Denial of Service

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Denial of Service (kurz DoS, englisch für: Dienstverweigerung) bezeichnet in der digitalen Datenverarbeitung die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte. Obwohl es verschiedene Gründe für die Nichtverfügbarkeit geben kann, spricht man von DoS in der Regel als die Folge einer Überlastung von Infrastruktursystemen. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen Angriff auf einen Server, einen Rechner oder sonstige Komponenten in einem Datennetz.

Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird auch von einer Verteilten Dienstblockade oder englisch Distributed Denial of Service (DDoS) gesprochen.

Absichtlich herbeigeführte Serverüberlastungen[Bearbeiten]

Wird eine Überlastung mutwillig herbeigeführt, geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte Dienste arbeitsunfähig zu machen.

Funktionsweise[Bearbeiten]

DoS-Angriffe wie z. B. SYN-Flooding oder der Smurf-Angriff belasten den Internetzugang, das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer größeren Anzahl Anfragen als diese verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden. Wenn möglich, ist es jedoch wesentlich effizienter, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind WinNuke, die Land-Attacke, die Teardrop-Attacke oder der Ping of Death.

Im Unterschied zu anderen Angriffen will der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder Ähnliches vom Zielrechner. Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:

  • Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt. Dies soll dafür sorgen, dass das mit der Administration betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist bzw. die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
  • Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten kompromittiert werden. Beispiel hierfür ist das Hijacking fremder Domains durch Liefern gefälschter DNS-Antworten.

Denial-of-Service-Attacken werden mittlerweile von Cyber-Kriminellen zum Verkauf angeboten, etwa um Konkurrenten zu schädigen.[1]

Distributed-Reflected-Denial-of-Service-Angriff[Bearbeiten]

Eine besondere Form stellt der Distributed-Reflected-Denial-of-Service-Angriff (DRDoS-Angriff) dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar. Ein Beispiel für einen solchen Angriff ist die DNS Amplification Attack, bei der das Domain Name System als Reflektor missbraucht wird.

DDoS und Botnetze[Bearbeiten]

Mutwillige DDoS-Angriffe werden oft (aber nicht ausschließlich, siehe Abschnitt "DDoS als Protestaktion") mit Hilfe von Backdoor-Programmen oder Ähnlichem durchgeführt. Diese Backdoor-Programme werden in der Regel von Computerwürmern auf nicht ausreichend geschützten Rechnern installiert und versuchen selbstständig, weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen. Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt.

DDoS als Protestaktion[Bearbeiten]

Als Form des Protestes sind DDoS-Attacken immer populärer geworden. Einfach zu bedienende Werkzeuge wie zum Beispiel die populäre Low Orbit Ion Cannon ermöglichen es nun auch nicht computerversierten Personen, den Betrieb fremder Computer, Webseiten und Dienste mit Denial-of-Service-Angriffen zu stören.

Befürworter dieser Form des Protestes argumentieren, dass bei Online-Demonstrationen die Protestierenden nur ihre eigenen Ressourcen verwenden und deren Aktionen somit weder das Tatbestandsmerkmal der Gewalt, noch eine Drohung mit einem empfindlichen Übel aufweisen. Daher sei diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.[2]

In Deutschland ist bereits der Versuch der Störung als Computersabotage strafbar, siehe dazu Abschnitt Rechtliche Situation.

Beispiele[Bearbeiten]

Im Folgenden werden fünf bekannte Beispiele zu absichtlich herbeigeführten Serverüberlastungen aufgeführt.

  • August 2008: Die Webseite des georgischen Präsidenten Micheil Saakaschwili ist nicht mehr erreichbar.[3]
  • Anfang Juli 2009: Südkoreanische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar. Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.[4]
  • 6. bis 8. Dezember 2010: Als Reaktion auf Sperrungen von WikiLeaks-Konten bei der PostFinance wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Webseiten angegriffen und, bis auf die Amazon-Seite, zeitweise in die Knie gezwungen.[5][6]
  • 18. Mai 2012: Die Webseite der Stadt Frankfurt wurde im Rahmen der Blockupy-Proteste durch Anonymous attackiert und war zeitweise nicht mehr erreichbar.[7]
  • 19. März 2013: Ein Streit zwischen der Plattform Spamhaus und vermutlich dem anonymen Hoster Cyberbunker führte zum derzeit größten bekannten DDoS-Angriff via DNS-Amplification/-Reflection, dem kurzfristig, auf Grund geschickter PR durch CloudFlare als Website-Proxy Spamhauses, nachgesagt wurde, er hätte "das Internet spürbar verlangsamt".[8] Bei etwa 300 Gigabit pro Sekunde anfragenden DNS-Server ist dies, im Vergleich zu Spitzen von 2,5 Terabit/s alleine im DE-CIX, unwahrscheinlich und wird vom Fachdienst Renesys lediglich als "lokaler Angriff" eingeordnet.[9]

