„Denial of Service“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][ungesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
K RevertVandalismus entfernt
Zeile 1: Zeile 1:
Als '''Denial of Service''' (kurz '''DoS''', englisch für: ''Dienstablehnung'') wird in der [[Digitale Datenverarbeitung|digitalen Datenverarbeitung]] die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen Angriff auf einen [[Host (Informationstechnik)|Host]] ([[Server]]), einen [[Computer|Rechner]] oder sonstige Komponenten in einem [[Datennetz]].
Als '''Denial of Service''' (kurz '''DoS''', englisch für: ''Dienstablehnung'') wird in der [[Digitale Datenverarbeitung|digitalen Datenverarbeitung]] die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen Angriff auf einen [[Host (Informationstechnik)|Host]] ([[Server]]), einen [[Computer|Rechner]] oder sonstige Komponenten in einem [[Datennetz]].


Chris du geile Sau!
== Absichtlich herbeigeführte Serverüberlastungen ==

Wird eine Überlastung mutwillig herbeigeführt, geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte [[Netzwerkdienst|Dienste]] arbeitsunfähig zu machen. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so wird auch von einer ''Verteilten Dienstblockade'' oder englisch '''Distributed Denial of Service''' ('''DDoS''') gesprochen.

=== Funktionsweise ===

DoS-Angriffe, wie z. B. [[SYN-Flood]]ing oder die [[Smurf-Attacke]], belasten die Dienste eines Servers, beispielsweise [[Hypertext Transfer Protocol|HTTP]], mit einer größeren Anzahl Anfragen, als dieser in der Lage ist zu bearbeiten, woraufhin diese eingestellt werden oder reguläre Anfragen so langsam beantworten, dass diese abgebrochen werden. Wenn möglich, ist es jedoch wesentlich effizienter, [[Programmfehler]] auszunutzen, um eine Fehlerfunktion (wie einen [[Absturz (Computer)|Absturz]]) der Serversoftware auszulösen, worauf diese auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind [[WinNuke]], die [[Land-Attacke]], die [[Teardrop-Attacke]] oder der [[Ping of Death]].

DDoS werden in der Regel mit Hilfe von [[Backdoor]]-Programmen oder Ähnlichem durchgeführt. Diese installieren sich auf nicht ausreichend geschützten Rechnern und versuchen selbstständig, weitere Rechner im Netzwerk zu infizieren, um so ein [[Botnet|Botnetz]] aufzubauen. Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt. Darum sind Rechner, auf denen nicht einmal so genannte [[Grundschutzmaßnahmen]] umgesetzt sind, wodurch sie leicht Teil eines Botnetzes werden können, für alle Computer im Internet eine potenzielle Gefahr.

Eine besondere Form stellt die ''Distributed-Reflected-Denial-of-Service-Attacke'' (DRDoS-Attacke) dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein ([[IP-Spoofing]]). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar.

Im Unterschied zu anderen Angriffen will der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder Ähnliches. Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:

* Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt. Dies soll dafür sorgen, dass das mit der [[Administrator (Rolle)|Administration]] betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist bzw. die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
* Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten kompromittiert werden. Beispiel hierfür ist das [[Hijacking]] fremder [[Domainname]]n durch Liefern gefälschter [[Domain Name System|DNS]]-Antworten.

Als Form des Protests sind DoS-Attacken in letzter Zeit populär geworden. Zum Eigenschutz der Protestierenden werden Angriffe dieser Art im Allgemeinen von [[Computerwurm|Würmern]] durchgeführt, die sich selbstständig auf fremden Systemen verbreiten. Entsprechend handelt es sich bei Protestaktionen dieser Art um DDoS-Attacken. Eines der Werkzeuge, die hierfür benutzt wurden, sind z. B. [[Low Orbit Ion Cannon]].

Denial-of-Service-Attacken werden mittlerweile von Cyber-Kriminellen zum Verkauf angeboten, etwa um Konkurrenten Schaden zufügen zu können.<ref>[http://www.viruslist.com/de/analysis?pubid=200883656 Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle - Viruslist.com]</ref> Zu Preisen zwischen 10.- und 40.- € pro Stunde kann man diese „Dienstleistung“ einkaufen.<ref>PC-Magazin 11/2009 S. 8</ref>

=== Beispiele ===

Im folgenden werden drei bekannte Beispiele zu absichtlich herbeigeführte Serverüberlastungen aufgeführt.

