Passiver Filter verhindert Attacken von Zombie-PCs eines Botnetzes

Dieser "Identity-Based Privacy-Protected Access Control Filter" (IPACF) kann nach Simulationen zufolge illegitime Datenpakete sehr schnell abweisen und soll Authentifizierungsserver wirksam vor DoS-Angriffen schützen können, wie die Wissenschaftler im International Journal of Information and Computer Security berichten.

Das PACF setzt darauf, dass ein Computer, der auf Ressourcen eines Servers zugreifen will, sowohl einen Filterwert als auch eine Pseudo-ID vorweisen muss, die jeweils nur einmalig gültig sind. Angreifer könnten diese Werte nicht korrekt fälschen, was ein Filtern von Angriffs-Datenpaketen erlaubt. Um den Ansatz zu testen, wurde ein Netzwerk mit 1000 Knoten und einer Bandbreite von zehn GBit/s simuliert. Dabei sei trotz Flutung mit DoS-Paketen der Server-Prozessor kaum zusätzlich beansprucht worden und die Latenzzeit nur unwesentlich gestiegen.

IPACF könne illegitime Pakete innerhalb von nur sechs Nanosekunden abweisen. Ob der Ansatz wirklich praxistauglich ist, hängt freilich nicht nur von der Server-Performance ab. "Man kann das Protokoll also nicht einfach graduell umsetzen, sondern braucht wirklich auf jedem Client diese Lösung", meint Thorsten Holz, Botnetz-Experte und Projektassisstent am Institut für Rechnergestützte Automation der TU Wien, gegenüber pressetext. Daher wäre eine praktische Umsetzung vermutlich schwierig, auch aufgrund der diversen am Internet angeschlossenen Maschinen.