DDoS-Angriffe sind eine weit verbreitete Form von Attacke im Internet. Nun gibt es möglicherweise einen Lichtblick für alle betroffenen User und Admins: Den DDoS-Filter.
Seit Jahren kommen im Internet immer wieder sogenannte DDoS-Angriffe (kurz für "Distributed Denial of Service") vor. Dabei wird mit Hilfe einer großen Anzahl von Rechnern oder Servern (oft unter Benutzung von Botnets) der Server des Opfers durch eine große Anzahl von Zugriffen überlastet. Die Angriffe dienen verschiedenen Zielen - oft dem Ausschalten unerwünschter Konkurrenten. Gegenmaßnahmen sind schwierig: Viel mehr, als einen einmal als Angreifer identifizierten Server durch Tools wie iptables zu blockieren, kann man als Administrator oft kaum tun. An dieser Stelle setzen nun Forscher der Auburn University an: Zumindest für Authentifizierungsserver haben sie angeblich ein neuartiges Schutzprogramm, einen "DDoS-Filter", entwickelt.
Bei diesem Filter setzen die Wissenschaftler um John Wu, Professor für Elektro- und Computertechnik an der Auburn, auf ein neues, passives Protokoll, das an beiden Enden der Verbindung zum Einsatz kommen muss. Dieser "Identity-Based Privacy-Protected Access Control Filter" (IPACF) kann, wie Simulationen nahelegen, illegitime Datenpakete sehr schnell abweisen und soll Authentifizierungsserver wirksam vor DoS-Angriffen schützen können, wie die Wissenschaftler im International Journal of Information and Computer Security berichten.
Das PACF setzt darauf, dass ein Computer, der auf Ressourcen eines Servers zugreifen will, sowohl einen Filterwert als auch eine Pseudo-ID vorweisen muss, die jeweils nur einmalig gültig sind. Angreifer könnten diese Werte nicht korrekt fälschen, was ein Filtern von Angriffs-Datenpaketen erlaubt. In Simulationen konnte dieser Ansatz schon überzeugen: Die DDoS-Pakete wurden von der Software erfolgreich abgewiesen, die Serverleistung blieb annähernd konstant.
Bei der Umsetzung jedoch gibt es massive technische Hürden, die eine Einführung von IPACF erheblich erschweren. "Man kann das Protokoll also nicht einfach graduell umsetzen, sondern braucht wirklich auf jedem Client diese Lösung", meint Thorsten Holz, Botnetz-Experte und Projektassisstent am Institut für Rechnergestützte Automation der TU Wien, gegenüber pressetext. Dies aber wäre nicht nur ein erheblicher logistischer Aufwand. Auch die zahlreichen verschiedenen an das Internet angeschlossenen Geräte, von PCs und Servern über Mobile Devices bis hin zu ganzen Forschungseinrichtungen, machen eine flächendeckende Einführung der Technologie schwierig.
Logischerweise wäre ein effektiver Schutz vor DDoS-Angriffen nicht nur für kommerzielle Anbieter interessant: Sollte IPACF sich als praxistauglich erweisen, könnten damit etwa Regierungssysteme vor einem Cyber-Angriffstyp geschützt werden, der häufig politisch motiviert zum Einsatz kommt. Dass es dennoch noch immer schwierig ist, sich effektiv und effizient gegen diese Angriffsform zu schützen, liegt an grundsätzlichen Problemen. "Ein Grundproblem dabei ist, dass man häufig nicht zwischen legitimem Massenzugriff und einem Angriff unterscheiden kann", sagt Holz. Beispielsweise könne eine Webseite plötzlich populär werden, weil von einer anderen populären Seite darauf verlinkt wird (in den USA auch bekannt als "The Slashdot Effect" nach einer bekannten und beliebten IT-News-Seite und oftmals für zusammengebrochene Server verantwortlich). "Ein weiteres Problem ist, dass durch Einführung von Gegenmaßnahmen auch neue DoS-Möglichkeiten geschaffen werden", betont Holz. Werde beispielsweise ein Authentifizierungs-Server zwischengeschalten, der nur legitime Anfragen durchlassen soll, könne dieser Server selbst das Ziel von DoS-Angriffen und somit zum Flaschenhals des Systems werden.
Quelle :
www.gulli.com
