it-swarm.com.de

Können Angreifer mit DoS-Angriffen etwas erreichen, außer den Dienst zum Absturz zu bringen?

Ein DoS-Angriff (kurz für "Denial of Service") ist eine Form des Angriffs auf Webdienste, die darauf abzielt, den Dienst "zum Absturz zu bringen".

Gibt es ein Motiv für diese Form des Angriffs außer dem Absturz des Dienstes/der Website?

Zum Beispiel könnte ich mir Erpressung/Schaden an einem Konkurrenten/aus politischen Gründen als direktes Motiv für einen DoS-Angriff vorstellen. Aber gibt es andere, indirektere Motive? Wäre es möglich, mit einem DoS-Angriff Daten vom Dienst abzurufen? Wenn das so ist, wie?

65
Martin Thoma

Im Allgemeinen liefert ein (verteilter) Denial-of-Service-Angriff nicht viele Informationen direkt. Es gibt jedoch einige Szenarien, in denen Informationen aufgrund eines DoS abgerufen werden können. Das Folgende sind einige Beispiele, aber dies ist keineswegs erschöpfend:

  • Ein Load Balancer kann interne Subnetzinformationen preisgeben oder interne Computernamen verlieren, wenn Backing-Systeme offline sind.
  • Ein DoS, das die Datenbank zuerst herunterfährt, kann dazu führen, dass eine Anwendung den Datenbankmodultyp, den Verbindungsbenutzernamen oder die interne IP-Adresse über eine Fehlermeldung anzeigt.
  • Eine schlecht implementierte API kann zu einem "Fail-Open" -Szenario führen. Wenn Sie einen Single Sign On-Server ausführen, kann sich ein Angreifer möglicherweise nicht authentifiziert oder mit lokalen Anmeldeinformationen anmelden.
  • In Advanced Persistent Threat-Szenarien kann die DoS-Erkennungsinfrastruktur einem Angreifer ermöglichen, während anderer Phasen der Informationserfassung unentdeckt zu bleiben.
  • In ähnlicher Weise kann das DoS'ing der Administrationsoberfläche einer Firewall die Bemühungen der Netzwerkadministration zur Reaktion auf Vorfälle behindern.
  • Im Extremfall kann DoS gegen einen Schlüsselwiderrufsdienst einem Angreifer ermöglichen, weiterhin widerrufene oder bekanntermaßen gefährdete Anmeldeinformationen zu verwenden.

Andere Motive für einen Denial-of-Service-Angriff werden offensichtlich, wenn Sie die Benutzer eines Systems zusätzlich zum System selbst als Ziele betrachten: Ein Denial-of-Service-Angriff gegen eine Website, auf der Konzertkarten verkauft werden, kann es einem Angreifer ermöglichen, Tickets für ein Ereignis zu kaufen, das wäre sonst in wenigen Minuten ausverkauft gewesen. Ein DoS gegen ein Versionskontrollsystem könnte verhindern, dass ein Entwicklungsunternehmen Software rechtzeitig liefert. Ein DoS gegen eine Social-Media-Site könnte die Koordinierung politischer Proteste erschweren oder ein Ereignis unmöglich machen.

74
Motoma

Im Allgemeinen sind DoS-Angriffe nur dazu gedacht, (wie der Name schon sagt) einen Denial-of-Service zu verursachen, d. H. Einen Kompromiss bei der Verfügbarkeit des Service.

Andere Formen von DoS, z. Das Auslösen einer Nullzeiger-Dereferenzierung kann verwendet werden, um die Integrität zu beeinträchtigen, indem ein Dienst abgestürzt wird, ohne dass er Zeit hat, Dateien sauber zu schließen, was zu einer Beschädigung der Daten führt (Integritätsverlust). Datenbanken sind ein offensichtliches Ziel für solche Dinge.

Firewalls und andere Sicherheitsdienste sollten geschlossen bleiben, wenn sie effektiv ausgeführt werden. Mir ist kein Fall bekannt, in dem so etwas offen scheitern würde. Ich könnte jedoch ein Szenario vorhersehen, in dem ein Server hinter einem Load Balancer einem DoS-Angriff ausgesetzt ist, sodass der Load Balancer auf ein sekundäres System wechselt, das schwächer konfiguriert ist, wodurch diese Sicherheitsanfälligkeit extern aufgedeckt wird.

Außerhalb der CIA-Triade werden möglicherweise DoS-Angriffe verwendet, um Aufmerksamkeit und Personalressourcen von einem subtileren Angriff abzulenken.

13
Polynomial

Ja, ein DoS-Angriff kann für einen Angreifer nützlich sein.

(Übrigens handelt es sich nicht nur um einen Angriff gegen Webdienste. Er kann gegen jedes Netzwerkgerät gerichtet werden.).

Der Zweck von DoSing eines Geräts in solchen Fällen besteht darin, es langsamer oder später als normalerweise reagieren zu lassen. Von oben sehe ich:

  • DNS-Cache-Vergiftung (Kaminsky-Angriff) - Dies hängt von der Fähigkeit des Angreifers ab, eine DNS-Antwort früher als der autorisierende DNS-Server zu übermitteln. Dies kann durch DoSing des autorisierenden Servers erreicht werden.
  • Der Quantum Insert-Angriff der NSA beruht auf einer früheren Antwort als der legitime Server
  • Das Spoofing von TCP/IP-Adressen wird auch durch Verlangsamung der legitimen Antwort unterstützt
  • OCSP-Server (Certificate Status) sind so unzuverlässig und überlastet, dass einige Webbrowser sie nicht standardmäßig überprüfen, was die Möglichkeit eröffnet, Zertifikatsangriffe zu fälschen

In einem anderen Fall könnten DoSing-Clearnet-Server (z. B. durch ein klassisches Dos oder nur durch Abschneiden des Netzwerkzugriffs) verwendet werden, um die verborgene Dienstidentität von Tor zu überprüfen - z. Es könnte verwendet worden sein, um den Server von Silk Road zu lokalisieren.

