DoS-Attacke

DoS‑Attacke

Was ist eine DoS‑Attacke?

Eine Denial‑of‑Service‑Attacke (DoS) zielt darauf ab, einen Server, Dienst oder ein Netzwerk für legitime Nutzer unzugänglich zu machen, indem es die verfügbaren Ressourcen (CPU, Speicher, Bandbreite, Verbindungen) überlastet. Im Unterschied zur Distributed‑Denial‑of‑Service‑Attacke (DDoS) stammt der Angriffsverkehr bei einer reinen DoS‑Attacke von einem einzigen Ursprung (IP‑Adresse).

Wie funktioniert eine DoS‑Attacke?

Angriffstyp	Mechanismus	Beispiel
Volumen‑basiert	Sättigt die Netzwerkbandbreite durch massiven Datenverkehr (z. B. UDP‑Flood, ICMP‑Echo‑Request‑Flood).	1 Gbit/s UDP‑Flood über das Internet‑Backbone.
Protokoll‑basiert	Nutzt Schwachstellen in Netzwerk‑Protokollen oder Server‑Stacks aus (SYN‑Flood, ACK‑Flood, Smurf‑Attack).	SYN‑Flood: Tausende halb‑offene TCP‑Verbindungen, die nie abgeschlossen werden.
Applikations‑basiert	Überlastet die Anwendungsschicht (HTTP‑GET/POST‑Flood, Slow‑loris, RUDY).	HTTP‑GET‑Flood: Millionen kurzer GET‑Requests auf eine Web‑Seite.
Resource‑Exhaustion	Zwingt das Ziel zur Verarbeitung aufwändiger Aufgaben (z. B. Datenbank‑Abfragen, Bild‑Rendern).	DNS‑Amplification: Kleine Anfrage erzeugt massive Antwort (Amplification‑Factor > 30).

typische DoS‑Angriffsszenarien

Netzwerk‑DoS – Netzwerk‑Gateways oder Router werden mit Paketen überschwemmt, wodurch legitimer Datenverkehr blockiert wird.
Server‑DoS – Der Ziel‑Web‑Server wird durch tausende HTTP‑Requests überlastet und reagiert nicht mehr.
Dienst‑DoS – Spezielle Dienste wie DNS, SMTP oder SSH werden angegriffen, um deren Verfügbarkeit zu beeinträchtigen.

Warum DoS‑Attacken gefährlich sind

Ausfall von Online‑Diensten → Umsatzverlust, Vertrauensverlust.
Kosten für Mitigation → Zusätzliche Bandbreiten‑ und Sicherheits‑Investitionen.
Kollateralschäden → Nebenwirkungen auf benachbarte Kunden (bei gemeinsam genutzten Infrastruktur‑Providern).
Reputation‑Schaden → Medienberichte und Kundenbeschwerden.

Erkennung von DoS‑Attacken

Plötzlicher Traffic‑Anstieg (Bandbreite, Pakete pro Sekunde).
Erhöhte Latenz / Paketverlust im Netzwerk‑Monitoring.
Ungewöhnlich viele Verbindungsanfragen von einer oder wenigen IP‑Adressen.
CPU‑/Speicher‑Auslastung am Zielserver steigt abrupt.
Anomalien in Logs (z. B. enorme Anzahl von 404‑ oder 500‑Fehlern).

Gegenmaßnahmen (Prävention & Mitigation)

Ebene	Maßnahme	Beschreibung
Netzwerk‑Edge	Rate‑Limiting / Traffic‑Shaping	Begrenzung von Paketen/Verbindungen pro IP/Port (z. B. mittels iptables, tc).
	Access‑Control‑Lists (ACLs)	Blockieren verdächtiger IP‑Netze oder Protokolle (z. B. ICMP‑Echo‑Requests).
	Upstream‑Filtering	ISP‑ oder CDN‑basiertes Filtern von Verkehr bereits vor Erreichen des Zielnetzes.
Application‑Layer	Web‑Application‑Firewalls (WAF)	Erkennen und blockieren von HTTP‑Flood‑Musters (z. B. ModSecurity, Cloud‑WAF).
	CAPTCHA / Challenge‑Response	Verhindert automatisierten Traffic (z. B. bei Login‑Formularen).
	Connection‑Timeouts	Frühes Schließen von nicht‑abgeschlossenen Verbindungen (z. B. SYN‑Timeout‑Reduzierung).
Infrastruktur	Anycast‑Routing	Verteilung des eingehenden Verkehrs auf mehrere geografisch verteilte Knoten (z. B. Cloud‑DDoS‑Protection).
	DDoS‑Protection‑Services	Nutzung von spezialisierten Anbietern (Cloudflare, Akamai, Amazon Shield, Arbor) für Traffic‑Absorption.
	Redundante Server‑Pools	Load‑Balancing über mehrere Server, um die Last zu verteilen.
Monitoring	NetFlow / sFlow / IPFIX	Echtzeit‑Analyse von Verkehrsflüssen zur schnellen Erkennung.
	Alert‑Systeme	Automatisierte Benachrichtigung bei Überschreiten von Schwellenwerten (z. B. Grafana + Alertmanager).
Legal	Incident‑Report	Meldung an die zuständige Strafverfolgungsbehörde (z. B. CERT, Polizei).
	Terms of Service	Vertragliche Regelungen mit Hosting‑Provider über DoS‑Schutz.

Best‑Practice‑Checkliste für Unternehmen

Baseline‑Messungen – Erfassen Sie normales Traffic‑Volumen und Server‑Auslastung.
Rate‑Limits definieren – Setzen Sie sinnvolle Schwellen (z. B. max. 100 Verbindungen / Sekunde pro IP).
Cloud‑Protection aktivieren – Nutzen Sie CDN‑ oder DDoS‑Mitigation‑Dienste, insbesondere für öffentliche Web‑Ports (80/443).
Notfall‑Playbook – Definieren Sie Verantwortlichkeiten, Kommunikationswege und technische Schritte für einen DoS‑Vorfall.
Regelmäßige Tests – Simulieren Sie Lastspitzen (z. B. mit Tools wie hping, slowloris) um die Wirksamkeit Ihrer Maßnahmen zu prüfen.
IP‑Reputation‑Feeds – Integrieren Sie Echtzeit‑Blocklisten (Spamhaus, Cloudflare IP‑Reputation).
TLS‑Offloading – Entlasten Sie die Anwendung durch TLS‑Termination an Edge‑Lösungen, die DoS‑Traffic bereits filtern.

Was tun, wenn Sie gerade von einer DoS‑Attacke getroffen werden?

Alert an ISP/CDN – Bitten Sie um sofortige Traffic‑Filtration am Edge.
Traffic‑Analyse – Identifizieren Sie das Protokoll/Port, das am stärksten betroffen ist.
Kurzfristige Blockierung – Sperren Sie die aggressiven IP‑Adressen (oder IP‑Blöcke) temporär.
Scale‑out – Aktivieren Sie zusätzliche Server‑Instanzen (falls Cloud‑basiert).
Kommunikation – Informieren Sie Kunden über Ausfall und geplante Wiederherstellung.
Nachbearbeitung – Analysieren Sie Logs, erstellen Sie einen Incident‑Report und passen Sie Ihre Schutzmaßnahmen an.

PHNETZ - Internetagentur

Marketing für Ihren Erfolg