computerwoche.de

Security

Ratgeber Security

Wie Sie Denial-of-Service-Angriffe überleben

26.12.2011
Von 
Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Alle Posts des Autors Email: Connect:

Abwehrmaßnamen mit Bordmitteln

De facto lassen sich zahlreiche Angriffe, vor allem SYN Floods, mit der richtigen Konfiguration in der Firewall blockieren oder die Auswirkungen minimieren. Cisco gibt in diesem Support-Eintrag grundlegende Abwehrmaßnamen vor, die sich auch in den Geräten von anderen Herstellern implementieren lassen:

  • SYNC-ACK Warteschlange vergrößern: So können mehrere Verbindungen verarbeitet werden, bevor das System neue Anfragen abweist - allerdings nur, wenn die Hardware dies auch verträgt.

  • Time-Out verkürzen: Verringert man die Zeit, die das System für eine neue Verbindung maximal zu warten bereit ist, verhindert man dadurch zwar keine Attacken, allerdings kann man die Auswirkungen begrenzen.

  • Spezielle Patche und Updates einspielen: Nahezu alle Anbieter von Netzwerkhardware haben eigene Abwehrfunktionen für solche Attacken entwickelt. Es lohnt sich, den Hersteller der eigenen Infrastruktur zu kontaktieren, um zu sehen, ob entsprechende Lösungen verfügbar sind.

Speziell wenn es um die LOIC-Attacken geht, die etwa bei den Angriffen auf PayPal, Visa oder Mastercard im letzten Jahr genutzt wurden, kann man noch zusätzlich aktiv werden. Ein angeblich selbst Betroffener hat diesen Eintrag des SANS kommentiert: Die Angriffe seien demnach nicht besonders bandbreitenintensiv. Man könne sie relativ gut in den Griff kriegen, wenn man die Anzahl der gleichzeitig möglichen Verbindungen pro IP reglementiert. Zudem sollte man versuchen, die Angriffe zu unterwandern, indem man sich etwa selbst mit den Chaträumen der jeweiligen "Aktionsgruppen" verbindet. Es sei selten, so der Kommentator, dass Angriffe so offen vorab bekannt gegeben werden.

Gegen DoS: Netzwerkkomponenten enthalten meist verschiedene Gegenmaßnahmen, etwa gegen bekannte Tools.
Gegen DoS: Netzwerkkomponenten enthalten meist verschiedene Gegenmaßnahmen, etwa gegen bekannte Tools.

Eine weitere, wenn auch besonders drastische Maßnahme, ist das Blackholing. Dabei wird der komplette eingehende Traffic so weitergeleitet, dass er einfach verschwindet, ohne dass der jeweilige Partner eine Rückmeldung erhält. Die Weiterleitung könnte etwa auf ein IP erfolgen, die nicht vergeben ist oder deren Server ausgeschalten ist. Der Vorteil ist, dass man sich und seinen Systemen dadurch zusätzliche Zeit verschafft, um etwa Gegenmaßnahmen einzuleiten. Der Nachteil ist, dass alle Anfragen ins Leere laufen, auch legitime Zugriffe.