Zpedia 

/ Was ist ein DoS-Angriff (Denial-of-Service)?

Was ist ein DoS-Angriff (Denial-of-Service)?

Bei DoS-Angriffen (Denial-of-Service) wird der Service eines mit dem Internet vernetzten Hosts durch Cyberkriminelle außer Betrieb gesetzt, sodass legitime User nicht darauf zugreifen können. Zu diesem Zweck wird ein Netzwerk oder Server gezielt mit so vielen gefälschten Anfragen und anderem schädlichen Traffic bombardiert, dass das System überlastet wird und legitimen Traffic nicht mehr verarbeiten kann.

Zscaler-Produkte zum Schutz vor Cyberbedrohungen
NetzwerksicherheitCloud-SicherheitSecOps und Endpoint Security
  1. Funktionsweise
  2. Unterschiede zwischen DoS-Angriffen und DDoS-Angriffen
  3. Beispiele für Angriffe
  4. Erkennungsmerkmale
  5. Angriffskategorien
  6. Prävention
  7. Schutz durch Zscaler
  8. Empfohlene Ressourcen
  9. FAQs
  10. Ähnliche Themen

Wie laufen DoS-Angriffe ab?

Bei DoS-Angriffen setzen Hacker Programme ein, die den Server des Opfers mit schädlichem Traffic überfluten. Dieser Traffic besteht aus einzelnen Anfragen, die scheinbar von legitimen Usern stammen und deswegen vom Server validiert werden. Die „Serviceverweigerung“, auf die die Bezeichnung „Denial-of-Service“ anspielt, entsteht durch den Verlust an Bandbreite und Netzwerkressourcen, die für legitimen und geschäftskritischen Traffic zur Verfügung stehen.

Die angegriffenen Systeme oder Daten sind dadurch für legitime User, die Zugriff darauf benötigen, nicht verfügbar. DoS-Angriffe werden häufig zur Erpressung eingesetzt, da ein Unternehmen, das seinen Kunden seinen Service nicht anbieten kann, mit Umsatzeinbußen und Rufschädigung rechnen muss. Insofern bestehen gewisse Ähnlichkeiten zu Ransomware , wobei der Angriff nicht auf die Daten der Opfer, sondern auf das gesamte System gerichtet ist.

Welcher Unterschied besteht zwischen DoS-Angriffen und DDoS-Angriffen?

Während ein DoS-Angriff nur von einer Quelle ausgeht, werden bei einem Distributed-Denial-of-Service-Angriff (DDoS-Angriff) betrügerische Anfragen von mehreren Quellen gleichzeitig gesendet. Normalerweise nutzt ein Täter eine Gruppe von mit dem Internet verbundenen Geräten, manchmal auf globaler Ebene, um den Zielserver zu überfluten, was die Überlastung eines Servers gegenüber eines einfachen DoS-Angriffs erheblich erleichtert.

Eine derartige Gruppe infizierter Computer wird als Botnet bezeichnet. Die Geräte innerhalb eines Botnets sind miteinander synchronisiert und warten auf Anweisungen eines Angreifers an einer bestimmten IP-Adresse, bevor sie eine Flood Attack auslösen. Diese Angriffe beginnen normalerweise zu einem im Voraus geplanten Zeitpunkt und können stunden- oder sogar tagelang andauern.

Ein Server, der einem DoS-Angriff ausgesetzt ist, kann einfach die Verbindung schließen, über die der Angriff ausgeführt wird. DDoS-Angriffe sind viel gefährlicher und schwieriger abzuwehren, da der Datenverkehr aus mehreren Quellen gleichzeitig kommt.

Darüber hinaus verwenden böswillige Akteure jetzt IoT-Geräte (Internet of Things), um ihre Botnets durch Reduzierung manueller Prozesse noch gefährlicher zu machen. Sie können IoT-Geräte verwenden, um die Synchronisierung ihrer Botnet-Geräte erheblich zu vereinfachen und so die Wirksamkeit ihrer Angriffe zu erhöhen.

Welche DoS-Angriffe waren von besonderer Tragweite?

Im Vergleich zu DoS-Angriffen lassen sich DDoS-Angriffe schwieriger abwehren und können daher über einen längeren Zeitraum durchgeführt werden. Vor allem deshalb kommen sie sehr viel häufiger vor.

