Scheinbar machtlos standen namhafte Internet-Unternehmen wie Yahoo, Amazon.com, Etrade, Ebay oder Buy.com den jüngsten Internet-Attacken gegenüber. Dabei durchbrachen die Kriminellen weder Firewalls, noch verseuchten sie die Systeme der Firmen mit Viren. Vielmehr gelang es ihnen, über eine Fülle von Anfragen (Requests) die Websites so zu beschäftigen, daß kein anderer User mehr Zugang zu den Internet-Seiten hatte.
Da die Attacken auf regulären Requests basieren, fällt es schwer, die Anfragen der Hacker von denen normaler Surfer zu unterscheiden. Für ihre Angriffe missbrauchten sie eine Vielzahl von Rechnern aus verschiedenen Netzwerken, die sie mit einem entsprechenden Programm ausstatteten und die daraufhin ununterbrochen Anfragen an die betreffenden Websites schickten. Gegen diese als "Distributed Denial of Service" bekannte Methode scheint bisher kein Kraut gewachsen.
Selbst Sicherheits-Tools wie beispielsweise Intrusion-Detection-Programme, die bei verdächtigen Aktionen in Computernetzen Alarm schlagen, helfen da nur wenig. "Da die Hacker so viele Anfragen gleichzeitig versendeten, sind Intrusion-Detection-Tools so effektiv wie ein Rauchmelder, der Alarm schlägt, wenn jemand einen Molotow-Cocktail wirft", bemerkt Dave Kennedy, Director of Research Services bei der International Computer Security Association, einem Anbieter von Sicherheitsdienstleistungen. Auch wenn es gelänge, den Ursprung des Datenmülls ausfindig zu machen, würde es den Administratoren nur wenig nutzen, meint ein deutscher Sicherheitsexperte, der nicht genannt werden will. "Da die Netzzugänge der in Mitleidenschaft gezogenen Sites verstopft waren, bestünde keine Möglichkeit, Gegenmaßnahmen einzuleiten." Diese Aufgabe falle den Internet-Service-Providern (ISPs) zu.
Ganz verhindern wird man nach dem heutigen Stand der Technik solche Attacken wohl nie können. "Zur Zeit lässt sich allenfalls die Gefahr verringern", meint Simon Walker, Sicherheitsspezialist bei der englischen Niederlassung des amerikanischen Firewall-Herstellers Secure Computing. Auf welche Weise, dazu erteilt Icsa-Mann Kennedy einige Ratschläge. Er empfiehlt, Sicherheits-Patches in die Betriebssystem-Software und Web-Server-Software einzuspielen, die Konfiguration der Firewall zu überprüfen sowie die Logfiles und den Netzwerkverkehr auf Anomalien zu untersuchen. Gleichzeitig sollten die Router entsprechend dem Request for Comment (RFC) 2267 mit Filtering Rules ausgestattet werden (www.ietf.org/rfc oder www.rfc-editor.org).
Router und Firewalls sind dadurch in der Lage, ob die in den Datenpaketen angegebene Rücksendeadresse einer sendenden Station gültig ist. Ungültige Adressen werden so von vornherein ausgefiltert. Manche Hacker-Tools gaukeln dem Internet-Server falsche Rücksendeinformationen (IP-Spoofing) vor und führen so zu dem nach Ansicht des Icsa schlimmsten Typ einer Denial-of-Service-Attacke, dem Syn-Flood.
Doch auch die Internet-Service-Provider müssen tätig werden, meint Kennedy. Sie sollten ebenfalls die in RFC 2267 dargelegten Filtering Rules in ihren Routern umsetzen. Ferner müssen sie seiner Meinung nach in der Lage sein, den Datenverkehr, der durch ihr Netzwerk gelangt, auf Attacken zu überprüfen - eine Kontrolle des Netz-Traffic zieht allerdings Einbußen bei der Performance der Backbones nach sich. Darüber hinaus sollten sie ihre Kunden wissen lassen, wie sie Sicherheitsteams ihrer ISPs telefonisch erreichen können, da E-Mail-Systeme während der Attacken möglicherweise ihren Dienst ebenfalls verweigern.
