ÜBER SYMANTEC

  • Hinzufügen

Pressemitteilungen

LinkedIn Facebook Twitter RSS

Hintergrund: Hackerangriffe auf Internet-Server

Wie funktioniert ein Denial-of-Service-Angriff und was lässt sich dagegen tun?
Ratingen, 17. Februar 2000 - Ein Denial-of-Service-Angriff (DoS; wörtlich: Verweigerung des Dienstes) ist kein Virus, sondern eine Methode. Hacker verwenden DoS-Angriffe, um regulären Benutzern den Zugriff auf einen Computer bzw. eine Webseite zu verwehren. Typische DoS-Angriffe überfluten einen Internet-Server (WWW-, Mail- oder FTP-Server) mit einer großen Zahl von Anfragen, wodurch der Server überlastet wird und nicht mehr für normale Anfragen zur Verfügung steht.
In der realen Welt würde ein DoS-Angriff folgendermaßen ablaufen: Nehmen wir an, ein Hacker würde ein Programm schreiben, das ständig bei einem Pizza-Service anruft und eine Pizza bestellt. Die Folge: Die Telefonleitung des Restaurants wäre permanent besetzt wäre und niemand sonst könnte eine Pizza bestellen. Stellen wir uns weiter vor, eine Gruppe von Hackern spricht sich untereinander ab, um von mehreren Telefonen aus bei demselben Restaurant anzurufen und Pizza zu bestellen. Das lässt sich noch weiter steigern, indem die Hacker eine Anzahl weitere, ihnen unbekannte Personen bittet, ebenfalls bei diesem einen Restaurant anzurufen und eine Bestellung aufzugeben. Das erhöht die Anzahl der Anrufer drastisch und erschwert es erheblich, den eigentlichen Urheber dieses Angriffs ausfindig zu machen. Dieses Szenario entspricht einem verteilten DoS-Angriff.

Die Methoden, die in diesen Programmen verwendet werden, bestehen zum Einen aus der Erzeugung von Kontrollnachrichten, die ein Server beantworten muss. Das DoS-Programm Smurf verwendet diese Methode. Eine zweite verbreitete Art, einen Server lahmzulegen, ist die Aussendung von Aufforderungen, eine Verbindung herzustellen. Das ist ebenfalls zunächst ein ganz alltäglicher Vorgang, der auch jeder legitimen Benutzeranfrage vorausgeht. Der Server legt diese Anfragen in einer Tabelle mit begrenztem Fassungsvermögen ab. Beide Seiten tauschen einige Formalitäten aus (Initialisierung) und dann kann die eigentliche Anfrage gestartet werden. DoS-Programme wie TFN, Trinoo und Stacheldraht verwenden gefälschte Absenderadressen und brechen die Kommunikation mitten in der Initialisierung ab. Der angegriffene Server wartet nun vergebens auf die Fortsetzung des Dialogs. Bei einer großen Zahl gleichzeitiger, sogenannter halboffener Verbindungen ist die Tabelle des Servers ausschließlich mit diesen gefüllt, und der Server kann keine regulären Anfragen mehr bearbeiten.

Die erwähnten DoS-Programme TFN und Trinoo verwenden verteilte DoS-Angriffstechniken. Dazu werden viele Kopien des Programms heimlich auf den Rechnern ahnungsloser Benutzer installiert. Sie können zentral gesteuert und aktiviert werden, ohne dass die Benutzer dies zunächst bemerken. Systeme, die solche heimlich installierten DoS-Programme beherbergen, werden häufig als Zombies bezeichnet.

Wie lassen sich DoS-Angriffe bekämpfen? Im Falle des Pizza-Restaurants könnte die Telefongesellschaft die Anrufe zurückverfolgen und weitere Anrufe von diesem Anschluss aus unterbinden. Bei verteilten DoS-Angriffen im Internet ist dies weitaus schwieriger. Die Angreifer verwenden meist gefälschte IP-Adressen, und die Angriffe kommen von vielen Quellen gleichzeitig. Es gibt allerdings einige Möglichkeiten, das Risiko solcher Angriffe zu vermindern. Server lassen sich so konfigurieren, dass er Kontrollnachrichten nicht beantwortet, wie sie beispielsweise Smurf verwendet. Auch können die Router, die die Verbindung zum Internet herstellen, so eingestellt werden, dass sie durch Vergleich der Quell- und Zieladressen DoS-Angriffe erkennen und herausfiltern können. Damit können Angriffe von TFN und seinen Verwandten abgewehrt werden.

Das CERT (Computer Emergency Response Team) des DFN-Vereins (Deutsches Forschungsnetz) hat eine Reihe von Informationen zusammengestellt, die technische Einzelheiten zu DoS-Angriffen enthalten: http://www.cert.dfn.de/dfncert/ddos.html Es wird allerdings überwiegend auf englischsprachige Quellen verwiesen.

Wie kann Virenschutz-Software vor DoS-Angriffen schützen? Virenschutz-Software wird zum Schutz gegen Viren entwickelt und ist daher nicht in der Lage, DoS-Attacken direkt zu erkennen und abzuwehren. Sie kann aber in der Vermeidung solcher Angriffe durchaus eine wichtige Rolle spielen. Virenschutz-Software kann beliebige installierte Programme anhand charakteristischer Merkmale wie bestimmten darin enthaltenen Zeichenketten erkennen. Da verteilte DoS-Angriffe auf heimlich installierte Programme auf an sich unschuldigen Rechnern zugreifen, lässt sich die Installation solcher Programme durch Virenschutz-Software erkennen und unterbinden. Norton AntiVirus erkennt zur Zeit einige der häufig verwendeten DoS-Programme wie TFN2K, Trinoo und Stacheldraht. Ein Programm wie Norton Internet Security kann darüber hinaus das Eindringen unbefugter Programme auf den Rechner abwehren bzw. nachvollziehen und so wertvolle Hinweise auf den Absender liefern.

Fazit: Die in letzter Zeit verstärkt auftretenden DoS-Angriffe gegen Internet-Server sind vor allem deshalb erfolgreich, weil weder die angegriffenen Server noch die als Zombies missbrauchten Rechner ausreichend geschützt sind. Es gibt jedoch durchaus Möglichkeiten, beide Arten von Systemen gegen diese Angriffe zu wappnen.
Ihr Ansprechpartner (NUR PRESSE!) für weitere Informationen, Fotos und Rezensionsexemplare.
Bitte beachten Sie unser Online-Pressezentrum.
Hier können Sie die Pressemeldung als komprimierte Word-Datei herunterladen.

@Symantec