computerwoche.de

Archiv

Internet-Sicherheit/Mutwillige Flutwellen

Teamarbeit zum Schutz vor Denial of Service

29.09.2000
Einen absoluten Schutz vor der Überflutung der eigenen Rechensysteme durch Denial-of-Service-(DoS-)Attacks und Distributed Denial of Service (DdoS) gibt es nicht, so Thomas Kiessling*. Doch wird das Netz um so sicherer, wenn Internet-Dienstleister an einem Strang ziehen und die Systeme ihres Zuständigkeitsbereichs so gut wie möglich schützen.

DoS zielen in der Regel darauf, einen Dienst oder ein Web-Angebot zum Absturz zu bringen oder zumindest unerreichbar für andere Anwender zu machen. Sie beanspruchen massiv Bandbreite oder überlasten Systemressourcen. Von DoS-Attacks können alle TCP/IP-basierten Dienste betroffen sein, also etwa HTTP, FTP und Mail-Server. Häufig wird das "Internet Control Message Protocol" (ICMP) für DoS verwendet. Üblicherweise dienen ICMP-Befehle dazu, Kontrollen im Netzwerk vorzunehmen, beispielsweise Server mittels "Ping" auf Erreichbarkeit zu testen.

Für einen Distributed Denial of Service (DdoS) bauen die Angreifer ein komplettes Netz von Kontroll- und Ausführungskomponenten auf ("Floodnet"), das mitunter mehrere tausend Clients enthalten kann, die alle gemeinsam ein "Opfer" mit Anfragen überfordern.

Im ersten Schritt nutzt der Täter Werkzeuge, mit denen er im Internet nach Sicherheitslücken auf fremden Servern sucht. Sobald diese Lücken gefunden sind, kann er auf ausgewählten Rechnern "Handler" anbringen, die schließlich die "Agenten" steuern, die den eigentlichen Angriff ausführen. Die Agenten werden ebenfalls auf "verwundbaren" Computern angebracht und melden sich automatisch bei den verfügbaren Handlern an. Von diesen erhalten sie die Anweisungen für den Angriff. Da alle Schritte automatisch ablaufen können, lassen sich innerhalb weniger Stunden einige tausend Rechner für einen Anschlag vorbereiten. Darüber hinaus kommen auch Verfahren wie Verteilung über Active-X-Komponenten oder der Versand von E-Mails mit trojanischen Pferden für die Installation der Agenten zum Einsatz.

Die bekanntesten DdoS-Werkzeuge sind "Stacheldraht", "Tribe Flood Network" (TFN) und die erweiterte Variante TFN2K. Die Kommunikation der Programme (Handler und Agenten) erfolgt meist verschlüsselt oder über ICMP und ist daher kaum zu entdecken, geschweige denn zu blockieren. Darüber hinaus wird durch veränderte Absenderadressen in den IP-Headern die Rückverfolgung der Datenpakete zu den Angriffsrechnern unmöglich.

Es gibt bisher zwar nur eingeschränkt Möglichkeiten, um zu verhindern, dass man Opfer einer DdoS-Attacke wird. Doch lässt sich einiges tun, um zu verhindern, dass man als Teil einer Angriffskette missbraucht wird. Wenn dadurch die Zahl möglicher Angriffssysteme veringert wird, erhöht sich wiederum der Schutz der eigenen Systeme gegen DdoS-Attacken.

Eine Möglichkeit besteht darin, den ICMP-Traffic im Backbone beispielsweise auf 2 Mbit zu begrenzen und den Traffic zu überwachen. Eine Auslastung der Bandbreite von 2 Mbit/s durch ICMP-Traffic sollte jeden Systemadministrator misstrauisch machen.

Um das bei DdoS übliche Fälschen der Absenderadressen zu verhindern, kann ein Systemadministrator Möglichkeiten der Router zum Schutz vor IP-Spoofing nutzen. Bei Routern, die den "IP verify unicast reverse-path interface command" (RPF) unterstützen, muss dazu das "CEF-Switching" aktiviert werden. Ohne diese Option lässt sich RFP nicht nutzen. Über diese Funktion wird jedes Datenpaket im Router überprüft. Stimmt die Absenderadresse des Pakets nicht mit der Routing-Angabe in der CEF-Tabelle überein, lässt der Router das Datenpaket fallen: Es wird nicht an die Zieladresse weitergeleitet. Ausführliche Hinweise halten einige Router-Hersteller auf ihren Websites bereit.

Banale Hinweise zur Sicherheit gibt es nichtServer, Betriebssystem und die Anwendungen sollten grundsätzlich so konfiguriert sein, dass nur die gewünschten Dienste darauf laufen und nur die tatsächlich verwendeten Zugriffsrechte aktiviert sind. Bei der Paketfilterung über vorgeschaltete Router und Firewalls dürfen dabei nur die Pakete zugelassener Protokolle passieren. Nicht verwendete Netzdienste sind grundsätzlich abzuschalten. Die Protokollierung aller Zugriffe und Änderungen auf dem Server hilft bei der Entdeckung unwillkommener "Gäste" oder Programme. Über Integritäts-Checker beispielsweise mit Checksum-Mechanismen lässt sich sicherstellen, dass eingesetzte Programme unverändert im Einsatz bleiben. So genannte Intrusion-Detection-Systeme helfen bei der Erkennung von Angriffen und lösen zeitnah Alarm aus, so dass manuelle Schutzmaßnahmen eingeleitet werden können.

Manche Hinweise sind nur scheinbar banal: So sollten die Systemadministratoren die Site ihrer Lieferanten regelmäßig besuchen und deren aktuelle Sicherheits-Updates möglichst bald nach Erscheinen aufspielen. Außerdem muss das eigene Netzwerk oder das des Dienstleisters fehlertolerant und redundant ausgelegt sein, und tägliche Backups sind selbstverständlich.

*Thomas Kiessling ist Chief Technology Officer bei der Ision Internet AG in Hamburg.