* August 2008: Die Webseite des [[Georgien|georgischen]] Präsidenten [[Micheil Saakaschwili]] ist nicht mehr erreichbar.<ref>[http://www.spiegel.de/netzwelt/web/0,1518,572033,00.html Hack-Attacke auf Georgien: Ehrenamtliche Angriffe] – Artikel bei ''[[Spiegel Online]]'', vom 14.&nbsp;August 2008</ref>
* Anfang Juli 2009: [[Südkorea]]nische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar. Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.<ref>[http://diepresse.com/home/politik/aussenpolitik/493971/index.do?_vl_backlink=/home/politik/aussenpolitik/index.do Hacker-Attacke auf Südkorea: Österreich unter Verdacht] - Artikel bei ''[[DiePresse.com]]'', vom 10.&nbsp;Juli 2009</ref>
* 6. bis 8. Dezember 2010: Als Reaktion auf Sperrungen von [[WikiLeaks]]-Konten bei der [[PostFinance]] wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Webseiten angegriffen und, bis auf die Amazon-Seite, zeitweise in die Knie gezwungen.<ref>{{Internetquelle|url=http://www.20min.ch/news/dossier/wikileaks/story/12595939|titel="Shame on you, Postfinance" [Update]|datum=2010-12-07|zugriff=2010-12-07}}</ref><ref>{{Internetquelle|url=http://www.n24.de/news/newsitem_6506110.html|titel="Wikileaks-Gegner" von Hackern bombardiert [Update]|datum=2010-12-09|zugriff=2010-12-09}}</ref>

Die aufgelisteten Angriffe hatten zwei Gemeinsamkeiten: Zum einen konnten die Absenderadressen der „angreifenden“ Datenpakete gefälscht werden ([[IP-Spoofing]]), zum anderen konnte vor dem eigentlichen Angriff auf einer großen Anzahl dritter, nur unzureichend geschützter Internet-Rechner unberechtigterweise Software (wie [[Hintertür]]en oder [[Trojanisches Pferd (Computerprogramm)|Trojaner]]) installiert werden, das resultierende [[Botnetz]] konnte dann ferngesteuert durch massenhaft versendete Datenpakete den eigentlichen Angriff ausführen.


== Herkömmliche Überlastungen ==
== Herkömmliche Überlastungen ==

Version vom 5. September 2011, 15:34 Uhr

Als Denial of Service (kurz DoS, englisch für: Dienstablehnung) wird in der digitalen Datenverarbeitung die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen Angriff auf einen Host (Server), einen Rechner oder sonstige Komponenten in einem Datennetz.

Chris du geile Sau!

Herkömmliche Überlastungen

Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte Webseite aufgrund der Berichterstattung in einem publikumswirksamen Medium (wie dem IT-Online-Magazin Slashdot) zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im Netzjargon auch „Slashdot-Effekt“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen. Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite heise online und der dort gelegentlich auftretende „Heise-Effekt“.[1][2][3][4]

Gegenmaßnahmen

Um Überlastungen von kritischer IT-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt.

Bei kleineren Überlastungen, die keinen erheblichen Datenverkehr verursachen, kann eine Dienstverweigerung mit Hilfe von einfachen Sperrlisten (siehe auch hosts-Datei) oder auch von sogenannten Firewalls, auf Basis der Herkunfts-IP-Adresse, durch den Server selbst bereits sinnvoll sein. Dabei werden Datenpakete von bekannten (unerwünschten) IP-Adressen einfach verworfen (oder umgeleitet).

