Massnahmen gegen DDoS

30/03/2008 - 23:28 von Opossum | Report spam
DDoS ist ja bekanntlich die Archillesverse des Internets. Auch gut
geschützte Hosts, die redundant an geografisch verschiedenen Standorten
laufen, können durch simples Überfluten mit zu viel Traffic in die Knie
gezwungen werden, egal, wie gut die Sicherheitsvorkehrungen sind.

Beim DDoS werden üblicherweise virenverseuchte PCs als "Zombies" eingesetzt.
Da davon auszugehen ist, dass in Zukunft tendenziell eher mehr "Zombies" am
Internet hàngen, muss man die Netzinfrastruktur selbst, d.h. primàr die
Router, so verbessern, dass DDoS erschwert wird, wenn man am jetzigen
Zustand etwas àndern will.

Die Frage ist nun, wie man das tun will. Ein typischer DDoS-Angriff sind
beispielsweise ICMP-Echo-Requests, die mit gefàlschtem Source-Header an
irgendwen verschickt werden. Antwortet dieser, so kann dadurch beim Einsatz
genügend vieler Zombies derjenige, dessen Adresse im Source-Header
gefàlscht worden ist, mit ICMP-Echo-Responses völlig überflutet werden.

Eine denkbare Abwehrmassnahme wàre, Router im Rahmen ihrer Möglichkeiten
DDoS-Attacken erkennen zu lassen. Beispielsweise könnten sie den Traffic
regelmàssig darauf überprüfen, ob das Verhàltnis zwischen
ICMP-Echo-Requests und ICMP-Echo-Replies auf einem bestimmten Link deutlich
im Ungleichgewicht ist. Wenn dies der Fall ist, deutet dies auf eine
laufende DDoS-Attacke hin, in diesem Fall könnte der Router die
betreffenden ICMP-Pakete eine gewisse Zeitspanne lang droppen.

Ein solches Verfahren hàtte natürlich gewisse Nachteile: Durch das
massenhafte Versenden von Bogus-ICMP-Replies könnte man verhindern, dass
man von einer bestimmten IP-Adresse aus noch andere Hosts pingen kann.
Wàren dagegen viele Router mit einer Funktionalitàt wie oben beschrieben
ausgerüstet, könnten die Pakete bereits nah am Absender aus dem Verkehr
gezogen werden, so dass der Schaden nicht allzu gross wàre.

Gibt's schon Überlegungen in diese Richtungen?

Gruss

Opossum°
Ich bin hier nur das Opossum°.
 

Lesen sie die antworten

#1 Benjamin Brodel
30/03/2008 - 23:52 | Warnen spam
Opossum schrieb:

Gibt's schon Überlegungen in diese Richtungen?



Ich hab's ganz einfach gemacht: einfach alles was ICMP
ist geblockt und damit hab ich ein potentielles DDOS
-Problem beseitigt.

Ähnliche fragen