Stillstand verhindern: Greenbones Beitrag zum Schutz vor DoS-Angriffen

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören: 

• Unkontrollierter Ressourcenverbrauch
• Buffer overflows
• Fehlende Speicherfreigabe
• Unsachgemäße Fehlerbehandlung
• Asymmetrischer Ressourcenverbrauch (Amplification)
• Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

• Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
• DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
• Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
• Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
• Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.