Die aufgelisteten Angriffe hatten zwei Gemeinsamkeiten: Zum einen konnten die Absenderadressen der „angreifenden“ Datenpakete gefälscht werden (IP-Spoofing), zum anderen konnte vor dem eigentlichen Angriff auf einer großen Anzahl dritter, nur unzureichend geschützter Internet-Rechner unberechtigterweise Software (wie Hintertüren oder Trojaner) installiert werden, das resultierende Botnetz konnte dann ferngesteuert durch massenhaft versendete Datenpakete den eigentlichen Angriff ausführen.

Herkömmliche Überlastungen[Bearbeiten]

Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte Webseite aufgrund der Berichterstattung in einem publikumswirksamen Medium zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im Netzjargon auch „Slashdot-Effekt“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen. Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite heise online und der dort gelegentlich auftretende „Heise-Effekt“.[10][11][12] Außerdem kann es bei Tweets populärer Nutzer des Netzwerks Twitter und Retweets ihrer Follower zu serverseitigen Ausfällen kommen.[13]

Gegenmaßnahmen[Bearbeiten]

Um Überlastungen von kritischer IT-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt.

Bei kleineren Überlastungen, die nur von einem oder wenigen Rechnern/Absendern verursacht werden, kann eine Dienstverweigerung mit Hilfe von einfachen Sperrlisten (i.d.R. eine Liste von Absender-IP-Adressen) vollzogen werden. Diese Sperrlisten werden von einer sogenannten Firewall ausgeführt: Sie verwirft dabei Datenpakete von IP-Adressen aus dieser Sperrliste (oder leitet sie um). Oft kann eine Firewall auch simple Angriffe automatisch erkennen und diese Sperrlisten dynamisch erzeugen, zum Beispiel durch Rate Limiting von TCP-SYN und ICMP Paketen.

Neben dem Rate Limiting mindert auch der Einsatz von SYN-Cookies die Auswirkungen eines SYN-Flooding-Angriffs.

Analyse- und Filtermaßnahmen können sowohl auf dem betroffenen Rechner als auch auf dem Grenzrouter des Providers eingerichtet werden. Letzteres ist insbesondere die effektivere Variante bei Überlastungen des Internetzugangs.

Außerdem sollten Grenzrouter ungültige Absender Adressen nach RFC2267 filtern um DoS-Angriffe zu verhindern, die versuchen, via IP-Spoofing die Sperrlisten zu umgehen.

Falls dem Angreifer nur die IP-Adresse des betroffenen Rechners bekannt ist, besteht zudem die Möglichkeit, diese zu ändern (beim PC zu Hause würde in der Regel der Neustart des Routers reichen). Erfolgt jedoch ein DoS-Angriff über einen öffentlichen DNS-Hostname und nicht über die IP-Adresse allein, so hilft diese Maßnahme nur kurzfristig.

Eine weitere mögliche – in der Regel aber kostenaufwändigere – Gegenmaßnahme gegen Überlastungen ist die sogenannte Serverlastverteilung. Dabei werden die bereitgestellten Dienste, mit der Hilfe von verschiedenen Virtualisierungstechniken, auf mehr als einen physischen Rechner verteilt.

Da DNS-Amplification-Angriffe in der Vergangenheit bereits Angriffsvolumen von mehr als 200 bis 300 GBit/s erreicht haben, ist als einzig dauerhafte Möglichkeit die Nutzung eines Filter-Services sinnvoll. Diese werden von mehreren kommerziellen Anbietern offeriert, die teilweise über Anbindungen von 400 bis 500 GBit/s verfügen. Selbst größte Angriffe können so ohne Störung des eigenen Rechenzentrums gefahrlos bewältigt werden. Die Dienste unterscheiden sich in Qualität und Größe der abfangbaren Angriffe. Eine Suche zum Thema DDoS-Schutz hilft hier weiter. Insbesondere ist hier auf die Datenschutz-Situation zu achten. So leiten viele US-Anbieter die Daten durch die USA bzw. UK was hinsichtlich der Auftragsdatenverarbeitung nach BDSG nicht erlaubt ist.

