Menü

Anatomie einer DDoS-Attacke

vorlesen Drucken Kommentare lesen 218 Beiträge

Steve Gibson, der sich in seiner eigenen Firma "Gibson Research" (GRC) mit Sicherheitsfragen und Festplatten-Tools (SpinRite) befasst, berichtet im Detail, wie "Skript Kiddies" seine Anbindung ans Internet und damit seinen Web-Server im Mai wiederholt lahmgelegt haben. Er dokumentiert nicht nur die Attacke und seine Gegenwehr, sondern erzählt auch von seiner Entdeckungsreise in die Welt des Angreifers. Noch arbeitet Gibson an seinen Veröffentlichungen zu dem Vorfall, deren Quintessenz wenig Hoffnung auf ein Internet macht, das frei von solchen Störungen ist.

Die "Distributed Denial of Service"-Attacke (DDoS) fand von über 400 Windows-PCs aus statt, die weltweit verstreut durch eine spezielle Software gesteuert wurden. Der nur 15 KByte große Code ("Zombie" oder "Bot" genannt) registriert den befallenen PC über spezielle IRC-Kanäle und wartet dann auf Befehle seines "Herrn". Wenige Befehlszeilen haben genügt, um die Anbindung von GRC ans Internet mit riesigen UDP- und ICMP-Paketen regelrecht zu fluten. Die Software hat der Angreifer wohl nicht selbst geschrieben, sondern in einschlägigen Kreisen abgefischt und mit dem Hex-Editor bearbeitet.

Gibsons Dokumente sind ein weiterer erschreckender Beweis dafür, wie viele Windows-PCs ungeschützt im Netz für solche Angriffe missbraucht werden können. Darüber hinaus zeigen sie auch, wie wenig Bereitschaft zur Kooperation große Internet-Provider in einem solchen Fall an den Tag legen, und ferner, dass längst nicht jedes Personal-Firewall Alarm schlägt, wenn solche Software einen Windows-PC heimsucht. Vor allem aber wirft die Sache ein eindeutiges Licht auf Microsofts Monokultur, die solche Angriffe erst möglich macht.

Letztlich kommt Gibson zu dem Schluss, dass er Glück im Unglück hatte: Der IP-Stack des derzeit bei Privatanwendern vornehmlich verbreiteten Windows 9x/ME ist unvollständig – eine Software müsste laut Microsoft aufwendig den wahren Absender der "Paketbömbchen" verschleiern. Sie tat es nicht, und so gelang es Gibson, die Adressen der Angreifer beim Internet-Provider ausfiltern zu lassen. Mit Windows 2000 und Windows XP, das Windows 9x/ME bei Privatanwendern ablösen soll, hätte die Angriffssoftware den Absender leicht verbergen können. Gibson wäre wehrlos gewesen.

Deshalb hat er Microsoft aufgefordert, die Integration dieser Funktion in XP zu überdenken. In einer Antwort, die Gibson veröffentlicht hat, gibt sich Microsoft gelassen und lehnt eine Änderung ab: Ein Personal-Firewall und bessere Standardsicherheitseinstellungen im renovierten Outlook Express sollen zukünftig garantieren, dass die für die Angriffe verwendete Software sich erst gar nicht in Windows XP festsetzen kann. Nicht nur Gibson ist gespannt ... (ps)