlq6CGfn AKWdFZ770l0SlPXlhjIw5KJMMufJxX2BG4IDoHGNQKhOhkCNCgAgjIvU 9T22FIlDsMABODIWbUVdigqc+KfHxhaoteskYxCwX1ZSQ2SW+CdiaMcX bsg=
admin.ch.               0       IN      NSEC3PARAM 1 0 10 C325EB22E4AEEEE1
admin.ch.               3600    IN      CAA     0 issue "swisssign.com"
admin.ch.               3600    IN      CAA     0 iodef "mailto:hostmaster@admin.ch"
<...>
admin.ch.               3600    IN      RRSIG   TXT 8 2 3600 20230719135336 20230715130237 45579 admin.ch. kqcymnajyNwwihW4DcOSxgi8eJPXDpdwTyLtXCcyqmgw6Fqhts39JTRI YNUEk3xL/+Gh4SLPBT5jYhtu9vpbJbuiCNtKBOL4KO8FIQ6mvtI6WFRj O5K55AOcckaQs2P6G5RGxUiqSSPHZanE6zZSYA+3ZgOQKQVQfNtUYOHT aHQ=
admin.ch.               3600    IN      RRSIG   MX 8 2 3600 20230719213237 20230715212017 45579 admin.ch. Nc5qSYgsBVRyB1MqfLbC3yyTzp8EpaAfsQD/lUkuC/nAeZn+2QudwjYW aq1IoLg2vAyfi/F9bM7ywmAYtaRquJsEKXJHDFn5HDd0owLJzpNjb0Gr bAMNTRg6lcSgHvyeTotZ8arzi50a5HqOibrWtQFhFoaLqDPx6DaOGSKP luA=
admin.ch.               3600    IN      RRSIG   A 8 2 3600 20230718001155 20230714000318 45579 admin.ch. F33Kt7KMXuoYBTtrEJW9T+H5wIKsleyj4+4H2Aykvk1J07vNONFzvTMJ rhi0cqvVXpFWuMTsmADl644VZevoViAUZVZv7yD1UdUZ3qWqCJpxaqiO gGtd9NTZg1Stbe4XJzAVK8qWkC4EPAqcJgsAjdjiHr/Cg0Q71YdNpXHh UBk=
admin.ch.               3600    IN      RRSIG   CAA 8 2 3600 20230717165531 20230713162756 45579 admin.ch. h/RlqwV+fwITtxf0HFzgnDtFDTTu/YmN5bpR7j96gFYVvjoZ+kHPJcCC 70L1Il2JV636/Cz0hgr4l7Vzt++04XyHqRnXErejTC0U0kLUx8bO139+ NAIHDokvytAwlWrvNhHdY/hPymrT2RXLC0OMkB2agIqvUj6u1EX2N3pU rxA=

;; Query time: 20 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (TCP)
;; WHEN: Sun Jul 16 16:02:16 CEST 2023
;; MSG SIZE  rcvd: 2969

Um dies für DDoS-Angriffe zu verwenden, muss es möglich sein, die Antwort an ein beliebiges Ziel senden zu lassen. Dies kann prinzipiell mit Netzwerkprotokollen erreicht werden, die keinen Handshake erfordern. Dabei wird der Absender einer Anfrage nicht durch den Empfänger verifiziert, sondern dieser vertraut darauf, dass die in der Anfrage enthaltene Absenderadresse korrekt ist. Er sendet seine Antwort deshalb an diese Adresse. Durch Fälschen (spoofing) der Absenderadresse gelangt die Antwort dann nicht an den Absender, sondern an die gefälschte Adresse. Diese beiden für Amplification Attacks notwendigen Eigenschaften sind in einigen UDP-basierten Protokollen wie DNS, NTP oder SNMP und in Anwendungen wie memcached vereint. Sie können ausgenutzt werden, wenn die Betreiber solcher Dienste die Zugriffsmöglichkeiten nicht ausreichend einschränken.

Volumenbasierte Angriffe haben schlicht das Ziel, eine überwältigend grosse Menge an Netzwerkverkehr an ein Opfer zu senden. Sie können verschiedene Techniken dazu verwenden und unterschiedliche Schichten des OSI-Layers nutzen, wobei die Ressourcenüberlastung durch Netzwerkvolumen das prägende Merkmal ist.

Denial of Service aufgrund technischer Schwächen

Diese Kategorie von Denial of Service Angriffen nutzt Schwachstellen aus, die zum Ausfall oder zur Nicht-Erreichbarkeit von Diensten führen. Das können Schwachstellen oder Konfigurationsfehler in Anwendungen sein aber auch missbrauchsfähige Eigenschaften von Systemen, Infrastrukturkomponenten oder Protokollen.

Ein Angreifer kann versuchen, in einer Webapplikation systematisch Zugänge zu sperren durch Eingabe ungültiger Anmeldeinformationen, wodurch die Anwendung für reguläre Benutzer nicht mehr verwendbar ist. Das Hochladen einer Datei mit bestimmten Eigenschaften, beispielsweise eine komprimierte Datei, die beim Entpacken riesig wird, kann dazu führen, dass die Ressourcen des Servers überlastet werden und die Anwendung nicht mehr ansprechbar ist. Oder ein Angreifer kann versuchen, viele parallele Anfragen an einen Dienst zu schicken und diese gleichzeitig aktiv zu halten, wodurch die Anzahl möglicher Verbindungen vollständig belegt wird.

