Zielgruppe BetriebVersion: GSB10.1Denial of Service

Der Dienst wird daraufhin eingestellt oder reguläre Anfragen so langsam beantwortet, dass diese abgebrochen werden. Im Unterschied zu anderen Angriffen will der Angreifer bei DoS-Attacken normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder ähnliche Zugangsinformationen.

Eine besondere Form stellt die DRDoS (Distributed Reflected Denial of Service)-Attacke dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Der Ursprung des Angriffs ist für den Angegriffenen durch diese Vorgehensweise praktisch nicht mehr ermittelbar.

Eine verstärkte Form von DoS-Angriffe wird mit einem so genannten Distributed Denial of Service (DDoS)-Angriff erreicht. Hierbei verschaffen sich Angreifer Zugang zu mehreren Rechnern im Internet, auf denen sie Programme für DoS-Attacken installieren. Von einem separaten Rechner aus werden diese Angriffsprogramme synchronisiert, so dass die Wirksamkeit des DoS-Angriffs durch die Vielzahl der gleichzeitig angreifenden Rechner stark erhöht wird. Das Besondere an DDoS-Angriffen ist, dass diese Angriffe auch diejenigen treffen können, die sich ansonsten optimal vor Eindringlingen aus dem Internet geschützt haben.

Wirksame Maßnahmen gegen (verteilte) Denial-of-Service-Angriffe müssen in einer konzertierten Aktion an vielen Stellen in der vorhandenen komplexen Internetstruktur getroffen werden. Die in den folgenden Kapiteln exemplarisch vorgestellten Maßnahmen sind dem „Maßnahmenkatalog gegen DDoS-Angriffe“ des BSI entnommen. Eine vollständige Beschreibung aller Maßnahmen des BSI-Katalogs befindet sich unter:

Die ersten fünf Maßnahmen, der im folgenden vorgestellten Maßnahmen helfen bei der Abwehr bzw. der Schadensbegrenzung von DDoS-Angriffen, da sie bei den Übertragungswegen im Internet ansetzen. Die restlichen Maßnahmen beziehen sich auf die Auswahl, Konfiguration und Pflege der Endsysteme im Internet und erschweren die Vorbereitung eines DDoS-Angriffs, d. h. das Eindringen in eine Vielzahl von Rechnern und die dortige Installation von Angriffsprogrammen.

Verhinderung von IP-Spoofing

Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies macht einerseits einige Angriffe erst möglich und erschwert andererseits die Suche nach dem Verursacher.

Eine Organisation, die einen GSB-Mandanten im Internet betreibt, ist in der Regel an einen Netzbetreiber angeschlossen und hat einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket, das von der GSB-Hosting-Plattform in das Internet geschickt wird, müsste deshalb auch eine IP-Absenderadresse aus diesem Bereich haben. Ist dies nicht der Fall, so handelt es sich um eine gefälschte Adresse und das IP-Paket darf vom Netzvermittler nicht weitergeleitet werden.

Einsatz von Paketfiltern bei Netzvermittlern

Häufig sind Server einer Hosting-Plattform nur über eine einzelne Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server der Hosting-Plattform widerstandfähig gegen DoS-Angriffe sind, so ist doch diese Netzverbindung selber in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig ausgelastet werden, so dass die Server aus dem Internet nicht mehr erreichbar sind.

Daher sollten auch Netzvermittler die Netzanbindung der Hosting-Plattform durch den Einsatz von Paketfiltern gegen DoS-Angriffe abschirmen. Dies ist insbesondere dann sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepasst werden kann.

Einsatz von Paketfiltern bei Serverbetreibern

Die im Internet erreichbaren Server einer Hosting-Plattform sollten im Normalfall nur möglichst wenige Dienste anbieten und entsprechend konfiguriert werden. Auf dem vorgeschalteten Router sollten Paketfilterregeln implementiert werden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts (RFC 2644) abblocken.

Im Falle eines Angriffs auf eine Hosting-Plattform können diese Router so umkonfiguriert werden, dass die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen vollständig abgewiesen werden.

Darüber hinaus sollte der Betreiber der Hosting-Plattform den Paketfilter zusätzlich so konfigurieren, dass aus seinem Netz heraus IP-Spoofing nicht möglich ist.

Automatische Angriffserkennung

DoS-Angriffe sind im Wesentlichen dadurch gekennzeichnet, dass sie die Server – auch im Vergleich zu bekannten Lastspitzen – besonders hoch auslasten. Daher sollten typische Kennwerte wie

• Speicherauslastung
• Stacks
• Netzauslastung
• Thread-Auslastung
• http-Verbindungen
• ...

ständig überwacht werden. Eine zusätzliche automatische Alarmierung bei der Überschreitung von Grenzwerten ermöglicht es, zeitnah Reaktionen einzuleiten.

Etablierung eines Notfallplans

Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell reagieren zu können. Nur so ist es möglich, wirksame Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen.

In einem Notfallplan ist daher eine geeignete Eskalationsprozedur festzuschreiben. Notwendige Angaben sind dabei u. a. Ansprechpartner, Verantwortliche, alternative Kommunikationswege, Handlungsanweisungen und Lagerort möglicherweise benötigter Ressourcen.

Sichere Konfiguration der Server

Auch die Server einer Hosting-Plattform könnten theoretisch als Agenten eines DoS-Angriffs missbraucht werden. Der Angreifer installiert dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware.

Daher müssen die Betreiber der Plattform die Server sorgfältig und sicher konfigurieren. Nicht benötigte Netzdienste sind beispielsweise zu deaktivieren und die benötigten Dienste entsprechend abzusichern. Ebenso muss ein hinreichender Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern von Passwörtern sichergestellt sein. Voreingestellte Standardpasswörter der Hersteller sind in jedem Fall durch individuelle, sichere Passwörter zu ersetzen!

Restriktive Rechtevergabe und Protokollierung

Durch Manipulationen an Servern einer Hosting-Plattform kann ein Angreifer diese als Agenten missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb müssen alle Änderungen und alle Zugriffe auf den Server protokolliert werden.

Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In regelmäßigen Abständen ist das Dateisystem auf Integrität zu überprüfen. Werden lediglich statische Daten benötigt, kann ein manipulationssicherer, schreibgeschützter Datenträger verwendet werden.

Überprüfung von Dateien auf Viren und Angriffsprogrammen

Viele GSB-Mandanten stellen im Rahmen ihrer Webauftritte Programme und Dokumente zum Download bereit. Gelingt es einem (internen) Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in kurzer Zeit auf eine große Verbreitung hoffen.

Eine solche Vorgehensweise ist insbesondere bei DDoS-Angriffen für Angreifer verlockend, da dabei eine große Zahl von Rechnern für einen wirkungsvollen Angriff benötigt wird. Der Betreiber einer Hosting-Plattform sollte deshalb mit speziellen Virenscannern regelmäßig überprüfen, ob auf seinen Servern Programme mit Schadfunktionen vorhanden sind (Viren, Trojanische Pferde, DoS-Programme, etc.). Zudem empfiehlt es sich, auch für die Arbeitsplätze der Redakteure und ggf. benötigte Importdienste entsprechende Sicherheitsmaßnahmen vorzusehen.