Denial of Service (DoS)
Ein Angriff, der darauf abzielt, Dienste durch Überlastung oder Ressourcenerschöpfung unerreichbar zu machen. Beeinflusst Verfügbarkeit, Betrieb und Geschäftsprozesse.
Klassifikation
- KomplexitätHoch
- AuswirkungGeschäftlich
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Länger andauernde Ausfälle mit Umsatzverlusten.
- Reputationsschäden und Kundenabwanderung.
- Fehlkonfigurationen der Gegenmaßnahmen verschlechtern die Lage.
- Automatisierte Erkennung mit eskalierenden Gegenmaßnahmen kombinieren.
- Traffic-Shaping und Priorisierung kritischer Pfade implementieren.
- Regelmäßige Incident-Drills und Postmortem-Analysen durchführen.
I/O & Ressourcen
- Traffic- und Flow-Logs (NetFlow, sFlow)
- Applikations- und WAF-Logs
- Baseline-Verkehrsprofile und SLAs
- Alarmmeldungen und Incident-Tickets
- Angewandte Drosselungs- oder Blockierungsregeln
- Post-Incident-Analyse und Lessons-Learned-Bericht
Beschreibung
Denial of Service (DoS) bezeichnet Angriffe, die Dienste durch gezielte Überlastung von Ressourcen oder Netzwerkkapazität unerreichbar machen. Dazu zählen volumetrische, Protokoll- und Applikationsschicht-Angriffe; betroffen sind Verfügbarkeit, Sicherheit und Geschäftskontinuität. Abwehr erfordert Erkennung, Ratenbegrenzung, Architekturresilienz und koordiniertes Incident-Response. Gegenmaßnahmen müssen sowohl auf Infrastruktur- als auch Anwendungsebene geplant werden.
✔Vorteile
- Reduzierte Downtime und verbesserte Geschäftskontinuität.
- Besseres Kundenvertrauen durch stabilere Dienste.
- Geringeres Risiko finanzieller Schäden und SLA-Verstöße.
✖Limitationen
- Vollständiger Schutz ist selten möglich; sehr große Angriffe können Ressourcen übersteigen.
- Falsch positive Erkennungen können legitimen Traffic beeinträchtigen.
- Kosten für permanente Hochverfügbarkeit und DDoS-Services können erheblich sein.
Trade-offs
Metriken
- Mean Time to Detect (MTTD)
Durchschnittliche Zeit bis zur Erkennung eines DoS-Vorfalls.
- Mean Time to Mitigate (MTTM)
Durchschnittliche Zeit bis zur Wirksamkeit der Gegenmaßnahmen.
- Verfügbarkeitsrate während Vorfall
Anteil der Zeit, in der kritische Dienste während eines Angriffs verfügbar bleiben.
Beispiele & Implementierungen
Dyn DDoS 2016 (Mirai)
Großflächige Botnet-Attacke durch IoT-Geräte, die DNS-Infrastruktur traf und viele Dienste temporär lahmlegte.
Estland 2007
Politisch motivierte DDoS-Kampagnen gegen Regierungs- und Medienwebsites mit erheblicher Infrastrukturbelastung.
Zielgerichtete API-Angriffe
Mehrere Firmen dokumentieren gezielte, ressourcenintensive Anfragen an APIs, die zu Ausfällen und Leistungsproblemen führten.
Implementierungsschritte
Baseline des Normalverkehrs erstellen und Schwellen definieren.
Monitoring- und Alerting-Regeln konfigurieren; Playbooks vorbereiten.
Schutzschichten implementieren: CDN, WAF, Ratenbegrenzung, Backpressure.
Regelmäßige Tests und Simulationen zur Validierung der Maßnahmen durchführen.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Monolithische Komponenten ohne horizontale Skalierung.
- Unvollständige Observability und lückenhafte Logs.
- Veraltete Netzwerkgeräte mit begrenzter Filterkapazität.
Bekannte Engpässe
Beispiele für Missbrauch
- Legitimen Traffic wegen zu strenger Filter versehentlich blockieren.
- Auf kostenintensive Always-On-Dienste setzen ohne Bedarfsanalyse.
- Erkennung deaktivieren, um Performance zu steigern und Angriffe zu übersehen.
Typische Fallen
- Fehlende Koordination mit Upstream-Providern verzögert Abwehr.
- Übermäßiges Vertrauen in Signaturbasierte Erkennung allein.
- Nicht getestete Playbooks funktionieren im Live-Fall nicht zuverlässig.
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Begrenzte Budgets für permanente DDoS-Abwehr
- • Legacy-Infrastruktur ohne horizontale Skalierung
- • Rechtliche Vorgaben zur Traffic-Filterung