Denial-of-Service-Attacken (DoS) haben nur ein Ziel: Das Opfer lahm zu legen. Solche Angriffe sind grundsätzlich nichts Neues - die Angriffe der letzten Tage auf Websites wie zum Beispiel Amazon.com, Yahoo!, eBay, ZDNet.com und buy.com weisen jedoch eine neue Qualität auf. Noch nie in der Geschichte des Internets sind nacheinander mehrere Server so massiv, gezielt und erfolgreich attackiert worden. buy.com berichtete beispielsweise von bis zu 800 MBit/s durch die Attacke erzeugtem Datenverkehr - das ist die vierfache Menge des normalen Aufkommens.
Über die Hintergrunde der Attacken kann derzeit nur spekuliert werden. Alle betroffenen Websites sind kommerziell ausgerichtet; Non-Profit-Organisationen oder Regierungseinrichtungen sind bislang nicht betroffen. Die Gerüchte über die Motive der Täter überschlagen sich: Angefangen vom gelangweilten Teenager-Hacker bis zu Tests für gezielte Erpressung von Websites ist alles dabei. Sogar eine gelenkte Beeinflussung des Börsenkurses einzelner Firmen durch die Attacken wird nicht ausgeschlossen. Wenn tatsächlilch ein wirtschaftliches Interesse hinter den Angriffen steht, ist dies eine der wahrscheinlichsten Theorien. Bei Denial-of-Service-Attacken erfolgt schließlich kein Einbruch in das System selbst: Es werden keine Daten entwendet, sondern der Server wird bewusst mit falschen oder unvollständigen Anfragen überflutet. Die Folge ist meist, dass der attackierte Server wegen Überlastung praktisch keine Anfragen normaler Benutzer beantworten kann. Bei einem Webserver bedeutet dies zum Beispiel, dass die Website sich gar nicht oder nur sehr langsam abrufen lässt.
Der Begriff Denial of Service steht dabei für eine ganze Reihe technisch unterschiedlicher Angriffe.
Verteilte Angriffe
Die Frage ist: Wie schaffen es Hacker, von vielen Stellen im Internet gleichzeitig das Opfer mit Anfragen zu überfluten? Die Antwort ist einfach: Die Hacker beziehen Tausende an das Internet angeschlossene Rechner von meist unwissenden Anwendern mit in die Attacke ein. Man bezeichnet die Angriffe daher als Distributed Denial of Service Attack.
Der Aufbau eines solchen Szenarios erinnert dabei stark an verteilte Programme wie zum Beispiel das SETI@home-Projekt. Hierbei wird auf jedem teilnehmendem Rechner ein Programm (Agent) installiert, das einen Teil zur Problemlösung beiträgt. Dem SETI@home-Projekt ist es auf diese Weise möglich, die brach liegende Rechenleistung Tausender PCs zur Suche nach außerirdischer Intelligenz zu nutzen.
Die Absichten eines DDoS-Agents sind dagegen weniger edel: Die verteilten Programme dienen nur dem Zweck, einen vordefinierte Server mit möglichst vielen Datenpaketen zu überfluten.
Während die Agents des SETI@home-Projekts von den Anwendern freiwillig auf dem Rechner installiert werden, ist bei den DDoS-Agents die Kreativität der Hacker gefragt: Schließlich wird niemand freiwillig eine solche Software auf seinem Server installieren. Die Hacker bedienen sich daher hauptsächlich zwei Methoden, um die Agents zu verteilen: Zum einen kann der Agent über ein unverdächtiges, trojanisches Pferd in Umlauf gebracht werden. Zum anderen werden bekannte Sicherheitslücken ausgenutzt: Über Suchprogramme, die automatisch Tausende an das Internet angeschlossene Rechner auf die entsprechenden Sicherheitslücken überprüfen, werden die potenziellen Wirtsrechner gefunden. Über das Sicherheitsloch ist es dem Hacker dann möglich, den Agent auf dem gefundenen Rechner zu installieren.
Sind erst einmal genügend Agents in Warteposition, kommt die Stunde des Angriffs: Über wenige Master-Rechner bekommen die Agents nun ihr Angriffs-Ziel und die Art der Attacke mitgeteilt. Der Hacker muss dazu im Prinzip nur einen Befehl geben und kann sich dann zurücklehnen: Die Arbeit übernehmen die vorher verteilten Agents - ohne das Wissen der beteiligten Computerbesitzer.
Standardsoftware für DoS
Die Software für einen Denial-of-Service-Angriff wird dabei keineswegs für jede Aktion neu erstellt. Analog zu Windows-Hintertüren wie zum Beispiel BackOrifice existieren bereits mehrere Komplettpakete bestehend aus Agents und Masterservern für den Aufbau einer DDoS-Infrastruktur.
Insgesamt sind vier solche Programme bekannt: trin00, TFN, TFN2K und Stacheldraht. Während trin00 relativ offen agiert und relativ leicht zu finden ist, nutzt das Tribe Flood Network (TFN, TFN2K) IP-Spoofing, um den Absender der Attacken zu verschleiern. Das Tribe Flood Network ist dabei sowohl auf Solaris und Linux wie auch auf Windows lauffähig.
Stacheldraht läuft dagegen nur auf Solaris und Linux, hat aber eine weitere Finesse eingebaut: Über einen Befehl kann der Master auf allen bereits infizierten Rechnern eine neue Version des Clients installieren. Neuen Funktionen und Tarnmöglichkeiten sind so praktisch keine Grenzen mehr gesetzt.
Schutz vor DoS
Auch die Zurückverfolgung des Angriff-Ursprungs durch das Opfer wird von den Hackern so weit wie möglich erschwert. Zum einen macht der mehrstufige Aufbau aus Master und Agents die Rückverfolgung schwer. Zusätzlich setzen viele Angreifer auf IP-Spoofing: Hierbei werden die IP-Adressen in den Datenpaketen des Absenders verfälscht, um eine Rückverfolgung unmöglich zu machen. Auf diese Weise ist es unter Umständen für das Opfer nicht einmal möglich, direkt die Standorte der attackierenden Agents auszumachen.
Die Attacke selbst ist durch vorgeschaltete Filter abzuwehren. Der Haken hier: Bevor ein wirkungsvoller Filter installiert werden kann, muss zunächst die Art des Angriffs analysiert werden. Bis eine wirkungsvolle Barriere, die den normalen Betrieb nicht beeinträchtigt, gefunden ist, vergehen auch im besten Fall mehrere Stunden. In dieser Zeit ist die betroffene Website nicht oder nur eingeschränkt erreichbar.
Die wirkungsvollste Abwehr besteht deshalb darin, die Verbreitung der DDoS-Agents zu verhindern. Jeder Systemverwalter sollte seine Systeme auf Spuren solcher Programme absuchen. Betroffen sind hauptsächlich Unix-Systeme wie Solaris und Linux, einige der Agents sind auch unter Windows lauffähig.
Eine Hilfe können auch Securityscanner wie zum Beispiel RealSecure von ISS sein. Diese decken Aktivitäten bekannter DDoS-Agents wie zum Beispiel TFN2K und trin00 im Netzwerk auf.
Wirklich helfen kann aber nur ein aufmerksamer Systemverwalter, der alle bekannten Sicherheitslücken seiner Systeme schließt und so den Hackern keine Chance gibt, die entsprechenden Programme in seine Rechner einzuschleusen. Solange es aber genügend unzureichend gesicherte Systeme gibt, wird es weiterhin massiv-parallele DoS-Attacken wie auf Yahoo! und eBay geben. (mhe)