Anbieter von Cloud-Diensten werden häufig Opfer von DDoS-Angriffen, da sie für derartige Bedrohungen anfällig sind. Die folgenden Fälle haben unlängst Schlagzeilen gemacht:

  • Amazon:  Im Februar 2020 wurde Amazon Opfer eines der größten DDoS-Angriffe aller Zeiten. Mithilfe von CLDAP (Connectionless Lightweight Directory Access Protocol) Reflection griffen Cyberkriminelle einen Kunden von Amazon Web Services (AWS) drei Tage lang mit einer Geschwindigkeit von 3,3 Terabyte pro Sekunde (TBps) an.
  • GitHub: Im Februar 2018 wurden die GitHub-Server 20 Minuten lang mit einem Volumen von 1,35 Terabyte pro Sekunde bombardiert. Der Angriff wurde von „über tausend verschiedenen autonomen Systemen“ gestartet, die auf „zehntausenden Einzelgeräten“ gehostet wurden.
  • Google: Im Oktober 2020 wurde Google Opfer eines sechs Monate andauernden UDP-Amplification-Angriffs, der von drei chinesischen Internetdienstanbietern (ISPs) gehostet wurde und bei dem Junk-Daten im Ausmaß von mehr als 2,5 Terabyte pro Sekunde an Google-Server übertragen wurden.

Woran erkennt man einen DoS-Angriff?

Route Advertisements – die zum Austausch von Informationen über Verbindungspfade im Internet dienen – werden von Infrastrukturanbietern in der Regel nicht gefiltert. Auch eine effektive Paketfilterung zur Verifizierung der jeweiligen Traffic-Quelle kommt bei vielen Anbietern zu kurz. Dadurch entstehen Transparenzlücken, die Angreifer gerne ausnutzen, um Organisationen mit schädlichem Traffic zu attackieren.

Bei DoS- und DDoS-Angriffen stehen generell drei Motive im Vordergrund: eine feindselige Einstellung gegenüber dem Angriffsziel (insbesondere bei Angriffen von sogenannten Hacktivisten), erpresserische Absichten sowie die Hoffnung, die Opfer durch die Serviceverweigerung genügend abzulenken, um unbemerkt Daten und andere vertrauliche Informationen stehlen zu können. Frühwarnzeichen im eigentlichen Sinne gibt es bei DoS-Angriffen nicht. Erfahrene Sicherheitsexperten können jedoch erkennen, wenn Bedrohungsakteure Traffic an eine Organisation schicken, um die Erfolgsaussichten eines potenziellen Angriffs zu sondieren.

Die Akteure senden eine große Anzahl von Anfragen, beispielsweise an verschiedene Bereiche einer Website, um festzustellen, ob die Webserver für einen DoS-Angriff anfällig sind. Solche „Vorbeben“ sind als Anzeichen für einen möglicherweise bevorstehenden Angriff zu werten.

Eine effektive Lösung zur Überwachung der Netzwerksicherheit liefert Ihren Cybersicherheitsexperten aussagekräftige Informationen zur Analyse des Netzwerk-Traffics und Erkennung paketübergreifender Muster, die eindeutig auf einen Angriff hinweisen. Um Angriffe in Echtzeit erkennen und entsprechende Gegenmaßnahmen ergreifen zu können, müssen Sie die Metadaten von Ihren Routern und Switches im Auge behalten. Dazu brauchen Sie ein leistungsstarkes Überwachungstool.

Kategorien von DoS-Angriffen

Es gibt vier Hauptarten von DoS-Angriffen, die darauf abzielen, Systeme und Daten auszunutzen oder zu erpressen:

  • Browser-Umleitung: Ein User fordert das Laden einer Seite an, wird jedoch von einem Hacker auf eine andere, bösartige Seite umgeleitet.
  • Schließen von Verbindungen: Ein böswilliger Akteur schließt einen offenen Port und verweigert einem User so den Zugriff auf eine Datenbank.
  • Datenvernichtung: Ein Hacker löscht Dateien, was zu einer Fehlermeldung des Typs „Ressource nicht gefunden“ führt, wenn jemand diese Datei anfordert. Oder wenn eine Anwendung eine Sicherheitslücke enthält, die sie für Injection-Angriffe anfällig macht, kann der böswillige Akteur den Dienst verweigern, indem er die Datenbanktabelle löscht.
  • Ressourcenüberlastung: Ein böswilliger Akteur fordert wiederholt Zugriff auf eine bestimmte Ressource an und überlastet dadurch die Webanwendung, was dazu führt, dass sie langsamer lädt oder abstürzt, wobei die Seite wiederholt neu geladen wird.

