Geschicktes Routing gegen DDoS-Attacken
Ein Großangriff auf die Root-Server des Domain-Name-Systems hat am Montag wieder gezeigt, wie gefährlich Distributed Denial of Service" [DDoS]-Attacken sind und lässt Experten über eine wirkungsvolle Gegenwehr nachdenken.
Denn die Begebenheit vom Montag ist kein Einzelfall. Viele Homepages werden regelmäßig zum Ziel derartiger Angriffe und somit für einige Zeit außer Gefecht gesetzt.
Neun von 13 Root-Servern des Domain-Name-Systems
lahmgelegt
Am Montag wurden neun der 13 Root-Server des Domain-Name-Systems
mit einer massiven Flut von Anfragen bombardiert. Obwohl die Attacke
ohne Einschränkungen für die Internet-Nutzer verlief, sind sich
Experten sicher, hätte der Angriff nur ein paar Stunden länger
gedauert, wäre es zu einer maßgeblichen Unterbrechung des Internets
gekommen.
Distributed Denial of Service Attack
Ein verteilter DOS-Angriff geschieht in zwei Etappen: Zuerst verschafft sich der Angreifer Zugang zu mehreren fremden Großrechnern, auf denen die Angriffstools installiert werden.
Diese Rechner werden dann von versteckten Client-Rechnern, die sich mit falschen IP-Adressen tarnen, ferngesteuert und dazu gebracht, den Zielrechner mit permanenten Abfragen zu attackieren. Wenn dies von vielen starken Rechnern aus gleichzeitig passiert, kann der Angriff auch ganze Serverparks in die Knie zwingen.
Da diese Angriffe verteilt erfolgen, ist konventionelle Gegenwehr hier sinnlos. Sicherheitsprogramme können die Abfragen nicht vom normalen Traffic unterscheiden und sie somit nicht blockieren ohne den gesamten Traffic einzuschränken.
Grundlegende Netzwerkstruktur überdenken
Phil Huggins von der Computersicherheitsfirma @Stake ist der
Meinung eine Lösung könnte nur durch Betrachtung des grundlegenden
Netzwerks erzielt werden. "Mit der derzeitigen
Netzwerk-Infrastruktur des Internet können DDoS-Attacken einfach
nicht verhindert werden," so Huggins.
Datenfluss am Ursprung stoppen
Steve Bellovin von den AT&T Labs schlägt vor, DDoS-Angriffe zu stoppen, indem man den Traffic zurück zu seiner Quelle drängt. Bellovin und sein Team erbeiten derzeit daran, einen Weg zu finden Router so neu zu adaptieren, dass sie die Angriffe indentifizieren und stoppen können.
Die Forscher haben bereits einen Software-Prototyp mit dem Namen "Pushback" entwickelt, der auf einen Router geladen werden kann. Pushback könnte ungewöhnlich hohe Zugriffszahlen erkennen und blockieren.
Router, die mit dieser Software ausgestattet würden, könnten weiters mit anderen Routern kommunizieren und so den Datenfluß immer näher an seinem Ursprung stoppen.
PushbackAnfragen stoppen bevor Ziel erreicht wird
Wissenschaftler der University of California haben einen anderen Weg eingeschlagen. Sie wollen den DDoS-Traffic stoppen, bevor er sein Ziel überhaupt erreicht.
Die Software namens "D-Ward" könnte an einem Netzwerk-Gateway installiert werden und den ausgehenden Internetverkehr auf verdächtige Aktivitäten überwachen.
Somit sollen potenzielle DDoS-Daten einfacher abgefangen werden können.
D-WardDoch die Wissenschaftler sind sich einig, dass die größte Schwierigkeit im Umsetzen dieser Ideen dabei liegt, die Router-Hersteller davon zu überzeugen die Systeme zu implementieren.
Vor allem mögliche notwendige Modifikationen an der Hardware, würde die Hersteller abhalten.