Attacken auf Websites

Schutz vor DoS

Auch die Zurückverfolgung des Angriff-Ursprungs durch das Opfer wird von den Hackern so weit wie möglich erschwert. Zum einen macht der mehrstufige Aufbau aus Master und Agents die Rückverfolgung schwer. Zusätzlich setzen viele Angreifer auf IP-Spoofing: Hierbei werden die IP-Adressen in den Datenpaketen des Absenders verfälscht, um eine Rückverfolgung unmöglich zu machen. Auf diese Weise ist es unter Umständen für das Opfer nicht einmal möglich, direkt die Standorte der attackierenden Agents auszumachen.

Die Attacke selbst ist durch vorgeschaltete Filter abzuwehren. Der Haken hier: Bevor ein wirkungsvoller Filter installiert werden kann, muss zunächst die Art des Angriffs analysiert werden. Bis eine wirkungsvolle Barriere, die den normalen Betrieb nicht beeinträchtigt, gefunden ist, vergehen auch im besten Fall mehrere Stunden. In dieser Zeit ist die betroffene Website nicht oder nur eingeschränkt erreichbar.

Die wirkungsvollste Abwehr besteht deshalb darin, die Verbreitung der DDoS-Agents zu verhindern. Jeder Systemverwalter sollte seine Systeme auf Spuren solcher Programme absuchen. Betroffen sind hauptsächlich Unix-Systeme wie Solaris und Linux, einige der Agents sind auch unter Windows lauffähig.

Eine Hilfe können auch Securityscanner wie zum Beispiel RealSecure von ISS sein. Diese decken Aktivitäten bekannter DDoS-Agents wie zum Beispiel TFN2K und trin00 im Netzwerk auf.

Wirklich helfen kann aber nur ein aufmerksamer Systemverwalter, der alle bekannten Sicherheitslücken seiner Systeme schließt und so den Hackern keine Chance gibt, die entsprechenden Programme in seine Rechner einzuschleusen. Solange es aber genügend unzureichend gesicherte Systeme gibt, wird es weiterhin massiv-parallele DoS-Attacken wie auf Yahoo! und eBay geben. (mhe)