"Distributed Denial of Service"-Angriffe

In seinem Informationsbulletin vom Juni dieses Jahres beschreibt das DFN-CERT, das Computer-Notfall-Team (Computer Emergency Response Team) für das Deutsche Forschungsnetz (DFN) und seine Dienste, wie eine Distributed-Denial-of-Service-Attacke (DDoS) abläuft und was man dagegen unternehmen kann.

Das Prinzip einer solchen Attacke ist einfach: Möglichst viele, in der Regel "unschuldige", Fremdrechner werden als Ausgangsbasis für den Angriff auf bestimmte Netze oder Server genutzt. Nach Angaben des DFN-CERT besteht ein DDoS-Netz aus Angreifer, Opfer sowie "Agents" und "Handlers". Den direkten Angriff führen die Agenten durch, die der Hacker mit Hilfe von Handlers steuert.

Auf diese Weise kann er seine Spuren verwischen und das DDoS-Netz ist nach Angabe der Experten des CERT robuster, weil die Handlers nicht alle Agenten kennen und somit das Netz Teilausfälle verkraften kann. Agents und Handlers werden mit Hilfe spezieller Tools auf Systemen installiert, die der Hacker zuvor "geknackt" hat, vorzugsweise Maschinen unter Linux und Solaris.

Im oben genannten Aufsatz des DFN-CERT finden sich detaillierte Informationen darüber, wie Tools für DDoS-Pakete aufgebaut sind und wie sich Attacken erkennen und abwehren lassen. Etwas weniger "technisch" sind die Empfehlungen im "Maßnahmenkatalog gegen verteilte Denial-of-Service-Angriffe" des Bundesamtes für Sicherheit in der Informationstechnik gehalten. Das BSI gibt in ihnen Ratschläge für Inhalte-Anbieter (Content Provider), Betreiber der Netzinfrastruktur, Serverbetreiber und Endanwender.