DoS-Angriffe (Denial-of-Service) spielen in der Cyberkriminalität eine ungewöhnliche Rolle. Im Gegensatz zu den meisten Formen kriminellen Hackings dienen sie nicht in erster Linie der Erfassung vertraulicher Informationen, die mit Gewinn verkauft werden können.
Stattdessen zielen DoS-Angriffe darauf ab, die Systeme einer Organisation lahmzulegen oder schwerwiegend zu stören. Für den kriminellen Hacker ergibt sich dadurch kein direkter Vorteil, aber der Der Verlust des Dienstes kann das Opfer bis zu 100.000 £ kosten.
Es gibt verschiedene Möglichkeiten, wie ein krimineller Hacker einen DoS-Angriff starten kann, und es gibt unzählige Gründe, warum er dazu motiviert sein könnte, einen Angriff durchzuführen.
Wie funktioniert ein DoS-Angriff?
DoS-Angriffe sind schwer zu verhindern, da sie in den meisten Fällen keine Schwachstelle ausnutzen, die ein Unternehmen beheben kann. Stattdessen nutzen Angreifer die Einschränkungen von Computernetzwerken aus und überfordern diese, bis der Datenverkehr nicht mehr verarbeitet werden kann.
Man kann es sich wie einen Stau vorstellen: Straßen sind so angelegt, dass ein gewisses Maß an Verkehr passieren kann, aber sobald sie überfüllt sind, müssen Autos langsamer fahren oder ganz anhalten.
Allerdings gibt es Möglichkeiten, das Risiko einiger DoS-Angriffe zu mindern, wie wir weiter unten erläutern.
Arten von DoS-Angriffen
Es gibt im Wesentlichen zwei Möglichkeiten, einen DoS-Angriff durchzuführen: Flooding und Crashing.
Am häufigsten kommen Flooding-Angriffe vor, bei denen der Zielserver mit Paketen überlastet wird.
Hierbei handelt es sich um Datensegmente, die Sie an das Netzwerk der Organisation senden, wenn Sie mit deren Website interagieren, und die dann wieder zusammengesetzt werden, um Aufgaben auszuführen oder Informationen zu laden.
Wenn das Netzwerk in kurzer Zeit zu viele dieser Pakete empfängt, hat das Netzwerk Schwierigkeiten, die Daten wieder zusammenzusetzen. Dies kann zur Folge haben, dass der Dienst unterbrochen oder die Website komplett offline geschaltet wird.
Alternativ könnte ein Angreifer die Website einer Organisation zum Absturz bringen, indem er Schwachstellen in ihrem Netzwerk ausnutzt.
Beispielsweise könnten sie ein falsch konfiguriertes Netzwerkgerät ausnutzen, indem sie gefälschte Pakete an jedes Gerät im Zielnetzwerk und nicht an einen bestimmten Computer senden.
Das Netzwerk wird dann dazu veranlasst, den Datenverkehr zu verstärken, was als Smurf-Angriff oder Ping of Death bekannt ist.
Motivation des Angreifers
Bei DoS-Angriffen stellt sich die Frage: Was motiviert einen kriminellen Hacker dazu?
Fast alle Formen der Cyberkriminalität zielen darauf ab, Geld zu verdienen, doch mit einem DoS-Angriff allein ist das nicht möglich. Die Motivation eines Angreifers kann daher viel schwieriger zu verstehen sein.
Ein Grund für einen Angriff ist, dass sie einen Groll gegen das Ziel hegen. Viele DoS-Angriffe sind politisch oder ideologisch motiviert, da der Angreifer Groll gegen sein Ziel hegt.
Der Angriff könnte die Organisation Geld kosten, wenn die Dienste während des Angriffs unterbrochen werden. Der Schaden könnte auch dem Ruf der Organisation schaden, insbesondere wenn diese für die Bereitstellung kritischer, zeitkritischer Dienste verantwortlich ist.
Cyberkriminelle können jedoch auch einen Dienst lahmlegen, nur um der Hacker-Community ihre Fähigkeiten zur Schau zu stellen.
Ein öffentlichkeitswirksamer Angriff kann als Visitenkarte für andere Kriminelle dienen, um ihre Fähigkeiten unter Beweis zu stellen oder zu zeigen, wozu sie fähig sind.
In der Zwischenzeit kommt es vor, dass ein DoS als Ablenkung genutzt wird, während der kriminelle Hacker einen zweiten Angriff startet, der darauf abzielt, die Systeme einer Organisation zu kompromittieren.
Das Opfer ist möglicherweise vom ersten Angriff an so sehr auf die Wiederherstellung seiner Systeme konzentriert, dass es andere Sicherheitswarnungen im Zusammenhang mit unbefugtem Zugriff auf seine Systeme nicht bemerkt.
DoS-Angriffe versus DDoS-Angriffe
Ein verwandter Angriff ist DDoS (Distributed Denial of Service). Dies funktioniert auf die gleiche Weise wie ein DoS-Angriff, nutzt jedoch mehrere Systeme, um einen synchronisierten Angriff auf ein einzelnes Ziel zu starten.
