heise PlusAbo

Von allen Seiten

Verläuft ein DoS-Angriff erfolgreich, ist der Service, etwa eine Website oder ein Mailserver, nicht mehr erreichbar. Methoden für solche Attacken existieren viele, wirksame Gegenrezepte praktisch nicht. Zumindest aber lassen sich die Auswirkungen beschränken.

vorlesen Druckansicht 29 Kommentare lesen
Lesezeit: 8 Min.
iX Magazin
Von
  • Christoph Puppe
  • Jörn Maier
Inhaltsverzeichnis

Die ersten in der Öffentlichkeit wahrgenommenen so genannten DDoS-Angriffe (Distributed Denial of Service) erfolgten auf die Webseiten von Yahoo, CCN, eBay, Amazon und andere. Am 9. Februar 2000 begann „Mafiaboy“ seine Angriffe und sorgte eine Woche lang für massive Störungen. Am 10. März 2000 brach das Vertrauen der Anleger in die Internet-Aktien zusammen und an der Börse wurden 2,7 Billionen US-Dollar vernichtet. Die zeitliche Nähe mag Zufall gewesen sein. Die Folge einer solchen Attacke ist jedenfalls immer ein Vertrauensverlust der Kunden und Anleger in das angegriffene Unternehmen. Wer mag schon in ein Geschäft investieren, dessen Lebensgrundlage, die globale Vertriebsniederlassung im Internet, von einem 15-jährigen ohne besondere Begabungen manipuliert werden kann? Heute, fast fünf Jahre später, sind DDoS-Angriffe immer noch die Achillesferse des Internet. Jugendliche nutzen sie, um ihre Ansprüche auf bestimmte Kanäle des Internet Relay Chats (IRC) durchzusetzten. Kriminelle bieten sie als Dienstleistung an, die wiederum von mafiaähnlichen Gruppierungen zur Erpressung von Unternehmen eingesetzt wird, und Regierungen entdecken sie als Waffe.

Dass ein bekanntes Problem noch nicht gelöst ist und der gesammelte Sachverstand der Sicherheitsberater und Produktstrategen nicht ausreicht, um dem Treiben ein Ende zu setzen, ist in den Wurzeln des Internet und seiner Geschichte begründet. Jedes im Internet verwendete Protokoll kann sich nur dann durchsetzten, wenn es so einfach ist, dass viele Programmierer es implementieren, robust genug, um Daten auch bei Störungen zu transportieren und flexibel für die Anpassung an neue Entwicklungen.

Nicht vorgesehen ist jedoch, jeden Kommunikationspartner eindeutig zu identifizieren, eine zentrale Verwaltung aller Datentransfers zu bieten oder jedem Teilnehmer einen Anteil an der vorhandenen Bandbreite zu garantieren. Das wären allerdings die erforderlichen Bedingungen, um DDoS an der Wurzel zu packen. Dazu müssten alle Teilnehmer am Internet ihre Privatsphäre aufgeben und sich einer Verwaltung unterwerfen - was wenig realistisch ist.

Weniger wirksam, aber zumindest praktikabel ist es, sich mit den Techniken des gezielten DoS-Angriffs vertraut zu machen. Gegenmaßnahmen können der private Anwender am heimischen PC, der Administrator eines Unternehmens sowie der Internet Service Provider ergreifen.

Die einfache Denial-of-Service-Attacke (DoS) wird von einem PC aus gestartet und ausgefĂĽhrt. Sie kann Erfolg haben, wenn der Angreifer eine Methode kennt, mit der schon wenige verschickte Daten zum Zusammenbruch eines Dienstes fĂĽhren. Ein Beispiel aus den 90er Jahren ist der Ping-of-Death. Ein einziges Ping-Paket konnte alle Windows-Systeme durch einen PufferĂĽberlauf sofort zum Stillstand bringen.

