Geschicktes Routing gegen DDoS-Attacken

Ein Großangriff auf die Root-Server des Domain-Name-Systems hat am Montag wieder gezeigt, wie gefährlich Distributed Denial of Service" [DDoS]-Attacken sind und lässt Experten über eine wirkungsvolle Gegenwehr nachdenken.

Denn die Begebenheit vom Montag ist kein Einzelfall. Viele Homepages werden regelmäßig zum Ziel derartiger Angriffe und somit für einige Zeit außer Gefecht gesetzt.

Neun von 13 Root-Servern des Domain-Name-Systems lahmgelegt
Am Montag wurden neun der 13 Root-Server des Domain-Name-Systems mit einer massiven Flut von Anfragen bombardiert. Obwohl die Attacke ohne Einschränkungen für die Internet-Nutzer verlief, sind sich Experten sicher, hätte der Angriff nur ein paar Stunden länger gedauert, wäre es zu einer maßgeblichen Unterbrechung des Internets gekommen.

Angriff auf Grundstruktur des Internets

Distributed Denial of Service Attack

Ein verteilter DOS-Angriff geschieht in zwei Etappen: Zuerst verschafft sich der Angreifer Zugang zu mehreren fremden Großrechnern, auf denen die Angriffstools installiert werden.

Diese Rechner werden dann von versteckten Client-Rechnern, die sich mit falschen IP-Adressen tarnen, ferngesteuert und dazu gebracht, den Zielrechner mit permanenten Abfragen zu attackieren. Wenn dies von vielen starken Rechnern aus gleichzeitig passiert, kann der Angriff auch ganze Serverparks in die Knie zwingen.

Da diese Angriffe verteilt erfolgen, ist konventionelle Gegenwehr hier sinnlos. Sicherheitsprogramme können die Abfragen nicht vom normalen Traffic unterscheiden und sie somit nicht blockieren ohne den gesamten Traffic einzuschränken.

Grundlegende Netzwerkstruktur überdenken
Phil Huggins von der Computersicherheitsfirma @Stake ist der Meinung eine Lösung könnte nur durch Betrachtung des grundlegenden Netzwerks erzielt werden. "Mit der derzeitigen Netzwerk-Infrastruktur des Internet können DDoS-Attacken einfach nicht verhindert werden," so Huggins.

@Stake

Datenfluss am Ursprung stoppen

Steve Bellovin von den AT&T Labs schlägt vor, DDoS-Angriffe zu stoppen, indem man den Traffic zurück zu seiner Quelle drängt. Bellovin und sein Team erbeiten derzeit daran, einen Weg zu finden Router so neu zu adaptieren, dass sie die Angriffe indentifizieren und stoppen können.

Die Forscher haben bereits einen Software-Prototyp mit dem Namen "Pushback" entwickelt, der auf einen Router geladen werden kann. Pushback könnte ungewöhnlich hohe Zugriffszahlen erkennen und blockieren.

Router, die mit dieser Software ausgestattet würden, könnten weiters mit anderen Routern kommunizieren und so den Datenfluß immer näher an seinem Ursprung stoppen.

Pushback

Anfragen stoppen bevor Ziel erreicht wird

Wissenschaftler der University of California haben einen anderen Weg eingeschlagen. Sie wollen den DDoS-Traffic stoppen, bevor er sein Ziel überhaupt erreicht.

Die Software namens "D-Ward" könnte an einem Netzwerk-Gateway installiert werden und den ausgehenden Internetverkehr auf verdächtige Aktivitäten überwachen.

Somit sollen potenzielle DDoS-Daten einfacher abgefangen werden können.

D-Ward

Doch die Wissenschaftler sind sich einig, dass die größte Schwierigkeit im Umsetzen dieser Ideen dabei liegt, die Router-Hersteller davon zu überzeugen die Systeme zu implementieren.

Vor allem mögliche notwendige Modifikationen an der Hardware, würde die Hersteller abhalten.