DoS
DoS (Denial of Service) bezeichnet einen Cyberangriff, bei dem ein Angreifer versucht, einen Server, Dienst oder eine gesamte Netzwerkinfrastruktur für legitime Nutzer unzugänglich zu machen. Der Angriff erfolgt typischerweise durch Überflutung des Zielsystems mit einer Masse an Anfragen, bis dessen Ressourcen erschöpft sind und es nicht mehr auf reguläre Anfragen reagieren kann.
Stell dir einen Bankschalter vor, an dem normalerweise Kunden bedient werden. Ein DoS-Angriff wäre vergleichbar damit, dass plötzlich hunderte Personen gleichzeitig an den Schalter treten und unsinnige Fragen stellen. Die Bankangestellten sind so beschäftigt, dass kein echter Kunde mehr bedient werden kann. Genau so funktioniert ein DoS-Angriff auf IT-Systeme: Er blockiert die verfügbaren Ressourcen, sodass legitime Nutzer keinen Zugang mehr erhalten.
So funktioniert ein DoS-Angriff
Ein DoS-Angriff zielt darauf ab, die Verfügbarkeit eines Systems zu beeinträchtigen - eines der drei grundlegenden Schutzziele der Informationssicherheit (neben Vertraulichkeit und Integrität). Der Angreifer nutzt dabei verschiedene Schwachstellen aus:
- Bandbreitensättigung: Die verfügbare Netzwerkbandbreite wird durch massive Datenmengen komplett ausgelastet
- Ressourcenerschöpfung: Serverressourcen wie RAM, CPU oder Verbindungstabellen werden überlastet
- Protokollschwachstellen: Fehler in der Implementierung von Netzwerkprotokollen werden ausgenutzt
- Anwendungsschwachstellen: Bestimmte Funktionen einer Anwendung werden gezielt überlastet
Arten von DoS-Angriffen
DoS-Angriffe lassen sich nach dem OSI-Schichtenmodell in verschiedene Kategorien einteilen. Je nach Angriffsebene unterscheiden sich die Methoden und erforderlichen Gegenmaßnahmen erheblich.
Volumetrische Angriffe (Layer 3/4)
Bei volumetrischen Angriffen wird das Zielsystem mit enormen Datenmengen überflutet. Ein typisches Beispiel ist der UDP-Flood, bei dem massenhaft UDP-Pakete an zufällige Ports gesendet werden. Der Server muss für jedes Paket prüfen, ob eine Anwendung auf dem Port lauscht, und antwortet mit "Destination Unreachable" - ein ressourcenintensiver Prozess.
Besonders gefährlich sind Amplification-Angriffe: Der Angreifer sendet kleine Anfragen an öffentliche Server (z.B. DNS-Server) mit gefälschter Absenderadresse des Opfers. Die Server antworten mit deutlich größeren Datenpaketen direkt an das Opfer. So kann ein Angreifer mit 1 Mbit/s Bandbreite Angriffe mit über 200 Gbit/s erzeugen.
Protokoll-Angriffe (Layer 4)
Protokoll-Angriffe nutzen Schwachstellen in Netzwerkprotokollen aus. Der bekannteste Vertreter ist der SYN-Flood-Angriff, der den TCP-Verbindungsaufbau (Three-Way-Handshake) missbraucht:
Normaler TCP-Handshake:
1. Client → Server: SYN (Verbindungsanfrage)
2. Server → Client: SYN/ACK (Bestätigung)
3. Client → Server: ACK (Verbindung hergestellt)
SYN-Flood-Angriff:
1. Angreifer → Server: SYN mit gefälschter IP
2. Server → (ins Leere): SYN/ACK
3. Server wartet vergeblich auf ACK...
Der Server speichert jede halboffene Verbindung in seiner Verbindungstabelle und wartet auf das abschließende ACK-Paket. Da dieses nie kommt, füllt sich die Tabelle, bis keine neuen Verbindungen mehr möglich sind.
Anwendungsschicht-Angriffe (Layer 7)
Angriffe auf der Anwendungsschicht sind besonders tückisch, da sie legitimen Datenverkehr imitieren. Ein HTTP-Flood sendet massenhaft HTTP-Anfragen an einen Webserver. Anders als bei volumetrischen Angriffen ist die Datenmenge gering, aber die Verarbeitung jeder Anfrage kostet den Server Ressourcen.
Ein besonders raffinierter Angriff ist Slowloris: Der Angreifer öffnet viele Verbindungen zum Webserver und sendet HTTP-Anfragen extrem langsam, ohne sie je abzuschließen. Der Server hält alle Verbindungen offen und wartet auf die vollständigen Anfragen. Mit minimaler Bandbreite kann ein einzelner Rechner so einen Webserver lahmlegen.
DoS vs. DDoS: Der Unterschied
Der fundamentale Unterschied liegt in der Anzahl der Angriffsquellen:
| Aspekt | DoS | DDoS |
|---|---|---|
| Quelle | Eine einzelne Maschine | Viele Maschinen (Botnetz) |
| Datenvolumen | Begrenzt | Sehr hoch (bis zu mehreren Tbps) |
| Erkennung | Relativ einfach | Schwierig |
| Blockierung | IP-Sperre möglich | Komplex, da viele IPs |
| Ressourcenbedarf | Gering | Botnetz erforderlich |
Ein DDoS-Angriff (Distributed Denial of Service) nutzt ein Netzwerk aus kompromittierten Computern - ein sogenanntes Botnetz. Diese infizierten Rechner werden von einem Angreifer koordiniert gesteuert und greifen gleichzeitig das Zielsystem an. Aktuelle DDoS-Angriffe erreichen Spitzenwerte von über 29 Terabit pro Sekunde (Tbps), wie Cloudflare im Jahr 2025 dokumentierte.
