Ratgeber Security

So überleben Sie Denial-of-Service-Angriffe

Abwehrmaßnamen mit Bordmitteln

De facto lassen sich zahlreiche Angriffe, vor allem SYN Floods, mit der richtigen Konfiguration in der Firewall blockieren oder die Auswirkungen minimieren. Cisco gibt in diesem Support-Eintrag grundlegende Abwehrmaßnamen vor, die sich auch in den Geräten von anderen Herstellern implementieren lassen:

  • SYNC-ACK-Warteschlange vergrößern: So können mehrere Verbindungen verarbeitet werden, bevor das System neue Anfragen abweist - allerdings nur, wenn die Hardware das auch verträgt.

  • Time-Out verkürzen: Verringert man die Zeit, die das System für eine neue Verbindung maximal zu warten bereit ist, verhindert man dadurch zwar keine Attacken, allerdings kann man die Auswirkungen begrenzen.

  • Spezielle Patche und Updates einspielen: Nahezu alle Anbieter von Netzwerkhardware haben eigene Abwehrfunktionen für solche Attacken entwickelt. Es lohnt sich, den Hersteller der eigenen Infrastruktur zu kontaktieren, um zu sehen, ob entsprechende Lösungen verfügbar sind.

Speziell wenn es um die LOIC-Attacken geht, die etwa bei den Angriffen auf PayPal, Visa oder Mastercard 2010 genutzt wurden, kann man noch zusätzlich aktiv werden. Ein angeblich selbst Betroffener hat diesen Eintrag des SANS kommentiert: Die Angriffe seien demnach nicht besonders bandbreitenintensiv. Man könne sie relativ gut in den Griff kriegen, wenn man die Anzahl der gleichzeitig möglichen Verbindungen pro IP reglementiert. Zudem sollte man versuchen, die Angriffe zu unterwandern, indem man sich etwa selbst mit den Chat-Räumen der jeweiligen "Aktionsgruppen" verbindet. Es sei selten, so der Kommentator, dass Angriffe so offen vorab bekannt gegeben werden.

Gegen DoS: Netzwerkkomponenten enthalten meist verschiedene Gegenmaßnahmen, etwa gegen bekannte Tools.
Gegen DoS: Netzwerkkomponenten enthalten meist verschiedene Gegenmaßnahmen, etwa gegen bekannte Tools.

Eine weitere, wenn auch besonders drastische Maßnahme ist das Blackholing. Dabei wird der komplette eingehende Traffic so weitergeleitet, dass er einfach verschwindet, ohne dass der jeweilige Partner eine Rückmeldung erhält. Die Weiterleitung könnte etwa auf eine IP-Adresse erfolgen, die nicht vergeben ist oder deren Server ausgeschalten ist. Der Vorteil ist, dass man sich und seinen Systemen dadurch zusätzliche Zeit verschafft, um etwa Gegenmaßnahmen einzuleiten. Der Nachteil ist, dass alle Anfragen ins Leere laufen, also auch legitime Zugriffe.