DDoS-Angriffs- und Verteidigungsstrategien

Alexander WittmannBetreuer: Marc Fouquet

Seminar Innovative Internet Technologien und Mobilkommunikation SS2010Lehrstuhl Netzarchitekturen und Netzdienste

Fakultät für Informatik, Technische Universität MünchenEmail: alexander.wittmann@in.tum.de

KURZFASSUNGDistributed Denial-of-Service (DDoS) Angri!e stellen eineaktuelle Bedrohung fur Netzwerkumgebungen dar. Die Viel-zahl und Vielfalt sowohl der Angri!s- als auch der Verteidi-gungsansatze ist beachtlich.

Dieses Dokument prasentiert und erlautert die wichtigstenund bedeutendsten Moglichkeiten zum Angri! und zur Ver-teidigung, und bietet damit Neulingen die Moglichkeit zumbesseren Verstandnis des Problems und der aktuellen Lo-sungsansatze.

Der die Angri!smoglichkeiten betre!ende Teil der Ausar-beitung stellt Gemeinsamkeiten heraus und hebt wichtigeMerkmale der Strategien hervor. Der die Verteidigungsstra-tegien betre!ende Teil erlautert die Vor- und Nachteile derLosungsansatze.

SchlüsselworteDoS, DDoS, Attack Rate, Source Address Validity, Spoofing,Traceback, Pushback, Source Address Filtering, Overlay Fil-tering, Anomaly Detection, Client Puzzles

1. EINLEITUNGDieses Dokument gibt einen allgemeinen Uberblick uber An-gri!e, deren primares Ziel es ist, den Zugri! auf eine be-stimmte Ressource zu verweigern. Im speziellen werden eini-ge Moglichkeiten vorgestellt, wie auf solche Angri!e reagiertwerden kann.

Als Denial of Service (kurz DoS, englisch fur: Dienstverwei-gerung oder -ablehnung) wird in der digitalen Datenverar-beitung die Folge einer Uberlastung von Infrastruktursyste-men bezeichnet (siehe Abbildung 1).

Solch eine Dienstverweigerung kann durch unbeabsichtigteUberlastungen verursacht werden oder durch einen mutwilli-gen Angri! auf einen Host (Server), einen Rechner oder sons-tige Netzkomponenten in einem Datennetz. Dies geschieht inder Regel mit der Absicht, einen oder mehrere bereitgestellteDienste arbeitsunfahig zu machen.

Erfolgt solch ein Angri! koordiniert von einer großeren An-zahl anderer Systeme aus, so spricht man von VerteilterDienstblockade oder englisch Distributed Denial of Service(DDoS). Normalerweise werden solche Angri!e nicht perHand, sondern mit Backdoor-Programmen oder Ahnlichemdurchgefuhrt, die sich von alleine auf anderen Rechnern im

Netzwerk verbreiten und dem Angreifer durch solche Bot-netze weitere Wirte zum Ausfuhren seiner Angri!e brin-gen.[4]

Nicht alle Dienst-Ausfalle, auch diejenigen, die sich aus bos-artigen Aktivitaten ergeben, sind zwangslaufig Denial-of-Service-Attacken.

Abbildung 1: DDoS-Angri!

Unrechtmaßige Nutzung von Ressourcen kann auch zu Dienst-Ausfallen fuhren. Zum Beispiel kann ein Eindringling einenanonymen FTP-Bereich als Ort nutzen um illegale Kopi-en von kommerzieller Software zu speichern, somit Spei-cherplatz verbrauchen und die Generierung von Netzwerk-Verkehr verursachen. Derartige Angri!e sollen aber nicht imRahmen dieses Dokuments behandelt werden.

Denial-of-Service-Angri!e konnen Rechner und Rechnernet-ze wesentlich beeintrachtigen. Je nach Art Ihres Unterneh-mens, kann somit gezielt Ihr Geschaftsbetrieb zum Erliegengebracht werden. So kam es bereits haufiger vor, dass Anbie-ter von E-Commerce Diensten erpresst wurden. Sollte einerLosegeldforderung nicht nachgekommen werden hatte dieseine Blockade der Internetprasenz durch einen DDoS-Angri!zur Folge. Der entstehende Schaden ist immens.

