Ratgeber Security

So überleben Sie Denial-of-Service-Angriffe

Populäre Attacken: SYN Floods und Smurf-Angriffe

SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer sogenannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit, eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.

Sturm-Kontrolle: Aktuelle Netzwerkhardware kann ICMP-Fluten im LAN abwehren.
Sturm-Kontrolle: Aktuelle Netzwerkhardware kann ICMP-Fluten im LAN abwehren.

Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist das kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechend manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es lassen sich folglich keinen neuen Verbindungen initiieren.

Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, sodass legitime Anfragen nicht mehr bearbeitet werden können.

Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.