Über die Bedeutung des RFC 2267 als Mittel gegen die Attacken äußert sich Jörg Heitkötter, Mitglied des weltweiten Research- and-Engineering-Teams beim Internet-Service-Provider Uunet, weniger überzeugt. "Die beschriebenen Verfahren umzusetzen würde zwar helfen, die Hosts ausfindig zu machen, von denen die Angriffe ausgeführt werden, doch sie lösen das Problem nicht." Der Hersteller Cisco biete zwar eine teure Lösung für seine Router an, doch damit lassen sich Attacken nicht verhindern. Heitkötter sieht nur in der raschen Einführung des neuen Internet-Protokolls IPv6 einen Ausweg aus dem Dilemma, da es viele Schwachstellen des jetzt im Web verwendeten IPv4 abstellt. IPv6-Datenpakete enthalten einen Authentification Header, der über den Ursprung eines Datenpakets Auskunft gibt, und machen so das IP-Spoofing wesentlich schwieriger.
Das Protokoll gibt es schon lange, doch es kann noch eine Weile dauern, bis alle Systeme im Netz entsprechend umgerüstet sind. Wie es scheint, müssen sich in der Zwischenzeit sowohl Provider als auch Website-Betreiber mit Notlösungen behelfen.
Zur Risikosenkung kann aber jeder beitragen, meint Icsa-Mann Kennedy. Er appelliert an alle, die Rechner mit Internet-Anschluss betreiben, gute "Datenhygiene" zu praktizieren. Denn schließlich bedienten sich die Hacker einer Vielzahl von ungeschützten Computern, die sie mit einem Hacker-Tool ausstatteten und sie so zum Erfüllungsgehilfen für ihre Attacken machten. In einem gut administrierten System lässt sich ein solches Programm leicht entdecken, meint der Sicherheitsexperte. Für das Beseitigen von Störprogrammen gibt es bereits seit Jahren Werkzeuge.
Distributed Denial of ServiceDenial of Service (DoS): Diensteversagung, wenn ein Server durch übermäßig viele echte oder falsche Anfragen beziehungsweise große Datenmengen überlastet wird, so dass er seine eigentlichen Aufgaben nicht mehr ordnungsgemäß erfüllen kann, gegebenenfalls sogar abstürzt.
Distributed Denial of Service (DDoS): Hierbei wird zunächst eine Software über das Internet oder ein anderes Computernetz verteilt, die es ermöglicht, einen DoS-Angriff auf ein bestimmtes Ziel gleichzeitig von verschiedenen Orten aus zu starten.
Flooding: Das Fluten eines Rechners oder Netzwerks mit Daten mit dem Ziel, DoS zu erreichen. Kann mittels E-Mail erfolgen, aber auch über SYN-Flooding, wobei auf TCP-Ebene einem Server mit einem SYN-Paket signalisiert wird, der Sender wolle eine Verbindung aufbauen, was dann jedoch nicht geschieht. Resultat: Ressourcenauslastung des Zielrechners.
Trinoo: Dreiteiliges DDoS-Programm, das einen ferngesteuerten Angriff auf ein System ermöglicht. Der Angreifer kommuniziert über sechs Befehle mit Softwareagenten, die dann ein Zielsystem attackieren.
Tribe Flood Network (TFN): Ein der Software Trinoo vergleichbares DDoS-Programm, das einer Bekenner-E-Mail zufolge der deutsche Programmierer "Mixter" geschrieben haben soll.
TFN2K: Vom Chaos Computer Club (CCC) ebenfalls Mixter zugeschriebenes DDoS-Programm.
Stacheldraht: Ebenfalls aus drei Teilen (Client, Master und Agent) bestehendes DDoS-Programm. Es kann für eine bestimmte Zeit Flood-Attacken mittels SYN und User Datagram Protocol (UDP) starten, die sich auch auf bestimmte Ports eines Rechners richten lassen.