Mit anderen Worten: Der Angriff geht nicht von einem einzelnen Computer aus, den der Angreifer betreibt, sondern von mehreren Computern.
Cyberkriminelle tun dies mit Hilfe eines Botnets, bei dem es sich um eine Reihe infizierter, mit dem Internet verbundener Geräte handelt, die deren Rechenleistung nutzen.
Daher sind DDoS-Angriffe weitaus wirkungsvoller und nachhaltiger als ein normaler DoS-Angriff.
DDoS-Angriffe sind für das Opfer auch schwerer zu identifizieren, da sich der bösartige Netzwerkverkehr über Standorte verteilt und im legitimen Datenverkehr maskiert wird.
Woher wissen Sie, dass Sie einen DoS-Angriff erlitten haben?
Das offensichtlichste Anzeichen eines DoS-Angriffs sind anhaltende Netzwerkprobleme. Es gibt jedoch noch andere Anzeichen, auf die Sie achten sollten:
- Ein höheres Spam-Volumen als normal.
- Plötzlicher Verbindungsverlust zwischen Geräten im selben Netzwerk.
- Langsame Website-Leistung, Seiten können nicht geladen werden.
- Mitarbeiter können im Netzwerk oder beim Zugriff auf Websites gespeicherte Dateien nicht öffnen.
So verhindern Sie einen DoS-Angriff
Es ist schwierig, DoS-Angriffe zu verhindern, aber Sie können Maßnahmen ergreifen, um die Bedrohung einzudämmen. Hier sind drei Möglichkeiten, um anzufangen:
1. Erhöhen Sie Ihre Bandbreite
Am einfachsten ist es, mehr Bandbreite zu kaufen. Dadurch können Sie ein größeres Datenverkehrsaufkommen bewältigen und das Risiko von Engpässen verringern, die Ihren Dienst unterbrechen könnten.
Dies ist eine besonders attraktive Lösung für wachsende Unternehmen, da sie dadurch auch eine größere Menge an legitimem Datenverkehr verarbeiten können und möglicherweise irgendwann sowieso darauf zurückgreifen müssen.
Der einzige Nachteil besteht darin, dass eine Erhöhung Ihrer Bandbreite Sie nicht vor abstürzenden Angriffen schützt, die Systemschwächen ausnutzen, anstatt Ihren Server zu überfluten.
2. Bauen Sie komplexere Server
Sie sollten darüber nachdenken, Ihre Server auf mehrere Rechenzentren zu verteilen, um es Cyberkriminellen so schwer wie möglich zu machen, Sie ins Visier zu nehmen.
Diese Server sollten sich idealerweise an verschiedenen Standorten befinden, entweder über verschiedene Räumlichkeiten verteilt oder insgesamt in verschiedenen Ländern.
Damit diese Strategie funktioniert, benötigen Sie ein Lastausgleichssystem, um den Datenverkehr zwischen den Servern zu verteilen.
Wenn Sie Ihre Server auf diese Weise trennen, stehen Kriminelle vor der schwierigen Aufgabe, Ihre Systeme zu überfluten. Ihr Angriff kann einen Server gefährden, der Rest bleibt jedoch davon unberührt und sollte in der Lage sein, zumindest einen Teil des zusätzlichen Datenverkehrs zu bewältigen.
3. Konfigurieren Sie Ihre Netzwerkhardware neu
Sie sollten Ihre Hardwarekonfigurationen anpassen oder verstärken, um das Risiko des Durchdringens von bösartigem Datenverkehr zu verringern.
Beispielsweise können Ihre Netzwerk- und Webanwendungs-Firewalls so geändert werden, dass sie eingehende Pakete anhand vordefinierter Regeln prüfen (z. B. Protokolle, Ports und IP-Adressen zulassen/verweigern) und eingehenden böswilligen Datenverkehr blockieren.
In diesem Fall wird der Tester versuchen, Ihre Systeme zu überfluten oder Schwachstellen auszunutzen, die Ihre Server lahmlegen.
Im Erfolgsfall liefert der Tester detaillierte Hinweise zur möglichen Durchführung des Angriffs und Hinweise zur Eindämmung der Bedrohung.
Wenn das nach etwas klingt, an dem Sie interessiert sind, empfehlen wir Ihnen unser Kombinierter Infrastruktur- und Webanwendungs-Penetrationstest.
Einer unserer CREST-zertifizierten Penetrationstester führt eine gründliche Untersuchung Ihrer Netzwerke, Websites und Webanwendungen durch, um festzustellen, wie ein Angreifer Sie angreifen könnte und was Sie tun können, um ihn zu stoppen.
Möchten Sie mehr wissen? Laden Sie unsere herunter Kostenloser Leitfaden zum Penetrationstest um zu verstehen, wie es funktioniert und welche Vorteile Ihr Unternehmen davon hat.