In ähnlicher Weise verwendeten die Nazis während des Zweiten Weltkriegs eine Art DoS (Abschalten des Stroms in Stadtvierteln und Straßen) während der Widerstandsübertragungen der Radiostationen, um diese zu finden aus ihren Standorten.

13
Edheldil

Ein DoS-Angriff (kurz für "Denial of Service") ist eine Form des Angriffs auf Webdienste, die darauf abzielt, den Dienst "zum Absturz zu bringen". *

Nicht genau. Wie der Name schon sagt, besteht das Ziel darin, den Dienst für legitime Benutzer nicht verfügbar zu machen. Die häufigste Methode für einen Internetdienst wie einen Webserver besteht darin, die Verbindungen zu überlasten, damit niemand anderes eine Verbindung herstellen kann. Dies kann z.B. über eine SYN Flut .

Bearbeiten: Wie @RoryAlsop kommentierte, könnte ein Angreifer auch versuchen, den Dienst zum Absturz zu bringen, um ihn vollständig offline zu schalten.

Wäre es möglich, mit einem DoS-Angriff Daten vom Dienst abzurufen? Wenn das so ist, wie?

Nein, das ist eine völlig andere Art von Angriff - die jedoch in Verbindung mit einem DoS ausgeführt werden könnte, wobei letzteres das Ziel hat, die Ressourcen einer sicherheitsrelevanten Appliance, z. ein IDS, eine Firewall oder sogar ein Logger.

5
dr_

Ein Ergebnis eines DoS-Angriffs, von dem ich glaube, dass er in keiner der anderen Antworten erwähnt wurde, ist die Möglichkeit, dass eine bestimmte Aktion dazu führt, dass Daten gespeichert werden, selbst wenn sie nur Bytes sind. Wenn der Besuch einer bestimmten URL beispielsweise etwas in einer Datei protokolliert, kann das Ziel des Angreifers darin bestehen, die Festplatte zu füllen.

Dies kann zu Verwüstungen beim Löschen des Laufwerks führen, insbesondere wenn die Daten in separaten Dateien mit möglicherweise zufälligen Namen erstellt werden oder wenn die Daten einer Datenbank mit legitimen Daten hinzugefügt werden.

4
user530873

Während ein DoS normalerweise nicht verwendet werden kann, um andere Schäden zu verursachen, als den Server einfach offline zu schalten, können sie unter bestimmten Umständen (am häufigsten aufgrund schlecht konfigurierter Systeme) schwerwiegende Folgen haben, wie z. B. Datenlecks.

Ein berühmtes Beispiel ist das Informationsleck auf der ACS Law-Website . Der schlecht konfigurierte Server verlor beim Neustart nach dem Ende des DoS-Angriffs irgendwie seine ursprünglichen Einstellungen und erlaubte, dass sein Verzeichnisstamm öffentlich angezeigt werden konnte.

"Ihre Website wurde [nach dem DDoS-Angriff] wieder online geschaltet - und auf ihrer Startseite befand sich versehentlich eine Sicherungsdatei der gesamten Website (Standardverzeichnisliste, ihre Website war leer), einschließlich E-Mails und Passwörtern", sagte ein Anführer der angreifenden Gruppe TorrentFreak. "Die E-Mail enthält Abrechnungskennwörter und einige Informationen, dass ACS: Law finanzielle Probleme hat."

Dies führte später zu schwerwiegenden finanziellen und Reputationsauswirkungen für das ACS-Recht.

2
March Ho

Ich denke an nicht-technische Vorteile für den Angreifer:

  • Lösegeld aus dem angegriffenen Dienst extrahieren, um den DoS-Angriff zu stoppen
  • Öffentliche Aufmerksamkeit für eine politische Sache gewinnen (die anonyme Gruppe hat in der Vergangenheit DoS-Angriffe auf diese Weise verwendet)
  • Erzielen eines kommerziellen Vorteils durch das Herunterfahren der Website des Konkurrenten (ein Angreifer kann dies als illegalen Dienst anbieten)

Die meisten Antworten hier erwähnen Nebenwirkungen von DOS-Angriffen. Ich denke jedoch, dass auch die umgekehrte Option möglich ist: Der DOS-Angriff ist nicht die Ursache für die Nebenwirkungen, sondern selbst eine Nebenwirkung eines anderen Angriffs. Beispielsweise kann ein DOS-Angriff ein Nebeneffekt einer Botnet-Brute-Force-Aufzählung von E-Mail-Adressen über einen Bildschirm mit vergessenen Kennwörtern sein, die den Dienst verlangsamt oder sogar zum Absturz bringt.

Das Motiv dieser Angriffsform besteht nicht darin, das System herunterzufahren, sondern eine Liste der Benutzer des Dienstes abzurufen, wobei die Methode zum Abrufen der Benutzerliste den Nebeneffekt hat, das System herunterzufahren.

1
Nzall

Normalerweise, aber nicht unbedingt. Es hängt alles davon ab, was als nächstes passiert, wenn der beabsichtigte Dienst aufgrund des Angriffs ausfällt. Stellen Sie sich vor, dass der Angriff die Benutzerauthentifizierung für eine Site überlastet und dass der Fehler darin besteht, den Dienst zuzulassen, anstatt ihn zu verweigern. Wahrscheinlich nicht das beabsichtigte Verhalten, das bei normalen Tests leicht übersehen werden kann.

0
ddyer