DoS - wenige Daten genĂĽgen

Kurze Zeit später gab es weitere Ein-Paket-Angriffe wie Teardrop, bei dem fehlerhafte, fragmentierte Pakete verschickt werden, die viele Systeme zum Absturz brachten. Zahlreiche Betriebssysteme und bekannte Firewalls verabschiedeten sich für immer nach einem Land-Angriff mit einem Paket, bei dem Absender und Empfänger identisch waren. Der Code zur Analyse des Pakets ließ sich durch diesen einfachen Trick in eine Endlosschleife versetzen, die alle CPU-Ressourcen aufbrauchte und das System unbenutzbar hinterließ.

Eine weitere Methode, mit wenigen Daten einen DoS auszulösen, besteht darin, auf einem Server eine Anwendung aufzurufen, von der der Angreifer weiß, dass sie viele Ressourcen benötigt. Das kann etwa eine Seite mit einer komplexen Datenbankanfrage sein. Wenn die Aufrufe schnell genug aufeinander folgen, kann der Rechner so beschäftigt werden, dass er keine anderen Anfragen mehr bearbeiten kann. Die Beispiele ließen sich beliebig weiterführen, denn alle paar Tage entdecken Sicherheitsexperten und Computerbegeisterte neue Schwachstellen in Betriebssystemen und Anwendungen.

Wenig überraschend ist die ungleich größere Effektivität einer Distributed-DoS-Attacke. Wenn sich mehrere zehntausend PCs zusammenschließen, haben sie eine gewaltige Stimme, die das Internet zum Wackeln bringen kann wie einst die Trompeten die Mauern von Jericho. „Viel hilft viel“ ist folglich das Credo des geübten DDoS-Angreifers, der dazu sehr viele Daten zum Ziel leiten muss. Da er diese Datenmengen nicht von einem PC aus verschicken kann, muss er die Aufgabe an mehrere Systeme verteilen und die kumulierte Bandbreite nutzen - Grid-Computing einmal anders. Diese Verteilung hat der Distributed-Denial-of-Service-Attacke ihren Namen verliehen.

Eine alte Methode, an viele unfreiwillige Helfer zu kommen, ist die Smurf-Attacke (siehe Abb. 1). Mit Schlümpfen hat sie allerdings nur den Namen gemein. Dem Angreifer reicht ein PC aus, um auch sehr große Provider lahm zu legen. Er benutzt dafür fremde Systeme als Verstärker, die seine wenigen Pakete vervielfältigen. Der Angreifer schickt beispielsweise zehntausend Pakete an die Broadcast-Adresse eines großen Netzwerkes. Alle Rechner antworten auf jedes dieser Pakete an den Absender. Da der Absender jedoch gefälscht ist und anstelle der IP-Adresse des Angreifers die des Opfers enthält, kommen alle Antworten beim Opfer an. Wenn das Netz groß genug ist und über ausreichend Bandbreite verfügt, können so aus zehntausend Paketen schnell Millionen werden. Typischerweise wird dafür ein Ping genutzt, da die Antwort darauf immer so viele Daten enthält wie der Ping selbst.

Sendet ein Angreifer einen Ping an die Broadcast-Adresse eines großen Netzes, vervielfältigt sich die Datenmenge durch die Antwort jedes einzelnen Systems. Der Opferrechner bricht unter der Datenlast des an ihn umgeleiteten Ping-Request zusammen (Abb. 1).

Für diesen Angriff gibt es eine einfache Gegenmaßnahme. Alle Netze, die Bestandteil des Internet sind, können an ihrem Border-Router verhindern, dass ein Paket an eine Broadcast-Adresse ins Intranet eindringt. Es hat ein paar Jahre gedauert, aber heute schützen die meisten Admins ihre Netze dagegen und die Smurf-Attacke ist nicht mehr so einfach wie früher. Eine Liste mit anfälligen Netzen findet sich im Web. Überdies reagieren viele Betriebssysteme nicht mehr auf Broadcast-Pings.

