Neue Sicherheitsstandards: Fangschaltung für das Internet
Das Ziel anonymer "Denial of Service"-Attacken (DoS) ist die Blockade von Routern oder Servern, indem diese mit unerwünschten IP-Datenpaketen "überschwemmt" werden. In den meisten Fällen senden die Angreifen Pakete gleichzeitig von mehreren Rechnern aus zum Ziel. Um ihre Spuren zu verwischen, verwenden sie gefälschte IP-Sendeadressen. Diese Technik ist auch unter der Bezeichnung "IP-Spoofing" bekannt. Ein Problem bei der Abwehr solcher Angriffe besteht darin, die Original-Datenquelle ausfindig zu machen.
Das Thema stieß auf dem 47. Meeting der Internet Engineering Task Force (IETF) auf großes Interesse, nicht zuletzt vor dem Hintergrund der spektakulären Angriffe auf bekannte Internet-Dienste wie Yahoo und Amazon.com im Februar dieses Jahres. In Adelaide wurde eine konstituierende Sitzung -- ein "Bird of a Feather Meeting" (BOF) -- abgehalten, um eine neue Arbeitsgruppe zu etablieren. Sie soll Mittel gegen DoS-Attacken entwickeln.
Im Rahmen einer Sitzung mit der Bezeichnung "ICMP Traceback (Itrace)" wurde ein Mechanismus vorgeschlagen, mit dem sich Denial-of-Service-Angriffe zurückverfolgen lassen (Tracing). Grundlage ist die Erweiterung des "Internet Control Message Protocol" (ICMP).
Der vorgeschlagene Mechanismus beruht darauf, dass Router eine ICMP-Traceback-Nachricht zum Empfänger senden. Jede Traceback-Nachricht enthält Informationen über den unmittelbar vorhergehenden "Hop" eines Datenpakets. Ein Router trägt in die Nachricht den Namen des Interfaces ein, über den er das Paket empfangen hat. Außerdem vermerkt er dort Schicht-2-Informationen wie Sende- und -Empfangsadressen. Sammelt nun ein Endsystem oder Netzwerkmonitor eine ausreichende Zahl dieser Traceback-Pakete, können alle Router entlang eines Pfades ermittelt werden. Bei verteilten DoS-Attacken mit mehreren Datenquellen ergibt sich somit eine Baumstruktur.
Das Traceback-Verfahren lässt sich auch dazu einsetzen, um einen bestimmten Datenpfad zu analysieren oder um asymmetrische Routen aufzuspüren. Die Arbeitsgruppe soll nun eine RFC (Request for Comment, "Bitte um Kommentierung") ausarbeiten, die das Format von Itrace-Paketen definiert sowie die Rahmenbedingungen festlegt, unter denen sie erzeugt werden.
Zu klären ist unter anderem, welche Maßnahmen gegen die Manipulation von Itrace-Paketen getroffen werden sollen. Denn ein Angreifer könnte beispielsweise auf die Idee kommen, Itrace-Pakete zu fälschen, um auf diese Weise zu verhindern, dass die Spur zu ihm zurückverfolgt wird.