Distributed Denial of Service
Der Distributed Denial of Service (kurz: DDoS) ist eine Sonderform des DoS. Grundsätzlich sind die Ziele dieselben wie beim DoS. Jedoch unterscheidet sich diese Angriffsform in der Art wie sie ausgeführt wird.
Während bei dem klassischen DoS der Angriff von einem zentralen System gefahren wird, wird bei einem DDoS der Angriff von vielen verschiedenen Systemen gestartet. Klassische Beispiele für DDoS sind der I-LOVE-YOU Brief der seinerzeit viele SMTP-Server lahm legte, oder CodeRed. Letzterer hatte nicht den Webserver oder den privaten Endkunden PC als Ziel, sondern sollte schlussendlich das Weiße Haus in Washington angreifen. Das dies Misslang lag einzig daran, dass die Systemadministratoren schnell genug geschaltet hatten und dem Weißen Haus einen neuen IP-Bereich zugewiesen hatten.
Wie schon an den Beispielen zu erkennen ist, muss ein Cracker um einen erfolgreichen DDoS durchführen zu können Vorarbeit leisten: Er muss viele verschiedene Systeme (die ihm nicht gehören) dazu bringen, seinen Angriff für ihn durchzuführen. Hierbei bieten sich dem Cracker eine Vielzahl von Möglichkeiten: Der Versand von Emails mit Scripten im Attachment, Cross Site Scripting oder aber auch direktes Angreifen der Systeme über unzureichend gesicherte Dienste (welcher Privatmann kennt sich z.B. mit SMB aus und weiß, dass ein Windows PC so etwas Standardmäßig netterweise der gesamten Internetcommunity zur Verfügung stellt?).
Eine weitere Gefahrenquelle im Zusammenhang mit DDoS entsteht durch sog. Sit-In's. Diese sind quasi das Pendant zum Sitzstreik. Hier verabreden sich User (meistens per Onlinechat) um gegen Irgendetwas zu demonstrieren, suchen sich ein Ziel aus (z.B. eine Firma oder Regierungsbehörde die das wogegen die Leute demonstrieren unterstützt) vereinbaren einen Zeitpunkt, verteilen das entsprechende 'Demoprogramm' und warten dann darauf zu Demonstrieren. Diese Gefahr sollte man durchaus nicht unterschätzen, da hier viele Themen sind, die einer Demo würdig wären (z.B. Rechtsfragen, Tarifstreiks, Umweltfragen etc.) und die Wirksamkeit dieser Methode durch ein konkretes Beispiel bewiesen ist: Eine kleine Gruppe Schweizer Künstler mit Namen ETOY bekam Ärger mit einem Amerikanischen Konzern. Dieser wurde nachweislich erst zu einem späteren Zeitpunkt gegründet und nannte sich ETOYS. Ziel: Vertrieb von Spielwaren über das Internet. Da die Amerikaner eine Verwechslungsgefahr sahen und sich den Namen rechtlich hatten schützen lassen, verboten sie kurzerhand den Künstlern aus der Schweiz den Namen ETOY weiterzuführen. Dies rief die Demonstranten auf den Plan, die Sit-In's gegen den US-Konzern veranstalteten. Da das Unternehmen nicht nachgab, wurden die Aktivitäten andauernd ausgeführt. Die Internetpräsenz der Firma war gestört, man konnte nichts mehr verkaufen und ging schließlich Pleite.
Interessant in diesem Zusammenhang wäre die Frage nach der Legalität solcher Aktionen, zumal hierzulande Demonstrationen nicht illegal sein müssen.
Für einen normalen Systemadministrator ist die Frage nach einem wirkungsvollen Schutz allerdings wesentlich Interessanter. Neben den im Abschnitt Denial of Service erwähnten Sicherheitsmaßnahmen kommt hier ein weiterer Ansatzpunkt zum Tragen: Ein DDoS muss vorbereitet werden!!! Dies geht i.d.R. nicht spurlos und auch nicht von Jetzt auf Sofort, sondern dauert ein wenig. Was wiederum dazu führen kann, dass ein Systemadministrator rechtzeitig (wie im Beispiel CodeRed) von dem Ziel und der Art des Angriffs erfährt und Gegenmaßnahmen treffen kann. Hierzu ist es aber notwenig mit einem Ohr an der Hacker/Cracker Szene zu lauschen und die eigenen Logfiles regelmäßig und oft zu studieren um entsprechende Entwicklungen schnell zu erkennen. Außerdem kann ein weiterer Ansatzpunkt darin zu sehen sein, die Möglichkeiten zur Vorbereitung des DDoS zu verringern. Soll heißen: Emails mit Attachment zu untersuchen bevor sie auf dem Zielrechner geöffnet werden oder Systeme die mit dem Internet verbunden sind soweit abzuhärten wie es möglich ist. Auch der Schutz vor Cross Site Scripting Angriffen muss auf ein Maximum gesetzt werden.
Kontaktadresse