Handles, Handler und Händler

Die heute übliche Methode, sich Helfer zu besorgen, nutzt die zahlreichen Schwachstellen in Windows-Betriebssystemen und das Unwissen der meisten Benutzer. Bösewichter infizieren normale PCs der nichtsahnenden Internet-Nutzer mit einer Schadsoftware, die eine Fernsteuerung des PC erlaubt. Diese im Fachjargon Zombies genannten Rechner werden zu Bot-Nets zusammengeschaltet, die ein oder mehrere über ihre Spitznamen (Handle) identifizierbaren so genannten Handler kontrollieren.

Ein solches Bot-Net kann schnell mehrere zehntausend PCs umfassen. Dem Angreifer ermöglicht es, von allen Seiten gleichzeitig auf das Opfer loszugehen. Eine Chance zur Verteidigung besteht kaum, da die Pakete aus allen Teilen des Internet gleichzeitig auf das Opfersystem einprasseln und die Absenderangaben innerhalb der Pakete in der Regel gefälscht sind. Dass diese Bot-Netze von Kriminellen für viel Geld an Spammer vermietet werden, fand unsere Schwesterzeitschrift c’t heraus (siehe Artikel „Ferngesteuerte Spam-Armeen“, c’t 5/2004, S. 18).

In Bezug auf die Verantwortung des privaten Anwenders, dessen PC für einen DDoS-Angriff missbraucht wurde, steckt die Rechtsprechung noch in den Kinderschuhen, die Gerichte neigen derzeit noch zu Freisprüchen. Eine Mitschuld ist aber sicherlich technisch vertretbar, ähnlich der versicherungsrechtlichen Behandlung eines Einbruchs bei unverschlossener Wohnungstür.

Eine Möglichkeit, das angegriffene System lahm zu legen, ist der Syn-Storm, bei dem immer nur das erste Paket eines TCP-Verbindungsaufbaus verschickt wird. Das Ziel reagiert darauf, indem es für die erwartete Verbindung Speicher reserviert und eine Antwort schickt. Kommt von der Gegenseite keine Antwort mehr, wartet es eine Zeit lang und gibt erst dann den Speicher wieder frei. Die Zahl dieser halboffenen Verbindungen ist begrenzt, da nicht beliebig Speicher zur Verfügung steht.

Zahllose Verbindungsanfragen

Wenn der Angreifer nun sehr viele Verbindungsanfragen schickt, wird das Ziel bald keine neuen Verbindungen annehmen können, da es ja bereits auf die maximale Zahl von Verbindungen wartet. Üblicherweise sind circa 100 bis 200 halboffene Verbindungen erlaubt, die Wartezeit bis zum vollständigen Verbindungsaufbau beträgt zwischen 60 und 300 Sekunden. Ein Angreifer kann also schon mit wenigen hundert Paketen pro Sekunde einen Server oder mit deutlich mehr selbst einen großen Load-Balancer vollständig auslasten und verhindern, dass der Dienst für andere zugänglich ist. Ein solcher Angriff zwang vor kurzem auch den Load-Balancer für die Heise-Webangebote in die Knie.

Weitere Angriffsmethoden sowie VerteidigungsmaĂźnahmen finden Sie in der Print-Ausgabe von iX 4/2005.

Mehr Infos

iX-TRACT

  • Mit ausgeklĂĽgelten Angriffstechniken ist es Bösewichtern selbst mit wenigen Datenpaketen möglich, Dienste groĂźer Anbieter lahm zu legen.
  • Verhindern lassen sich solche Angriffe in absehbarer Zeit nicht. Gewisse SchutzmaĂźnahmen verringern aber wenigstens die Auswirkungen.
  • Wenn jeder Teilnehmer am Internet dafĂĽr sorgt, dass seine Systeme nicht gekapert und missbraucht werden können, ist schon viel gewonnen. Insbesondere die Provider sollten unterbinden, dass ihre Kunden Datenpakete mit gefälschten Absenderadressen verschicken.

(ur)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten