So überleben Sie Denial-of-Service-Angriffe

Operation Payback, so nannten die Aktivisten ihre Angriffe auf Banken und Kreditkartenanstalten. Mithilfe einer Armee von Freiwilligen sollten die Server bis zum Zusammenbruch belastet werden, was teilweise auch gelang. Solche Denial-of-Service-Attacken, kurz DoS, sind nicht erst seit Wikileaks auf dem Vormarsch. Im Gegenteil, in einer Studie des Anbieters Arbor Networks zeigt sich, dass vor allem gezielte Attacken bereits 2010 um mehr als 100 Prozent angestiegen sind.

Im Grunde bedeutet Denial of Service zwar lediglich, dass der Zugriff auf eine Ressource oder einen Dienst nicht mehr möglich ist. Ob der Grund eine Attacke aus dem Web ist, ein besonders gut verlinkter Artikel oder ein Hardwarefehler, der das Netzwerk lahmlegt, ist dabei durchaus relevant - denn um den Zwischenfall zu überstehen, benötigt man in jedem Fall eine andere Strategie.

DDoS: Werkzeug von Erpressen, Kriminellen und selbst ernannten Rächern

Die bekannteste Art des Angriffs von Externen ist zweifelsohne eine Distributed-Denial-of-Service-Attacke, kurz DDoS. Angreifer nutzen dabei einen Verbund an Rechnern, um einen Dienst, meist eine Website, so lange mit Anfragen zu überhäufen, bis die Server unter der Last zusammenbrechen. Als Quellen dienen dafür häufig Botnets, also mit Viren infizierte Rechnerverbunde, die von einer zentralen Stelle Anweisungen erhalten. Der Protest rund um Wikileaks hat allerdings gezeigt, dass Protestierende auch freiwillig ihre Rechnerkapazitäten zur Verfügung stellen, wenn es um eine ihrer Meinung nach gerechte Sache geht.

Das Problem dabei: Denial-of-Service-Schwachstellen sind in den meisten Systemen und Programmen enthalten und, einmal entdeckt, relativ einfach auszunutzen. Allein der englische Wikipedia-Eintrag zählt 13 verschiedene Formen der Attacken. Die Firma Armoraid hat fünf grundsätzliche Definitionen erstellt, an denen man eine aktive DoS-Attacke erkennt:

• Unnötiger Verbrauch eines Großteils der Rechenressourcen, etwa CPU-Leistung, Bandbreite oder Speicherplatz

• Störung von Konfigurationsinformationen, etwa indem die Routing-Informationen verfälscht werden

• Störung der Statusinformationen, etwa indem TCP-Sessions zurückgesetzt werden,

• Störung von physikalischen Komponenten, etwa wenn ein Server oder eine Netzwerkkomponente zum Absturz gebracht wird

• Sabotage der Kommunikation zwischen Endstelle und Nutzer, sodass beispielsweise die Verbindung zurückgesetzt wird.

Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt.

Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version.

Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden.

Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet.

Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem.

Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an.

Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren.

Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool

Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an.

Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.

Es bringt übrigens kaum etwas, die jeweiligen Ursprungs-IP-Adressen direkt anzugehen. Neben rechtlichen Problemen sind diese meist gefälscht. Wer also meint, proaktiv gegen Angreifer vorgehen zu können, attackiert im schlimmsten Fall selbst andere Systeme. Die Verwendung gefälschter IP-Adressen führt oftmals zu einem sogenannten Backscatter-Effekt. Dabei schickt der Server die Pakete an die angegebene IP; da diese aber nicht der Ursprung der Anfrage ist, kann das Gegenüber nichts mit den Paketen anfangen. Spezielle Systeme können diese Pakete erkennen und so indirekt Hinweise zu einer aktiven DDoS-Attacke sammeln. Wie Backscatter funktioniert, erklärt beispielsweise die CAIDA auf dieser Seite in einer Animation.

Populäre Attacken: SYN Floods und Smurf-Angriffe

SYN Floods nutzen die Arbeitsweise des TCP-Protokolls, um Ressourcen eines Servers zu belegen. Normalerweise startet der Aufbau einer TCP-Verbindung mit einer sogenannten SYN-Anfrage, einem Hinweis darauf, dass sich beispielsweise ein Client mit dem Server synchronisieren will, um Daten auszutauschen. Ist der Server aktiv und bereit, eine Verbindung aufzubauen, antwortet er dem Client mit SYN-ACK. Der Client wiederum schickt als dritte und finale Nachricht ebenfalls ein ACK an den Server, mit dem er die Verbindung bestätigt. Dieses Verfahren nennt sich Dreiwege-Handshake.

Bei einer SYN-Flood stoppen die Angreifer nach dem zweiten Schritt, der Server wartet also vergeblich auf die letzte Bestätigung des Clients, hat allerdings im Normalfall bereits Ressourcen für diese Verbindung blockiert. Normalerweise ist das kein Problem, da ein automatisches Ablaufdatum diese nach einer kurzen Zeit wieder freigibt. Wird der Server allerdings mit entsprechend manipulierten Anfragen überflutet, so kann es dazu kommen, dass alle Ressourcen belegt sind - es lassen sich folglich keinen neuen Verbindungen initiieren.

Eine Smurf Attack dagegen richtet sich nicht gegen einen einzelnen Server oder Dienst, sondern gegen die Komponenten eines Netzwerks. Die Attacke nutzt das Internet Control Message Protocol, um ein Netzwerk mit sinnlosen Anfragen zu überfluten. Dazu werden beispielsweise von einer gefälschten IP-Adresse aus Broadcast-Nachrichten an alle Komponenten im Netzwerk verschickt. Auch hier ist das Ziel, die Ressourcen der jeweiligen Komponenten aufzubrauchen, sodass legitime Anfragen nicht mehr bearbeitet werden können.

Man muss allerdings dazusagen, dass beide Arten der Angriffe bereits älter sind und hauptsächlich von weniger versierten Angreifern genutzt werden. Moderne Systeme können beide Attacken nahezu mit Bordmitteln abwehren, mehr dazu auf der nächsten Seite.

Erste Hilfe und Gegenmaßnahmen

Was kann man also tun, wenn man Opfer eines solchen Angriffs ist? Zunächst muss man wissen, was vor sich geht. Lösungen wie etwa Intrusion-Detection-/Intrusion-Prevention-Systeme können bereits dann Alarm schlagen, wenn sich eine Attacke ankündigt - so ist man vorgewarnt und kann unter Umständen noch Gegenmaßnahmen einleiten.

Die einfachste Art der Gegenwehr ist, die verfügbaren Ressourcen so lange zu erhöhen, bis die Angriffe ins Leere laufen. Das klingt in der Theorie zwar gut, in der Praxis kann dies aber schnell zu unüberschaubaren Kosten führen - selbst wenn man skalierbare Cloud-Angebote nutzt.

Zunächst sollte man sich einen Überblick verschaffen, woher die Angriffe kommen und welches System, etwa welche IP, das Ziel der Attacken ist. Sind es nur wenige IPs, kann man sie in seinen Firewall-Systemen blockieren. Ebenso, wenn das Ziel nur einzelne oder wenige Systeme sind - diese kann man mit einer alternativen IP versehen und die Änderungen per DNS neu verteilen.

Das verschafft normalerweise zumindest ein wenig Luft für Reaktionen. In jedem Fall sollte man spätestens jetzt seinen Internet-Provider einschalten. Der kann unter Umständen die Angriffe bereits in seinem Netzwerk blocken.

Abwehrmaßnamen mit Bordmitteln

De facto lassen sich zahlreiche Angriffe, vor allem SYN Floods, mit der richtigen Konfiguration in der Firewall blockieren oder die Auswirkungen minimieren. Cisco gibt in diesem Support-Eintrag grundlegende Abwehrmaßnamen vor, die sich auch in den Geräten von anderen Herstellern implementieren lassen:

• SYNC-ACK-Warteschlange vergrößern: So können mehrere Verbindungen verarbeitet werden, bevor das System neue Anfragen abweist - allerdings nur, wenn die Hardware das auch verträgt.

• Time-Out verkürzen: Verringert man die Zeit, die das System für eine neue Verbindung maximal zu warten bereit ist, verhindert man dadurch zwar keine Attacken, allerdings kann man die Auswirkungen begrenzen.

• Spezielle Patche und Updates einspielen: Nahezu alle Anbieter von Netzwerkhardware haben eigene Abwehrfunktionen für solche Attacken entwickelt. Es lohnt sich, den Hersteller der eigenen Infrastruktur zu kontaktieren, um zu sehen, ob entsprechende Lösungen verfügbar sind.

Speziell wenn es um die LOIC-Attacken geht, die etwa bei den Angriffen auf PayPal, Visa oder Mastercard 2010 genutzt wurden, kann man noch zusätzlich aktiv werden. Ein angeblich selbst Betroffener hat diesen Eintrag des SANS kommentiert: Die Angriffe seien demnach nicht besonders bandbreitenintensiv. Man könne sie relativ gut in den Griff kriegen, wenn man die Anzahl der gleichzeitig möglichen Verbindungen pro IP reglementiert. Zudem sollte man versuchen, die Angriffe zu unterwandern, indem man sich etwa selbst mit den Chat-Räumen der jeweiligen "Aktionsgruppen" verbindet. Es sei selten, so der Kommentator, dass Angriffe so offen vorab bekannt gegeben werden.

Eine weitere, wenn auch besonders drastische Maßnahme ist das Blackholing. Dabei wird der komplette eingehende Traffic so weitergeleitet, dass er einfach verschwindet, ohne dass der jeweilige Partner eine Rückmeldung erhält. Die Weiterleitung könnte etwa auf eine IP-Adresse erfolgen, die nicht vergeben ist oder deren Server ausgeschalten ist. Der Vorteil ist, dass man sich und seinen Systemen dadurch zusätzliche Zeit verschafft, um etwa Gegenmaßnahmen einzuleiten. Der Nachteil ist, dass alle Anfragen ins Leere laufen, also auch legitime Zugriffe.

Hardwarebasierte Lösungen gegen DoS-Angriffe

Natürlich hat sich auch um dieses Segment eine umfangreiche Herstellerlandschaft gebildet, die mit eigenen Lösungen aufwartet. Normalerweise sind alle aktuellen IPS-Systeme und Firewalls mit entsprechenden Signaturen versehen, die gängige Attacken erkennen, entsprechende Warnungen an die Verantwortlichen schicken und gegebenenfalls vorprogrammierte Gegenmaßnahmen einleiten können.

Zahlreiche Internet-Provider bieten außerdem spezielle Blackholing- oder Sinkholing-Dienste an. Wie bereits erwähnt, wird der komplette Traffic dabei umgeleitet und verworfen. Der Provider kann dies normalerweise besser regeln, da er einen detaillierten Überblick über sein Netzwerk hat.

Eine weitere Möglichkeit sind sogenannte Clean Pipes. Dabei wird der komplette Traffic durch das Data Center eines weiteren Providers geleitet. Dieser untersucht die Verbindungen auf Attacken oder anderen auffälligen Traffic. Sobald das System verdächtige Aktivitäten erkennt, säubert es die jeweiligen Anfragen aus dem Datenstrom heraus und leitet so nur die legitimen Verbindungen zum eigentlichen Server weiter. Einen solchen Dienst bietet unter anderem Verisign an.

Innovative Gegenmaßnahmen: SpeakUp und DOS Deflate

Neben den Hardwareherstellern haben sich auch zahlreiche Softwareentwickler zu dem Thema Gedanken gemacht. DOS Deflate beispielsweise ist ein kostenloses Script für die Linux-Shell, das von der Firma Media Layer entwickelt wurde. Das Script kann herausfinden, welche IPs mit dem jeweiligen Server verbunden sind und wie viele Verbindungen pro IP eingerichtet sind. Übersteigt die Anzahl der Verbindungen pro IP einen zuvor eingestellten Grenzwert, wird die Firewall aktiv und blockiert die jeweilige IP-Adresse. Weitere Informationen zu Download und Konfiguration finden sich auf dieser Seite.

Einen komplett anderen Ansatz fährt Speak Up, das Projekt ist allerdings derzeit noch Theorie: Speak Up versucht, unter den zahlreichen Anfragen die bösartigen Attacken herauszufiltern. Dabei geht das System davon aus, dass legitime Clients normalerweise mehr Bandbreite zur Verfügung haben als die Rechner der Angreifer. Das System fragt also bei den verbundenen Clients an, ob diese einige größere Pakete zum Server schicken können. Ein legitimer Client, so die Forscher in ihrer Arbeit, kann diese Anfrage normalerweise erfüllen und wird bevorzugt behandelt. Die Systeme der Angreifer sind dagegen meist am Limit ihrer Kapazitäten und können die geforderten Daten nicht bringen. Die "guten" Clients werden demnach bevorzugt, die Angreifer hintangestellt. Speak Up hat einige Vorteile, beinhaltet allerdings auch zahlreiche Fallstricke - etwa wenn die Nutzer langsame Verbindungen nutzen oder vom Smartphone aus surfen. Das komplette Forschungspapier ist hier verfügbar.

Ungewolltes Denial of Service: Wenn die Seite zu populär wird

Neben gezielten Angriffen kann es auch passieren, dass eine Seite einfach zu populär wird, um mit dem Ansturm der Nutzer klarzukommen. Ein imposantes Beispiel war beispielsweise der Tod des Sängers Michael Jackson: Innerhalb kürzester Zeit wurde Google mit vollkommen legitimen Anfragen überflutet, die das System nahezu komplett auslasteten - der Kurznachrichtendienst Twitter kollabierte unter der Last sogar.

Dieses Phänomen ist ebenfalls nicht neu, unter anderem ist es als "Slashdot"-Effekt bekannt. Der Name stammt von der Website Slashdot, einem der ersten populären News-Aggregatoren im Web. Wurde eine Seite auf Slashdot erwähnt, folgte ein massiver Anstieg der Besucherzahlen. Vor allem kleinere Webseiten waren diesem nicht gewachsen und gaben auf.

Die Gegenmaßnahmen hier unterscheiden sich deutlich von denen einer Attacke, schließlich sind alle Anfragen legitim. Die einfachste Gegenmaßnahme ist es, eine statische und möglichst einfache Landing-Page einzurichten, die den interessanten Inhalt enthält. Vor allem bei Downloads oder rechenintensiven Angeboten, etwa Videos, sollte man sich zudem überlegen, ob man sie - zumindest für einen kurzen Zeitraum - auf die Server eines Anbieters auslagert, der mit entsprechend hohen Anfragen klar kommt. Cloud-basierte Lösungen mit flexiblen Ressourcen bieten sich hier an. Zudem kann man die Nutzer über andere Dienste informieren, etwa Twitter oder Facebook, um auf den ungewöhnlich hohen Andrang hinzuweisen.

Fazit

DoS- und DDoS-Attacken werden nicht verschwinden, im Gegenteil. Sie sind billig, erfordern kaum IT-Erfahrung und sind durchaus effektive Angriffsmethoden gegen Internetangebote. Zwar kann man sich mit verschiedenen Maßnahmen gegen Angriffe schützen oder die Auswirkungen minimieren, eine "Silver Bulett" gibt es allerdings nicht.

Es hilft auch wenig, sich auf die Hoffnung zu verlassen, dass es einen selbst nicht erwischen wird. Besonders die Attacken der Wikileaks-Unterstützer haben gezeigt, wie schnell eine Firma ins Visier von Angreifern geraten kann. Auch Kriminellen wird es immer einfacher gemacht: Botnetze lassen sich tage- oder stundenweise mieten, um etwa einen Konkurrenten lahmzulegen.

IT-Verantwortliche und Administratoren sollten sich in jedem Fall auf den Notfall vorbereiten. Wer vorab entsprechende Pläne und Gegenmaßnahmen entwickelt - und diese auch regelmäßig überprüft -, kann im Falle eines Angriffs schnell und gezielt reagieren. Zudem gibt es Firmen, die spezielle Denial-of-Service-Tests durchführen, um das System etwa auf Angriffspunkte zu prüfen.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche . (cvi)