Rechtliche Situation[Bearbeiten]

In Deutschland ist die Beteiligung an DoS-Attacken als "Computersabotage" nach § 303b Abs. 1 StGB mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe bedroht, wenn die Dateneingabe oder -übermittlung in der Absicht erfolgt, einem anderen Nachteile zuzufügen, und dadurch eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird.[14][15] Dementsprechend verurteilte das LG Düsseldorf einen Täter, der im Wege einer DDos-Attacke fremde Server mehrfach lahmgelegt hatte, wegen Computersabotage und Erpressung zu einer mehrjährigen Freiheitsstrafe.[16]

Gemäß § 303b Abs. 3 StGB ist auch der Versuch strafbar. Daneben ist ferner auch die Vorbereitung einer Straftat nach § 303b Abs. 1 StGB selbst strafbar, § 303b Abs. 5 StGB i. V. m. § 202c StGB. Hierunter fällt insbesondere die Herstellung und Verbreitung von Computerprogrammen für DoS-Attacken.[17]

Außerdem kann der Geschädigte Schadenersatz fordern.[18] Im Verhältnis zwischen Zugangsanbieter und Reseller liegt das Vertragsrisiko nach Ansicht des Amtsgerichts Gelnhausen regelmäßig bei dem Reseller, so dass er jenem gegenüber auch dann zahlungspflichtig ist, wenn die Leitung durch eine DDoS-Attacke gestört wird.[19]

In Österreich können DoS- bzw DDoS-Attacken die strafrechtlichen Delikte nach § 126a StGB (Datenbeschädigung) und § 126b StGB (Störung der Funktionsfähigkeit eines Computersystemes) erfüllen. Der Missbrauch von Computerprogrammen nach § 126c StGB ist als Vorbereitungshandlung zu diesen Delikten zu sehen und selbst unter Strafe gestellt.

Im Vereinigten Königreich droht sogar für das bloße Herunterladen der für die Angriffe genutzten Software "LOIC" eine Freiheitsstrafe von 2 Jahren.[18]

Siehe auch[Bearbeiten]

Literatur[Bearbeiten]

  • Johannes Öhlböck, Balazs Esztegar: Rechtliche Qualifikation von Denial of Service Attacken. JSt 4/2011, 126

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle - Viruslist.com
  2. Achim Sawall: Anonymous fordert Legalisierung von DDoS-Attacken, 10. Januar 2013. In: golem.de. Abgerufen am 28. März 2013.
  3. Hack-Attacke auf Georgien: Ehrenamtliche Angriffe – Artikel bei Spiegel Online, vom 14. August 2008
  4. Hacker-Attacke auf Südkorea: Österreich unter Verdacht – Artikel bei DiePresse.com, vom 10. Juli 2009
  5. "Shame on you, Postfinance" [Update.] 7. Dezember 2010, abgerufen am 7. Dezember 2010.
  6. "Wikileaks-Gegner" von Hackern bombardiert [Update.] 9. Dezember 2010, abgerufen am 9. Dezember 2010.
  7. Anonymous attackiert Website der Stadt Frankfurt – Artikel im Frankfurter-Blog vom 18. Mai 2012
  8. Gigantische DDoS-Attacke: Spam-Streit bremst das komplette Internet – Artikel im Spiegel Online vom 27. März 2013
  9. Spamhaus Attacke erschüttert das Internet nicht, golem.de. Abgerufen am 24. Juli 2013.
  10. What is the "Slashdot Effect?" (englisch) – Abschnitt in der Slashdot-FAQ, vom 13. Juni 2000
  11. Der Fluch der kleinen Pixel und des inflationären Kommentierens – Weblog-Artikel bei Alles Roger, vom 19. September 2007
  12. Der HEISE-Effekt – Weblog-Eintrag bei jurabilis, vom 20. Februar 2008
  13. Twitter + Retweet = Twitter-Effekt – Weblog-Eintrag bei netzwertig.com, vom 6. Februar 2009
  14. Gröseling, Höfinger: Computersabotage und Vorfeldkriminalisierung – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, 626, 628f.
  15. Ernst: Das neue Computerstrafrecht, NJW 2007, 2661, 2665.
  16. LG Düsseldorf, Urteil vom 22. März 2011, Az. 3 KLs 1/11.
  17. Stree/Hecker, in: Schönke/Schröder, 28. Auflage 2010, § 303b StGB Rn. 21.
  18. a b Illegalität” von LOIC-Tool in UK, Deutschland & Niederlanden? In: netzpolitik.org. 10. Dezember 2010, abgerufen am 10. Dezember 2010.
  19. AG Gelnhausen, Urt. v. 6. Oktober 2005 - 51 C 202/05 -