26.10.2002

ABHILFE

Bildquelle: PhotoDisc

Geschicktes Routing gegen DDoS-Attacken

Ein Großangriff auf die Root-Server des Domain-Name-Systems hat am Montag wieder gezeigt, wie gefährlich Distributed Denial of Service" [DDoS]-Attacken sind und lässt Experten über eine wirkungsvolle Gegenwehr nachdenken.

Denn die Begebenheit vom Montag ist kein Einzelfall. Viele Homepages werden regelmäßig zum Ziel derartiger Angriffe und somit für einige Zeit außer Gefecht gesetzt.

Distributed Denial of Service Attack

Ein verteilter DOS-Angriff geschieht in zwei Etappen: Zuerst verschafft sich der Angreifer Zugang zu mehreren fremden Großrechnern, auf denen die Angriffstools installiert werden.

Diese Rechner werden dann von versteckten Client-Rechnern, die sich mit falschen IP-Adressen tarnen, ferngesteuert und dazu gebracht, den Zielrechner mit permanenten Abfragen zu attackieren. Wenn dies von vielen starken Rechnern aus gleichzeitig passiert, kann der Angriff auch ganze Serverparks in die Knie zwingen.

Da diese Angriffe verteilt erfolgen, ist konventionelle Gegenwehr hier sinnlos. Sicherheitsprogramme können die Abfragen nicht vom normalen Traffic unterscheiden und sie somit nicht blockieren ohne den gesamten Traffic einzuschränken.

Datenfluss am Ursprung stoppen

Steve Bellovin von den AT&T Labs schlägt vor, DDoS-Angriffe zu stoppen, indem man den Traffic zurück zu seiner Quelle drängt. Bellovin und sein Team erbeiten derzeit daran, einen Weg zu finden Router so neu zu adaptieren, dass sie die Angriffe indentifizieren und stoppen können.

Die Forscher haben bereits einen Software-Prototyp mit dem Namen "Pushback" entwickelt, der auf einen Router geladen werden kann. Pushback könnte ungewöhnlich hohe Zugriffszahlen erkennen und blockieren.

Anfragen stoppen bevor Ziel erreicht wird

Wissenschaftler der University of California haben einen anderen Weg eingeschlagen. Sie wollen den DDoS-Traffic stoppen, bevor er sein Ziel überhaupt erreicht.

Die Software namens "D-Ward" könnte an einem Netzwerk-Gateway installiert werden und den ausgehenden Internetverkehr auf verdächtige Aktivitäten überwachen.

Doch die Wissenschaftler sind sich einig, dass die größte Schwierigkeit im Umsetzen dieser Ideen dabei liegt, die Router-Hersteller davon zu überzeugen die Systeme zu implementieren.

Vor allem mögliche notwendige Modifikationen an der Hardware, würde die Hersteller abhalten.