Eine dynamische zudem aber aufwendigere Vorgehensweise besteht im laufenden Abgleich der IP-Adressen mit Sperrlisten, sowie der Analyse und Filterung des eingehenden Datenverkehrs durch den Grenzrouter des Providers. Ebenso kann sich eine dynamische Filterung auf Datenmengen beziehen. Jeder IP-Adresse, die dabei einen einstellbaren Grenzwert (z. B. Datenvolumen pro Zeit) überschreitet, kann der Zugang komplett verweigert oder dessen Bandbreite beschränkt werden. Zum Beispiel kann man in den Firewall-Regeln des Servers festlegen, dass jede IP nur alle drei bis fünf Sekunden eine Anfrage abgeben darf (bei zu schneller Folge würde der Rest verworfen), was bei normaler Nutzung (z.B. http) nicht weiter stört, die Last bei DoS-Angriffen jedoch erheblich senkt, da das Verwerfen eines Paketes durch die Firewall ressourcenschonender ist, als es (evtl. noch durch einen stark ressourcenverbrauchenden Webserver) weiterzuverarbeiten.

Bei der kompletten Sperre des eingehenden Datenverkehrs werden am Grenzrouter des Providers alle auf die betroffene Ziel-IP-Adresse eingehenden Datenpakete verworfen. Das bedeutet im Umkehrschluss, dass auch legitime Anfragen an die IP-Adresse und den dahinterliegenden Server verworfen werden. Der Server ist dann faktisch nicht mehr erreichbar, womit die Attacke ihr Ziel erreicht hat.

Treten die Überlastungen wiederholt auf, besteht zudem die Möglichkeit, die IP-Adresse des Servers zu ändern. Erfolgt jedoch ein DoS-Angriff auf den DNS-Hostname des Servers und nicht auf die IP-Adresse, so hilft diese Maßnahme nur kurzfristig. Selbst wenn der Angriff statisch die IP-Adresse des Servers verwendet, ist es möglich, dass der Angreifer innerhalb kurzer Zeit die Änderung dieser bemerkt und sein Ziel entsprechend anpasst.

Eine weitere mögliche – in der Regel aber kostenaufwendigere – Gegenmaßnahme gegen Überlastungen ist die sogenannte Serverlastverteilung. Dabei werden die bereitgestellten Dienste, mit der Hilfe von verschiedenen Virtualisierungstechniken, auf mehr als einen physischen Rechner verteilt.

Rechtliche Situation

In Deutschland ist die Beteiligung an DoS-Attacken als "Computersabotage" nach § 303b Abs. 1 StGB mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe bedroht, wenn die Dateneingabe oder -übermittlung in der Absicht erfolgt, einem anderen Nachteil zuzufügen, und dadurch eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird.[5][6]

Gemäß § 303b Abs. 3 StGB ist auch der Versuch strafbar. Daneben ist ferner auch die Vorbereitung einer Straftat nach § 303b Abs. 1 StGB selbst strafbar, § 303b Abs. 5 StGB i. V. m. § 202c StGB. Hierunter fällt insbesondere die Herstellung und Verbreitung von Computerprogrammen für DoS-Attacken.[7]

Außerdem kann der Geschädigte Schadenersatz fordern.[8]

Im Vereinigten Königreich droht sogar für das bloße Herunterladen der für die Angriffe genutzten Software "LOIC" eine Freiheitsstrafe von 2 Jahren.[8]

Siehe auch

Weblinks

Einzelnachweise

  1. What is the "Slashdot Effect?" (englisch) – Abschnitt in der Slashdot-FAQ, vom 13. Juni 2000
  2. Der Fluch der kleinen Pixel und des inflationären Kommentierens – Weblog-Artikel bei Alles Roger, vom 19. September 2007
  3. Der HEISE-Effekt – Weblog-Eintrag bei jurabilis, vom 20. Februar 2008
  4. Twitter + Retweet = Twitter-Effekt – Weblog-Eintrag bei netzwertig.com, vom 6. Februar 2009
  5. Gröseling, Höfinger: Computersabotage und Vorfeldkriminalisierung - Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, 626, 628f.
  6. Ernst: Das neue Computerstrafrecht, NJW 2007, 2661, 2665.
  7. Stree/Hecker, in: Schönke/Schröder, 28. Auflage 2010, § 303b StGB Rn. 21.
  8. a b Illegalität” von LOIC-Tool in UK, Deutschland & Niederlanden? In: netzpolitik.org. 10. Dezember 2010, abgerufen am 10. Dezember 2010.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Denial_of_Service&oldid=93280645