DoS Abkürzung für "Denial of Service" ("denial": Ablehnung, Leugnung)
DDoS Abkürzung für "Distributed Denial of Service"
Das Ziel einer DoS-Attacke ist einfach und direkt: Die betroffenen Computer und die auf ihnen laufenden Dienste arbeitsunfähig zu machen. Im Unterschied zu anderen Angriffen will der Angreifer hier nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder ähnliches. Hauptsächliches Mittel für den Angriff ist die Überlastung eines laufenden Dienstes: So kann ein Webserver durch eine sehr große Zahl von Seitenabrufen daran gehindert werden, normale Anfragen zu bearbeiten. Bei einem verteilten Angriff "Distributed Denial of Service" werden diese Anfragen von hunderten verschiedenen Computern im Netz gestartet und sind damit kaum von regulären Anfragen zu unterscheiden. Dabei sind die meisten der für den Angriff verwendeten Computer selbst Opfer, wobei das DOS-Programm installiert wurde.
Denial-of-Service Attacken sind immer böswillig, außer wenn Sicherheitsexperten DDoS-Attacken gegen ihre eigenen Netzwerke ausführen um die Sicherheit ihres eigenen Netzwerkes zu prüfen (so genanntes Auditieren).
Die erste bedeutende Denial-of-Service-Attacke war der Morris-Wurm. Schätzungsweise waren etwa 5000 Computer für einige Stunden betriebsunfähig. Heutzutage könnte eine vergleichbare DoS-Attacke Verluste in Millionenhöhe nach sich ziehen.
Im Februar 2000 wurden verschiedene, große Internet-Dienste (wie z.B. Yahoo, CNN, Amazon, eBay, ETrade ) durch DDoS-Attacken lahm gelegt. Hierbei hatten sich die Angreifer Zugang zu hunderten von Computern im Internet verschafft (darum das "distributed" also "verteilt"), um die Wirksamkeit ihrer Attacken durch die Vielzahl der gleichzeitig angreifenden Rechner stark zuerhöhen. Eine DDoS-Attacke erzielt den Schaden meistens durch die Überlastung der angegriffenen Systeme.
Die beobachteten Angriffe basierten auf zwei wesentlichen Schwachstellen:
Zum einen konnten die Absenderadressen der "angreifenden" Datenpakete gefälscht werden (IP-Spoofing), zum anderen konnte vor den eigentlichen Angriff auf einer großen Anzahl dritter - nur unzureichend geschützter - Internet-Rechner unberechtigterweise Software installiert werden, die dann ferngesteuert durch massenhaft versendete Datenpakete den eigentlichen Angriff ausführten. Das besondere an diesen DDoS-Angriffen ist, dass diese daher auch diejenigen treffen können, die sich ansonsten optimal vor Eindringlingen aus dem Internet geschützt haben. Insofern sind Rechner, auf denen noch nicht einmal so genannte Grundschutzmaßnahmen umgesetzt sind, nicht nur für den jeweiligen Betreiber eine Gefahr, sondern auch für alle anderen Computer im Internet.
Wirksame Maßnahmen gegen verteilte Denial-of-Service-Angriffe müssen in einer konzertierten Aktion an vielen Stellen in der vorhandenen komplexen Internetstruktur getroffen werden. Serverbetreiber im Internet, die Ziel der genannten Angriffe waren, können eine Reihe von sinnvollen Maßnahmen ergreifen, aber das DDoS-Problem nicht vollständig lösen. Vielmehr müssen verschiedene Zielgruppen (Inhalte-Anbieter, Serverbetreiber, Netzvermittler und Endanwender) - jeder in seinem Bereich - tätig werden. Nur gemeinsam kann das Internet im Hinblick auf die Gefährdung durch DDoS-Angriffe sicherer gemacht, die Durchführung von Denial-of-Service-Angriffen erschwert sowie eine spätere Verfolgung der Urheber dieser Angriffe erleichtert werden.
Niemand hat einen legitimen Grund, ein Netzwerk zu beeinträchtigen. DDoS-Attacken sind strafbar und ziehen oft eine Strafanzeige mit sich.
DDoS-Angriffe können auf jeder Plattform stattfinden. Eine einzelne DDoS-Attacke kann mehrere Zielbetriebssysteme treffen (das Beispiel, das sich hier aufdrängt, ist die Land-Attacke, die fast zwei Dutzend verschiedene Betriebssysteme beeinträchtigen konnte, darunter Windows NT und einige UNIX-Versionen).