als PDF-Datei - Plastic Spoon

4.1. DENIAL-OF-SERVICE-ANGRIFFE 29
verschworen hätte, um sie vom Rest der Welt abzuschneiden.
Der Angriff funktioniert, indem man ein SYN-Paket mit gefälschter Absenderadresse
an einen Server mit einer möglichst guten Internet-Anbindung
schickt. Dieser wird nun ein Antwortpaket an den vermeintlichen Klienten
schicken. Schickt der Angreifer die Pakete nun in schneller Folge an eine Vielzahl
von Servern, so kann er leicht eine große Menge von Paketen erzeugen, die auf
verschiedenen Wegen zu seinem Opfer strömen. Dadurch ist die Wahrscheinlichkeit
groß, daß diese Flut von Paketen nicht schon vorher auf einen Engpaß im
Netz trifft, sondern daß sie erst bei der Anbindung des Opfers an das Internet
zusammentreffen. Dort wird sich nun ein Stau bilden, der dazu führt, daß Pakete
verlorengehen. Hat der Angreifer diesen Zustand erreicht, so werden die Server,
die keine Antwort auf ihre Pakete erhalten, diese noch bis zu dreimal wiederholen.
Dadurch gelingt es dem Angreifer, viermal soviel Verkehr zu erzeugen, wie
er selbst sendet.
Schließlich existieren noch Fälle, in denen Angreifer in Rechner einbrechen
und diese dazu benutzen, auf ein Kommando hin gemeinsam ein vom Angreifer
vorgegebenes Ziel anzugreifen. Steve Gibson berichtet z.B. in [11], wie ein
13jähriger ohne tiefergehende Computerkenntnisse 474 Rechner in seine Gewalt
brachte und damit Gibsons Netzwerkanbindung lahmlegte. In einem anderen
Fall im Februar 2000 unterbrach eine Welle ähnlicher Angriffe unter anderem
den Zugriff auf die Webseiten von Yahoo, Buy.com, eBay, CNN, Amazon und
ZDNet [27]. Die Angriffe dauerten z.T. bis zu drei Stunden.
Gegen ein SYN-Flooding kann man einen Linux-Rechner schützen, indem
man die sogenannten Syncookies aktiviert. Dieser Mechanismus bewirkt, daß der
Kernel im Falle eines Überlaufens seiner Tabelle für unvollständig aufgebaute
Verbindungen aufhört, Verbindungsanfragen weiter zu speichern. Statt dessen
enthalten Antworten auf SYN-Pakete eine Folgenummer, die aus
• einem Zähler,
• Adresse und Port des Senders,
• Adresse und Port des Empfängers,
• der Folgenummer des SYN-Paketes
gebildet wird. Dabei wird zur Bildung dieses Wertes ein kryptographisches Verfahren
mit einem geheimen Schlüssel eingesetzt [7].
Beantwortet der Klient nun so ein Paket, so enthält sein Paket auch die
Bestätigung der Seriennummer des Servers. Der Server kann diese Seriennummer
überprüfen und feststellen, ob sie zu den anderen Feldern im Paket des Klienten
paßt. Auf diese Weise ist es nicht nötig, die Tabelle zu konsultieren. Obwohl die
Tabelle also voll ist, können trotzdem neue Anfragen beantwortet werden.
Der Grund, warum man die Tabelle noch nicht ganz abgeschafft hat und
vollständig auf Syncookies umgestiegen ist, liegt darin, daß sie es TCP erlaubt,
schon im SYN-Paket einige Parameter für die Verbindung anzufordern. Diese
Information kann aber nicht auch noch in der Folgenummer kodiert werden. Der
Platz reicht dafür schlicht nicht aus. Aus diesem Grund müssen Anfragen, die