Denial-of-service aanvallen (dos-aanvallen) en distributed denial-of-service aanvallen (ddos-aanvallen) zijn pogingen om eencomputer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker. Het verschil tussen een 'gewone' dos-aanval en een distributed dos-aanval is dat in het laatste geval meerdere computers tegelijk de aanval uitvoeren. Hiervoor wordt vaak eenbotnet gebruikt, maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging.

Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen. Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditkaartservices. De term wordt gebruikt in verband met computernetwerken, maar het is niet beperkt tot dit gebied; het wordt bijvoorbeeld ook gebruikt met betrekking tot CPU resource management. Een veel voorkomende vorm van aanvallen is het verzadigen van het doelsysteem met externe communicatieverzoeken, zodat het niet kan reageren op legitieme verzoeken of zodat het zo traag wordt dat het niet meer effectief te gebruiken valt. Dergelijke aanvallen leiden doorgaans tot een overbelasting van de server. Programma's die specifiek zijn ontworpen om dergelijke aanvallen uit te voeren, heten flooders. Meestal zijn dos-aanvallen bedoeld om er voor te zorgen dat het doelwit zijn computer moet resetten of andere zaken moet doen, waardoor het doelwit zijn beoogde diensten niet meer kan aanbieden. Denial-of-service aanvallen zijn in strijd met de regels van gebruik van vrijwel alleinternetproviders. Daarnaast zijn ze in strijd met allerhande landeigen wetgevingen. Wanneer een dos-aanvaller een grote hoeveelheid informatiebestanden tracht te versturen naar een netwerkgebruiker, dan ervaren alle gebruikers van dat netwerk mogelijk storingen en/of vertragingen.

Symptomen en verschijningsvormen Het Amerikaanse Computer emergency response team (US-CERT) noemt de volgende symptomen van een ddos-aanval:

• Ongebruikelijke traagheid van het netwerk.
• Het niet beschikbaar zijn van een bepaalde website.
• Het onvermogen om een website te bezoeken.
• Een drastische toename in het aantal spam e-mails (deze vorm van dos aanval noemt men een e-mailbom of mailbom).

Denial-of-service-aanvallen kunnen ook leiden tot problemen bij andere computers of netwerken die verbonden zijn met het doelwit. Als een aanval op grote schaal wordt uitgevoerd kunnen gehele geografische gebieden getroffen worden, ook al is dit niet de intentie van de aanvaller.

Soorten aanvallen Een denial-of-service aanval wordt gekenmerkt door een expliciete poging van de hackers om de legitieme gebruikers van een service de toegang tot die service te ontnemen. Er zijn twee algemene vormen van dos-aanvallen: de crashaanvallen en de flood aanvallen. Er zijn verschillende manieren of soorten van dos-aanvallen maar ook verschillende vormen van aanvallen. De vijf basisvormen zijn:

• Het verbruik van computergerelateerde middelen zoals bandbreedte of schijfruimte.
• De verstoring van configuratie-informatie.
• Verstoring van de staat van het apparaat, zoals het ongevraagd resetten.
• Verstoring van netwerkcomponenten.
• Obstructie van communicatiemiddelen tussen de beoogde gebruikers en het slachtoffer, zodat ze niet meer adequaat kunnen communiceren.

ICMP-aanvallen Er zijn dos-aanvallen die gebruikmaken van het Internet Control Message Protocol. Voorbeelden van programma's die dergelijke aanvallen inzetten, zogenaamde flooders, zijn Crazy Pinger en Some Trouble.

Zo worden er bij een smurfaanval echo requests (pings) met een vervalst IP-bronadres naar een broadcastadres binnen een netwerk gestuurd. Daardoor gaat het netwerk zelf dienen als een versterker van de smurfaanval. Bij een dergelijke aanval zullen de daders grote aantallen netwerkpakketten met een vervalst bronadres naar het slachtoffer sturen. De bandbreedte van het netwerk van het slachtoffer wordt zo opgebruikt waardoor legitieme zaken niet meer kunnen plaatsvinden. Om een smurfaanval te voorkomen hebbeninternetproviders de mogelijkheid om verkeerd ingestelde netwerken op te sporen.

Bij een ping flood zal men, uitgaande van een grotere bandbreedte, een aantal ping-pakketten naar het slachtoffer verzenden. Dit is eenvoudig, maar de hoofdvereiste blijft dat de bandbreedte van de aanvaller groter is dan die van het slachtoffer.

De zogenaamde ping-of-death lijkt op een ping flood, maar bij een ping-of-death zal het doelsysteem crashen in plaats van onbereikbaar te worden.

SYN flood Bij een SYN flood stuurt de aanvaller TCP/SYN-pakketten, vaak met een vervalst bronadres. Elk van deze pakketten is een verzoek tot verbinding van de zender aan de ontvanger, waardoor er een halfopen verbinding bij de server wordt geopend. Deze halfopen verbindingen verzadigen het aantal verbindingen dat de ontvanger aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot het netwerk.

Teardropaanval Een teardropaanval is het verzenden van vervormde IP-fragmenten met grote ladingen naar de doelcomputer. Hierdoor kan het besturingssysteem crashen. Verschillende besturingssystemen blijken hiervoor vatbaar.

Permanente denial of service aanvallen Een permanente dos (BOB’s), ook bekend als phlashing, is een aanval die een systeem zo zwaar beschadigt dat het vervangen of opnieuw geïnstalleerd moet worden. In tegenstelling tot bij de ddos-aanvallen maakt de BOB gebruik van veiligheidsproblemen op een computer die het mogelijk maken om extern de computer te beheersen. Wanneer het systeem extern beheerd is kan de hacker het van binnen uit kapotmaken, waardoor het niet meer bruikbaar is. De BOB is een pure hardwaregerichte aanval die sneller is dan een ddos-aanval waarbij botnetwerken gebruikt moeten worden. Omdat deze manier van dos makkelijker is, werden er al allerhande anti-BOB-middelen op de markt gebracht zoals PhlashDance.

Distributed aanvallen Een distributed denial of service aanval (ddos) treedt op wanneer meerdere systemen vanuit meerdere webservers een flood van de bandbreedte van een ander systeem veroorzaken. Bij ddos-aanvallen maakt men vaak gebruik van botnetwerken. Deze botnetwerken bestaan uit computers die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer, ervoor zorgen dat de computer van zijn slachtoffer crasht. De bestanden die verstuurd worden kunnen verschillen zoals e-mails, verbindingsaanvragen, etc. Er zijn tools beschikbaar die ervoor zorgen dat de eigenaar een botnetwerk kan besturen, zoals met een Trojaans paard.

Preventiemethodes De preventie van dos-aanvallen wordt meestal gedaan door speciale software die een aanval kan detecteren. Deze software begint het verkeer te herkennen en classificeren. Wanneer niet-legitiem verkeer toegang zoekt tot de computer wordt dit geblokkeerd. Een aantal mogelijke preventie- en bestrijdingsmethoden:

• Firewall: Een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf.
• Switches: switches zorgen voor een vertraging in verkeer zodat het makkelijker wordt om het verkeer te identificeren en classificeren.
• Routers: deze hebben eenzelfde functie als firewalls. Ze hebben ook het doel om het verkeer te vertragen.
• Clean pipes: al het verkeer wordt door een "clean pipe" gestuurd. Deze controleert het verkeer op zijn legitimiteit. Het laat alleen goedgekeurd verkeer doorgaan naar de server.