Bekannte Angriffsmethoden im Detail
Ping of Death
Der Ping of Death ist ein historischer Angriff, bei dem ein übergroßes ICMP-Paket (größer als die maximalen 65.535 Bytes) gesendet wird. Ältere Systeme konnten solche Pakete beim Zusammensetzen nicht korrekt verarbeiten und stürzten ab. Moderne Betriebssysteme seit etwa 1998 sind gegen diesen Angriff immun.
DNS-Amplification
Bei der DNS-Amplifikation sendet der Angreifer kleine DNS-Anfragen an öffentliche DNS-Server. Die Anfragen enthalten die IP-Adresse des Opfers als gefälschte Absenderadresse (IP-Spoofing). Der DNS-Server antwortet mit deutlich größeren Antworten direkt an das Opfer. Das Verstärkungsverhältnis kann dabei 50:1 oder mehr betragen.
ICMP-Flood (Ping-Flood)
Bei einem ICMP-Flood überflutet der Angreifer das Zielsystem mit ICMP-Echo-Anfragen (Ping-Paketen). Das Zielsystem muss auf jede Anfrage mit einem Echo-Reply antworten, was bei genügend Anfragen zur Überlastung führt. Dieser Angriff ist einfach durchzuführen, aber auch relativ leicht zu erkennen und zu blockieren.
Schutzmaßnahmen gegen DoS-Angriffe
Ein effektiver Schutz vor DoS-Angriffen erfordert mehrere Verteidigungsebenen. Keine einzelne Maßnahme bietet vollständigen Schutz, aber in Kombination lässt sich die Widerstandsfähigkeit erheblich steigern.
Technische Schutzmaßnahmen
- Rate Limiting: Begrenzt die Anzahl der Anfragen pro IP-Adresse und Zeiteinheit. Der Token-Bucket-Algorithmus oder Leaky-Bucket-Algorithmus regulieren dabei den Datenfluss.
- SYN Cookies: Bei SYN-Flood-Angriffen speichert der Server keine halboffenen Verbindungen, sondern kodiert die Verbindungsinformationen im SYN/ACK-Paket. Erst beim Eintreffen des ACK wird die Verbindung etabliert.
- Firewalls: Filtern offensichtlich bösartigen Datenverkehr anhand von Regeln und Signaturen.
- Web Application Firewall (WAF): Analysiert HTTP-Verkehr auf der Anwendungsschicht und blockiert verdächtige Anfragemuster.
- Anycast: Verteilt den Datenverkehr auf mehrere Server weltweit, sodass kein einzelner Standort überlastet wird.
Organisatorische Maßnahmen
- Incident Response Plan: Ein dokumentierter Notfallplan definiert Zuständigkeiten und Reaktionsschritte für den Angriffsfall.
- DDoS-Mitigation-Dienste: Spezialisierte Anbieter wie Cloudflare oder AWS Shield können massiven Angriffsverkehr absorbieren.
- Redundanz: Mehrere Server an verschiedenen Standorten erhöhen die Ausfallsicherheit.
- Monitoring: Kontinuierliche Überwachung des Netzwerkverkehrs ermöglicht frühe Erkennung von Anomalien.
DoS-Angriffe in der Praxis
DoS- und DDoS-Angriffe gehören zu den häufigsten Cyberangriffen weltweit. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) berichtet von einer deutlichen Zunahme hochvoluminöser Angriffe. Im ersten Halbjahr 2024 überschritten durchschnittlich 13 Prozent der Angriffe die Marke von 10.000 Megabit pro Sekunde - mehr als doppelt so viel wie im langjährigen Durchschnitt.
Für Fachinformatiker für Systemintegration gehört das Verständnis von DoS-Angriffen zum grundlegenden Sicherheitswissen. Du konfigurierst Firewalls, richtest Rate Limiting ein und überwachst Netzwerke auf verdächtige Aktivitäten. Auch als Fachinformatiker für Anwendungsentwicklung solltest du wissen, wie Anwendungen gegen Layer-7-Angriffe gehärtet werden können.
Wichtig zu wissen: DoS-Angriffe werden häufig als Ablenkungsmanöver eingesetzt. Während das IT-Team mit der Abwehr des Angriffs beschäftigt ist, versuchen Angreifer parallel Malware einzuschleusen oder Daten zu stehlen. Eine ganzheitliche Sicherheitsstrategie berücksichtigt daher immer auch parallele Bedrohungen.
Rechtliche Aspekte
DoS-Angriffe sind in Deutschland nach § 303b StGB (Computersabotage) strafbar. Die Strafe kann bis zu drei Jahre Freiheitsstrafe oder Geldstrafe betragen. Bei Angriffen auf kritische Infrastrukturen oder gewerbsmäßigem Handeln erhöht sich das Strafmaß auf bis zu zehn Jahre. Auch der Betrieb eines Botnetzes oder das Bereitstellen von DoS-Werkzeugen kann strafrechtlich verfolgt werden.
Quellen und weiterführende Links
- BSI - Informationen zu DDoS-Angriffen - Aktuelle Lageberichte des Bundesamts für Sicherheit in der Informationstechnik
- Cloudflare - What is a DDoS attack? - Umfassende Erklärung verschiedener DDoS-Angriffstypen
- OWASP - Denial of Service Cheat Sheet - Best Practices zur Absicherung von Webanwendungen
- NIST - Guide to DDoS Attacks - Technische Richtlinien des National Institute of Standards and Technology