Strategien gegen Denial-of-Service-Angriffe

So genannte Distributed-Denial-of-Service-Angriffe, kurz: DDoS-Angriffe, sind längst keine Spielerei mehr, sondern haben oft kriminelle Züge angenommen. Anfang Februar dieses Jahres war bekanntlich auch heise online davon betroffen, in den Monaten davor wurden mehr und mehr solcher Attacken bekannt. Die Angriffe lassen sich in drei Gruppen unterteilen:

• Flooding-Angriffe, bei denen die Bandbreite überlastet wird,
• Schwächen in der Architektur eines Protokolls und
• fehlerhafte Programmcodes.

Während ein vollständiger Schutz lediglich gegen das Ausnutzen fehlerhaften Programmcodes möglich ist, sieht es bei den anderen Angriffsursachen weitaus schwieriger aus. Denn bereits die Unterscheidung, ob es sich um einen DoS-Angriff oder eine durch Benutzer verursachte Lastspitze handelt, ist für die Administratoren alles andere als simpel.

Zwar können auch Endanwender, deren Rechner oft für DDoS-Angriffe gekapert werden, durch mehr Augenmerk auf die Systemsicherheit dazu beitragen, dass sie nicht Teil solch eines Angriffs werden. Doch gefragt sind vor allem die Provider. Denn in der Regel versuchen die Angreifer, durch Fälschen der Absender-IP-Adresse den Ursprung der Angriffe zu vertuschen. Dieses als IP-Spoofing bekannte Verfahren ist eines der Hauptprobleme bei der Bekämpfung von DoS-Angriffen. "Wenn Provider unterbinden, dass ihre Kunden Datenpakete mit gefälschten Absenderadressen verschicken, wäre schon viel gewonnen", schreibt iX dazu.

Technische Details zu DDoS-Angriffen und möglichen Strategien dagegen bringt iX in der aktuellen Printausgabe, eine Leseprobe ist online verfügbar. (js)