Menü
Security

Puzzles sollen gegen DDoS-Angriffe schützen

Um verteilte Denial-of-Service-Attacken auf Krypto-Dienste zu verhindern, sollen die Clients erst mal ein Puzzle lösen, bevor sie diese in Anspruch nehmen können. Doch der Vorschlag ist nicht unproblematisch.

vorlesen Drucken Kommentare lesen 27 Beiträge
Puzzles gegen DDoS-Angriffe

Wenn Clients einem Server Arbeit aufhalsen können, ohne selbst etwas zu tun, öffnet das die Tür für Denial-of-Service-Angriffe: Dabei fluten viele Clients einen Server so lange, bis dieser unter der Last zusammen bricht und keine legitimen Anfragen mehr beantworten kann. Das ist beispielsweise bei Krypto-Diensten wie dem TLS-gesicherten HTTPS oder IPSec der Fall, wo der der Server im Rahmen des Verbindungsaufbaus rechenintensive kryptographische Berechnungen durchführen muss, bevor die Clients nennenswerte Ressourcen investieren.

Deshalb schlägt jetzt der Akamai-Mitarbeiter Erik Nygren vor, im Rahmen von TLS 1.3 sogenannte Client-Puzzles einzuführen. Dabei antwortet der Server auf eine TLS-Verbindungsanfrage zunächst mit einem HelloRetryRequest – "ja, versuch es nochmal" – und gibt dem Client dabei eine Rechenaufgabe auf den Weg, die er zunächst zu lösen hat (Proof of Work). Die IETF Working Group für IP Security Maintenance and Extensions arbeitet an einem ähnlichen Konzept für die kryptografische Absicherung des Internet Protokolls (IPSec DDos Protection).

Angesichts der Vielzahl von Geräten, die vor allem TLS nutzen, ist die zentrale Herausforderung dabei, passende Puzzles zu finden. Denn was einen durchschnittlichen Desktop-PC nur einige hundert Millisekunden beschäftigt, kann ein Smartphone oder ein kleines Embedded Device schon sekundenlang aufhalten. Darüber hinaus kompliziert das Ganze den Verbindungsaufbau. So argumentieren Tony Arcieri und Watson Ladd, lieber den kryptographischen Handshake zu beschleunigen – unter anderem durch einen Umstieg von RSA auf vergleichbare aber schnellere Elliptic-Curve-Verfahren wie ECDSA. Wenn ein Server ohne groß ins Schnaufen zu geraten, Gigabit-Leitungen mit TLS-Verbindungen sättigen kann, bleibt wenig Raum für DDoS-Angriffe. (ju)