Skip to content Skip to navigation Skip to footer

Was ist der Unterschied von Denial of Sevice (DoS) vs. DDoS?

Ein Denial of Service (DoS)-Angriff überlastet einen Server durch Datenverkehr, was zur Folge hat, dass eine Website oder eine Ressource nicht mehr verfügbar ist. Ein Distributed Denial of Service (DDoS)-Angriff ist ein DoS-Angriff, bei dem mehrere Computer oder Geräte verwendet werden, um eine bestimmte Ressource zu überlasten. Beide Arten von Angriffen überlasten einen Server oder eine Web-Anwendung mit dem Ziel, Dienste zu unterbrechen. 

Wenn der Server mit mehr Transmission Control Protocol/User Datagram Protocol (TCP/UDP)-Paketen belastet wird, als er verarbeiten kann, kann er abstürzen, die Daten können beschädigt werden, und Ressourcen können fehlgeleitet werden oder der Server kann sogar so weit ausgelastet werden, dass das System lahmgelegt wird.

DDoS- vs. DoS-Angriffe: Was ist der Unterschied?

Der Hauptunterschied zwischen einem DoS- und einem DDoS-Angriff besteht darin, dass es sich bei ersterem um einen Angriff eines einzelnen Systems auf ein einzelnes System handelt, während bei letzterem mehrere Systeme ein einzelnes System angreifen. Es gibt jedoch noch weitere Unterschiede, die entweder ihre Art oder ihre Erkennung betreffen, darunter:

  1. Leichtere Erkennung/Abschwächung: Da ein DoS-Angriff von einem einzigen Standort ausgeht, ist es einfacher, seinen Ursprung zu ermitteln und die Verbindung zu unterbrechen. Eine gut funktionierende Firewall kann dies sogar gewährleisten. Ein DDoS-Angriff hingegen erfolgt von mehreren dezentralen Standorten aus unter Verschleierung seines Ursprungs.
  2. Geschwindigkeit des Angriffs: Da ein DDoS-Angriff von mehreren Standorten ausgeht, kann er wesentlich schneller ausgeführt werden als ein DoS-Angriff, der von einem einzigen Standort ausgeht. Die erhöhte Angriffsgeschwindigkeit erschwert die Erkennung des Angriffs, was größere Schäden oder sogar katastrophale Folgen mit sich bringen kann. 
  3. Datenverkehrsvolumen: Bei einem DDoS-Angriff werden mehrere Remote-Rechner (Zombies oder Bots) eingesetzt, was bedeutet, dass von verschiedenen Standorten aus gleichzeitig wesentlich größere Datenmengen gesendet werden können, wodurch ein Server schnell und unbemerkt überlastet wird.
  4. Art und Weise der Ausführung: Bei einem DDoS-Angriff werden mehrere mit Malware (Bots) infizierte Hosts koordiniert, sodass ein Botnet entsteht, das von einem Command-and-Control-Server (C&C) verwaltet wird. Im Gegensatz dazu wird bei einem DoS-Angriff in der Regel ein Skript oder ein Tool verwendet, um den Angriff von einem einzigen Rechner aus auszuführen.
  5. Rückverfolgung der Quelle(n): Die Verwendung eines Botnets bei einem DDoS-Angriff hat zur Folge, dass die Rückverfolgung des tatsächlichen Ursprungs weitaus komplizierter ist als die Rückverfolgung des Ursprungs eines DoS-Angriffs.

Arten von DoS- und DDoS-Angriffen

DoS- und DDoS-Angriffe können viele Formen annehmen und zu unterschiedlichen Zwecken erfolgen. Dabei kann es darum gehen, ein Unternehmen um geschäftliche Vorteile zu bringen, einen Konkurrenten handlungsunfähig zu machen, von anderen Angriffen abzulenken oder einfach nur Unruhe zu stiften oder ein Zeichen zu setzen. Im Folgenden sind einige der gängigsten Formen solcher Angriffe aufgeführt.

Teardrop-Angriff

Ein Teardrop-Angriff ist ein DoS-Angriff, bei dem unzählige IP-Datenfragmente an ein Netzwerk gesendet werden. Wenn das Netzwerk versucht, die Fragmente wieder in ihre ursprünglichen Pakete zusammenzusetzen, gelingt ihm das nicht. 

Der Angreifer kann zum Beispiel große Datenpakete in mehrere Fragmente zerlegen, die das Zielsystem dann wieder zusammensetzen muss. Der Angreifer ändert jedoch die Art und Weise, wie das Paket zerlegt wird, um das Zielsystem zu verwirren, das dann nicht in der Lage ist, die Fragmente wieder zu den ursprünglichen Paketen zusammenzusetzen.

Flooding-Angriff

Ein Flooding-Angriff ist ein DoS-Angriff, bei dem mehrere Verbindungsanfragen an einen Server gesendet werden, der dann aber nicht antwortet, sodass der Verbindungsaufbau nicht abgeschlossen werden kann. 