 

Arten von DDoS-Angriffen

Insbesondere sollten Sie sich vor folgenden spezifischen Arten von DDoS-Angriffen schützen:

  • SYN-Überflutung: SYN-Überflutung: Angreifer nutzen eine TCP-Verbindung (SYN-ACK) aus, um hohe Volumen von SYN-Paketen zu senden und so die Ressourcen des Zielsystems zu überlasten.
  • Spoofing: Angreifer geben sich als User oder Geräte aus und starten einen Cyberangriff mit gefälschten Paketen, nachdem ihre Verbindungsanfragen genehmigt wurden.
  • DDoS-Angriff auf Anwendungsebene: Wie der Name schon sagt wird hier eine Schwachstelle oder Fehlkonfiguration in einer Anwendung ausgenutzt und einem User der Zugriff auf die Anwendung oder deren Nutzung verweigert.
  • DNS-Überflutung (Domain-Namen System): Angreifer setzen die DNS-Auflösung für einen bestimmten Domainnamen außer Kraft, indem die entsprechenden Server mit Anfragen überflutet werden.
  • ICMP-Überflutung (Internet Control Message Protocol): Bei dieser Angriffsart, die auch als „Ping Flood“ bezeichnet wird, erstellt der Bedrohungsakteur einen sogenannten Smurf-Angriff mit einer gefälschten Quell-IP-Adresse. Diese Methode kann auch zum Senden eines „Ping of Death“ verwendet werden, bei dem große Pakete einen Pufferüberlauf verursachen.
  • UDP-Überflutung (User Datagram Protocol): Angreifer überfluten willkürlich ausgewählte Ports des Zielsystems, das dann Ressourcen verbraucht und mit „Ziel nicht erreichbar“-Paketen antwortet.

Abwehr von DoS-Angriffen

Vor DoS- und DDoS-Angriffen ist keine Branche sicher. Wenn Sie einige Best-Practice-Handlungsempfehlungen beachten, können Sie jedoch dafür sorgen, dass Ihre Organisation über alle erforderlichen Tools und Protokolle zur effektiven Bekämpfung von DoS und DDoS verfügt.

Hier sind fünf Möglichkeiten, einen DoS-Angriff zu verhindern:

  1. Erstellen Sie einen DoS-Reaktionsplan. Gehen Sie Ihr System durch und identifizieren Sie alle potenziellen Sicherheitsmängel, Schwachstellen oder Sicherheitslücken. Skizzieren Sie einen Reaktionsplan für den Fall eines Angriffs.
  2. Sichern Sie Ihre Infrastruktur. Effektive cloudbasierte Firewalls, Traffic Monitoring und Bedrohungsaufklärungslösungen wie Angriffserkennung oder -prävention erhöhen Ihre Chancen, DoS-Angriffe abzuwehren, erheblich.
  3. Achten Sie auf Warnsignale. Achten Sie auf langsame Netzwerkleistung, Website-Ausfallzeiten, Ausfälle oder einen plötzlichen Anstieg von Spam. All diese Dinge erfordern sofortiges Handeln.
  4. Nutzen Sie cloudbasierte Dienste. Cloud-Ressourcen bieten Ihnen mehr Bandbreite als lokale Ressourcen. Da sich Ihre Server nicht alle an denselben Standorten befinden, wird es für böswillige Akteure schwieriger, Sie ins Visier zu nehmen.
  5. Achten Sie auf ungewöhnliche Aktivitäten. So kann Ihr Sicherheitsteam einen DoS- oder DDoS-Angriff in Echtzeit erkennen und abschwächen. Im nächsten Abschnitt werden wir Möglichkeiten behandeln, wie Sie das Risiko von DoS- und DDoS-Angriffen insgesamt reduzieren können.

Wie lässt sich das Risiko eines DoS-Angriffs reduzieren?

Eine mangelhafte Sicherheitslage und Transparenz können nicht nur DoS- und DDoS-Angriffen Tür und Tor öffnen, sondern auch anderen Bedrohungen wie Malware, Ransomware, Spear-Phishingund mehr. Um die Sicherheit Ihres Unternehmens zu gewährleisten und Ihre Chancen auf eine wirksame Abwehr von DoS- und DDoS-Angriffen zu maximieren, benötigen Sie einen angemessenen DoS- und DDoS-Schutz. So können Sie das Risiko eines DoS- oder DDoS-Angriffs verringern:

  • Setzen Sie auf cloudbasierte Sicherheit. Mit cloudbasierter Sicherheit können Sie Richtlinien auf alle Ihre User ausweiten – egal, wo sie sich befinden und welches Gerät sie verwenden – und erhalten vollständige Transparenz über Ihre Umgebung. Dank automatischer Updates und ohne Notwendigkeit für manuelles Patchen oder Optimierungen sind Sie stets gegen die neuesten Bedrohungen gewappnet.
  • Setzen Sie auf Extended Detection and Response (XDR). XDR ist eine Weiterentwicklung von Endpoint Detection and Response (EDR), die Ihnen Bedrohungstransparenz am Endgerät sowie Einblick in potenzielle Daten- und Cloud-Sicherheitsrisiken bietet – und das alles inklusive ganzheitlicher Bedrohungsinformationen. Dadurch wird die Flut an Fehlalarmen eingedämmt, mit denen ein Sicherheitsteam normalerweise konfrontiert wird, und das Team kann produktiver arbeiten.
  • Ziehen Sie die Einrichtung eines Security Operations Centers (SOC) in Betracht. Ein über die Cloud verwaltetes SOC ermöglicht es Ihnen, Bereiche abzudecken, für die Ihrem Sicherheitsteam möglicherweise die Bandbreite fehlt, nämlich die Bereitstellung von Cloud-Richtlinien, Bedrohungserkennung und -reaktion, Data Protection und in manchen Fällen sogar Compliance. Wie XDR gibt ein verwaltetes SOC Ihnen und Ihrem Team die Freiheit, sich auf dringlichere Angelegenheiten zu konzentrieren.
  • Implementieren Sie eine Zero-Trust-Architektur. Laut Gartner werden bis 2025 mindestens 70 % der neuen Remote-Access-Bereitstellungen hauptsächlich über ZTNA- statt über VPN- Dienste bereitgestellt – gegenüber weniger als 10 % Ende 2021. Das liegt daran, dass Zero-Trust-Sicherheit Zugriff nur kontextbasiert gewährt (d. h. auf Basis von User, Gerät, Standort und Anwendung) und so sicherstellt, dass böswillige Akteure unter allen Umständen ferngehalten werden.

Nur ein einziger Anbieter stellt eine cloudnative Zero-Trust-Lösung bereit. Derselbe Anbieter arbeitet mit den weltbesten XDR-Architekten zusammen, um Sie bei der Erkennung von Bedrohungen auf sämtlichen Endgeräten, Clouds und Datenspeichern zu unterstützen. Dieser Anbieter ist Zscaler.

Vorteile der Zscaler-Lösung

Zscaler ist der einzige Sicherheitsdienstleister der eine Plattform mit ausreichenden Kapazitäten anbietet, um die neuesten Bedrohungen, einschließlich DoS- und DDoS-Angriffen, abzuwehren. Zscaler Private Access™ (ZPA™) ist Teil des Zscaler Zero Trust Exchange™, der weltweit am besten bewerteten und am häufigsten eingesetzten Security Service Edge (SSE)-Plattform.

Das einzigartige Design von ZPA basiert auf vier Grundprinzipien:

  • Verbindung zwischen Usern und Anwendungen ohne Netzwerkzugriff
  • Anwendungen sind für unbefugte User nicht sichtbar
  • Anwendungssegmentierung statt Netzwerksegmentierung
  • Sicherer Remote-Zugriff ohne Verwendung von VPN-Geräten

ZPA bietet eine einfache, sichere und effektive Möglichkeit, auf interne Anwendungen zuzugreifen. Der Zugriff basiert auf Richtlinien, die vom IT-Administrator im ZPA-Admin-Portal erstellt und in der Zscaler-Cloud gehostet werden. Auf jedem Anwendergerät ist unser Zscaler Client Connector installiert, der die Geräteposition des Users sicherstellt und einen sicheren Mikrotunnel zur Zscaler-Cloud herstellt, wenn ein User versucht, auf eine interne Anwendung zuzugreifen.

Der App Connector von Zscaler wird als VM bereitgestellt und von ZPA neben Anwendungen platziert, die in einer öffentlichen Cloud bzw. im Rechenzentrum ausgeführt werden. Er dient zur Erstellung eines Mikrotunnels zur Zscaler Cloud. Dadurch werden DDoS-Angriffe verhindert, da der Z-Connector ausschließlich ausgehende Verbindungen zur Cloud herstellt und keine eingehenden Verbindungsanfragen empfängt.

Innerhalb der Zscaler-Cloud genehmigt ein Cloud Access Security Broker (CASB)den Zugriff und stellt die Verbindung zwischen User und Anwendung her. ZPA ist zu 100 % Software-basiert, erfordert also keine Geräte und ermöglicht es Usern, von den Vorzügen der Cloud und mobiler Arbeit zu profitieren und gleichzeitig die Sicherheit ihrer Anwendungen aufrechtzuerhalten – Vorteile, die mit herkömmlichen Netzwerkkonnektivitätsmethoden und veralteten Firewalls vor Ort nicht erzielen sind.

promotional background

Verbessern Sie Ihre Sicherheitslage und schützen Sie Ihre User mit Zscaler Private Access vor den neuesten Cyberangriffen, einschließlich DoS und DDoS.

Demo anfordernMehr erfahren

Empfohlene Ressourcen

Zscaler ThreatLabz – Global Insights
Unser Global Enforcement Dashboard
Was ist laterale Ausbreitung?
Zum Artikel
Zscaler Cloud Firewall
Jetzt Traffic absichern
Was ist Netzwerksicherheit?
Zum Artikel
01 / 02
Häufig gestellte Fragen