In Firewalls und anderen Netzwerkgeräten wurden schon viele Schwachstellen gefunden, die bei der Verarbeitung unerwarteter Daten zu Fehlern und zu Ausfällen führten. Angreifer können präparierte Datenpakete verwenden in der Absicht, entsprechende Ausfälle zu erzeugen. Geräte, die nicht dafür entwickelt wurden, an öffentliche Netze angeschlossen zu werden, beispielsweise Maschinensteuerungen, können häufig schlecht mit unbekannten Eingaben umgehen und können manchmal einfach zum Absturz gebracht werden. Schliesslich stellen auch Ransomware-Angriffe oft eine Form von Denial of Service das, obschon sie meist nicht so bezeichnet werden.

Detektion

Volumenbasierte DDoS-Angriffe zeichnen sich durch Anomalien im Datenverkehr aus. Umfangreiche Fällen mit sehr grossen Datenmengen wird in der Regel der Internetprovider durch seine Netzwerküberwachung rasch bemerken. Volumenbasierte Angriffe auf einzelne Dienste, beispielweise einen einzelnen Webserver, kann durch Überwachung der Anzahl Anfragen, plötzliche Abweichungen oder Anomalien wie unübliche Quelladressen erkannt werden. Bei applikatorischen und protokollbasierten DDoS-Angriffen kann der Netzwerkverkehr ähnlich oder gleich wie legitimer Verkehr aussehen, was Detektion erschweren kann. Hier kann die Überwachung auf Anomalien und die Überwachung der System- und Anwendungsprotokolle hilfreich sein.

Wird ein DDoS-Angriff erkannt, sind die Dienste oder Teile davon meistens bereits nicht mehr verfügbar oder zumindest stark beeinträchtigt. Rasche Handlungsfähigkeit ist deshalb essentiell, was ohne geeignete Vorbereitungen schwierig ist.

Prävention und Mitigation

Für den Schutz vor DDoS-Angriffen und ihren Schäden gibt es diverse Ansätze. Bei volumenbasierten Angriffen wird in der Regel versucht, den Netzwerkverkehr auf seinem Weg zwischen Angreifer und Opfer aufzuhalten. Dies kann auf Ebene der grossen Datenleitungen im Internet oder auf Ebene einzelner Internetprovider oder innerhalb kleinerer Netzwerksegmente erfolgen. Dabei wird durch geeignete Konfiguration und Filterung dafür gesorgt, dass vom Angreifer versandte Datenpakete ihr Ziel nicht erreichen können bzw. herausgefiltert werden, was meistens Kommunikation und Zusammenarbeit zwischen den Organisationen erfordert. Die DDoS Mitigation Services von Internetprovidern verwenden solche Routing- und Filteringmechanismen, um Angriffe von ihren Kunden fernzuhalten.

Zum Schutz einzelner Anwendungen können applikationsspezifische Dienste verwendet werden, zwei der bekanntesten dürften Akamai und Cloudflare sein. Dabei wird die leistungsfähige Infrastruktur des Dienstanbieters zwischen die Anwendung und ihre Benutzer geschaltet. Der Dienstanbieter sorgt dann für Filterung, Umleitung, Lastverteilung und globale Präsenz mit dem Ziel maximaler Verfügbarkeit auch bei Angriffen.

Allgemein betrachtet sind die Empfehlungen für den Schutz vor nicht-volumenbasierten DDoS-Angriffen dieselben wie auch sonst in der IT-Sicherheit: Stets für vollständig aktuelle und sicher konfigurierte Systeme und Anwendungen sorgen; geeignete Schutzsysteme verwenden, regelmässige Sicherheitstests durchführen und Überwachen und Alarmieren.

Fazit

DDoS-Angriffe sind weitverbreitet und man muss leider davon ausgehen, dass sie auch künftig eine ernsthafte Bedrohung sein werden. Beim Schutz vor solchen Angriffen gilt es genau zu analysieren, wogegen man sich schützen will und welche Vorbereitungen dafür getroffen werden müssen. Beispielsweise kann eine gut konfigurierte Web Application Firewall einen wertvollen Sicherheitsbeitrag leisten, vermag aber nicht vor volumenbasierten DDoS-Angriffen zu schützen. Ein DDoS Mitigation Service kann dabei helfen, die Verfügbarkeit von Diensten aufrecht zu erhalten, erfordert zur Aktivierung aber oft die Beauftragung beim Provider. Die Abwehr gross angelegter DDoS-Angriffe erfordert die Koordination und Zusammenarbeit mehrerer unabhängiger Organisationen, was leider oft aus nichttechnischen Gründen scheitert. Schliesslich muss man sich bewusst sein, dass bei volumenbasierten DDoS-Angriffen diejenige Partei mit den grösseren Ressourcen gewinnen wird, es gilt also abzuwägen, wie viel man in Prävention und Schutz investieren kann und will.

Über den Autor

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

• https://apnews.com/article/microsoft-outage-ddos-attack-hackers-outlook-onedrive-7a23f92ab3cc2b7f0c590c7d08cf03fe
• https://www.inside-it.ch/bundesanwaltschaft-untersucht-ddos-angriff-auf-parlamentsdienste-20230612
• https://www.inside-it.ch/erneut-schweizer-websites-von-ddos-betroffen-20230615
• https://www.scip.ch/?labs.20190103
• https://www.theregister.com/2016/10/21/dyn_dns_ddos_explained/