Der Angreifer kann zum Beispiel verschiedene Anfragen senden, um sich als Client zu verbinden, wenn der Server jedoch versucht zu antworten, um die Verbindung zu verifizieren, verweigert der Angreifer die Antwort. Nach zahllosen Wiederholungen dieses Vorgangs wird der Server mit anstehenden Anfragen derart überflutet, dass echte Clients keine Verbindung mehr herstellen können und der Server „ausgelastet“ wird oder sogar abstürzt.

IP-Fragmentierungsangriff

Ein IP-Fragmentierungsangriff ist eine Art von Denial-of-Service-Angriff, der veränderte Netzwerkpakete übermittelt, die das empfangende Netzwerk nicht wieder zusammensetzen kann. Das Netzwerk wird mit umfangreichen, nicht zusammengesetzten Paketen überlastet und verbraucht alle seine Ressourcen.

Volumetrischer Angriff

Ein volumetrischer Angriff ist eine Art von DDoS-Angriff, der auf Bandbreitenressourcen abzielt. Der Angreifer nutzt beispielsweise ein Botnet, um eine große Anzahl von Anfragepaketen an ein Netzwerk zu senden und dessen Bandbreite mit Internet Control Message Protocol (ICMP)-Echoanfragen zu überlasten. Dies führt zu einer Verlangsamung oder sogar zur völligen Einstellung der Services.

Protokollangriff

Ein Protokollangriff ist eine Art von DDoS-Angriff, der Schwachstellen in den Ebenen 3 und 4 des OSI-Modells ausnutzt. So kann der Angreifer beispielsweise die TCP-Verbindungssequenz ausnutzen, indem er Anfragen sendet, aber entweder nicht wie erwartet antwortet oder mit einer anderen Anfrage unter Verwendung einer gefälschten Quell-IP-Adresse antwortet. Unbeantwortete Anfragen beanspruchen die Ressourcen des Netzwerks, bis dieses nicht mehr verfügbar ist.

Anwendungsbasierter Angriff

Ein anwendungsbasierter Angriff ist eine Art von DDoS-Angriff, der auf Ebene 7 des OSI-Modells abzielt. Ein Beispiel ist der Slowloris-Angriff, bei dem der Angreifer Hypertext Transfer Protocol (HTTP)-Anfragen teilweise sendet, sie aber nicht vervollständigt. HTTP-Header werden periodisch für jede Anfrage gesendet, was zu einer Überlastung der Netzwerkressourcen führt. 

Der Angreifer setzt den Angriff fort, bis der Server keine neuen Verbindungen mehr herstellen kann. Diese Art von Angriff ist äußerst schwer zu erkennen, da keine beschädigten Pakete, sondern nur Teilpakete gesendet werden und nur wenig oder gar keine Bandbreite verwendet wird.

Wie man den Schutz vor DoS- und DDoS-Angriffen verbessert

Im Folgenden werden einige Best Practices für den DoS- und DDoS-Schutz beschrieben:

1.         Überwachen Sie Ihr Netzwerk kontinuierlich: Dies ist von Vorteil, um gewöhnliche Datenverkehrsmuster zu erkennen, und entscheidend für eine frühzeitige Erkennung und Abschwächung.

2.         Führen Sie Tests durch, um DoS-Angriffe zu simulieren: Dies hilft bei der Risikobewertung, der Aufdeckung von Schwachstellen und der Schulung von Mitarbeitern in Sachen Cyber-Sicherheit.

3.         Erstellen Sie einen Sicherheitsplan: Erstellen Sie Checklisten, bilden Sie ein Reaktionsteam, legen Sie Reaktionsparameter fest und implementieren Sie Schutzmaßnahmen.

4.         Identifizieren Sie kritische Systeme und gewöhnliche Datenverkehrsmuster: Ersteres hilft bei der Sicherheitsplanung, Letzteres bei der Früherkennung von Bedrohungen.

5.         Stellen Sie zusätzliche Bandbreite zur Verfügung: Das kann den Angriff zwar nicht verhindern, hilft aber dem Netzwerk, Spitzen im Datenverkehr zu bewältigen und die Auswirkungen eines Angriffs zu verringern.

DDoS-Angriffe entwickeln sich stetig weiter und werden immer ausgeklügelter und wirkungsvoller. Daher benötigen Unternehmen Lösungen, die umfassende Strategien – wie fortschrittliche Berichts- und Analysetools – zur gleichzeitigen Überwachung zahlreicher Bedrohungsparameter verwenden. Um ein Unternehmen vor bekannten Angriffen zu schützen und sich auf potenzielle Zero-Day-Angriffe vorzubereiten, ist ein mehrschichtiger DDoS-Schutz, wie FortiDDoS, unerlässlich. 

FortiDDoS umfasst die Fortinet DDoS Attack Mitigation Appliance (Appliance für die Reduzierung des DDoS-Angriffsrisikos), die eine kontinuierliche Bedrohungsbewertung und Sicherheitsmaßnahmen für die Ebenen 3, 4 und 7 bietet.