Einige Denial-of-Service-Angri!e konnen mit einfachen Mit-teln gegen einen leistungsfahigen Host eingesetzt werden.Diese Art von Angri! wird als ein asymmetrischer Angri!bezeichnet. So ist es z.B. einem Angreifer moglich mit ge-

63

ringem Rechenaufwand und geringer Bandbreite erheblichleistungsfahigere Endgerate zu beeintrachtigen.

2. ANGRIFFSSTRATEGIENDenial-of-Service-Attacken gibt es in einer Vielzahl von For-men. Die Angri!e zielen dabei auf unterschiedliche Diensteab. Es gibt einige grundlegende Arten von Angri!en. Mankann dabei zwei grundsatzliche Typen unterscheiden:

• Verbrauch knapper, beschrankter oder nicht-erneuerbarenSystemressourcen

• Uberflutung des Netzwerks mit Angri!en um legitimenVerbindungsaufbau zu verhindern

2.1 Ausschöpfen von SystemressourcenTeilnehmer eines Netzwerkes benotigen bestimmte Ressour-cen um ihre Dienste anbieten zu konnen, wie etwa Speicher-und Festplattenplatz, CPU-Zeit, und Datenstrukturen.

Denial-of-Service-Attacken richten sich am haufigsten gegenNetzwerkerreichbarkeit. Das Ziel ist es, Hosts oder Netzwer-ke an der Kommunikation zu hindern. Ein Beispiel fur dieseArt von Angri! ist der SYN-Flood-Angri!, der im Folgendenkurz beschrieben wird:

Bei dieser Art von Angri!, baut der Angreifer eine Verbin-dung zum Rechner des Opfers auf, ohne aber den Verbin-dungsaufbau zu vollenden. In der Zwischenzeit hat das Opfereine bestimmte Anzahl an Systemressourcen reserviert, umdie bevorstehende vollstandige Verbindung vorzubereiten.

Das Ergebnis ist, dass legitime Verbindungen verweigert wer-den, wahrend die Opfer-Maschine darauf wartet, dass halb-o!ene Verbindungen vollstandig aufgebaut werden.

Es ist zu beachten, dass diese Art von Angri! nicht davonabhangt, dass der Angreifer in der Lage ist die vorhande-ne Netzwerkbandbreite vollstandig aufzubrauchen. In die-sem Fall verbraucht der Angreifer Ressourcen, welche am zurVerfugung stellen der Netzwerkverbindung beteiligt sind.

Das bedeutet also, dass ein Angreifer diesen Angri! von ei-ner langsamen Verbindung aus gegen einen leistungsfahigenServer in einem sehr schnellen Netzwerk ausfuhren kann.(Dies ist ein gutes Beispiel fur einen asymmetrischen An-gri!.)

2.2 Ausschöpfen von NetzwerkbandbreiteEin Angreifer kann auch in der Lage sein, die komplette zurVerfugung stehende Bandbreite in einem Netzwerk aufzu-brauchen, indem er eine große Anzahl von Paketen an dasNetzwerk sendet. Typischerweise sind diese Pakete ICMPECHO-Pakete, unterliegen aber prinzipiell keiner Einschran-kung.

Daruber hinaus muss der Angreifer nicht von einer einzi-gen Maschine aus operieren. Er kann in der Lage sein dengemeinsamen Angri! mehrerer Maschinen zu koordinieren,um einen erheblich starkeren E!ekt zu erzielen. (Dies ist eingutes Beispiel fur einen DDoS-Angri! aus einem Bot-Netz)

3. ANGRIFFSEIGENSCHAFTENBei beiden zuvor genannten Typen lassen sich folgende An-gri!seigenschaften unterscheiden:

• Angri!e mit echten oder mit gefalschten Absender IP-Adressen

• Angri!e mit dynamischemWirkungsgrad, die nicht da-zu dienen das Netzwerk unverzuglich lahm zu legensondern auf Dauer die Bandbreite zu begrenzen ohneerkannt zu werden

3.1 Authentizität der AbsenderadresseSource-IP-Spoofing - also das Falschen der Absender IP -spielt eine wichtige Rolle bei DDoS-Attacken. Wurde es eli-miniert werden, konnten viele Arten von DDoS-Attackendurch Ressourcenmanagement-Techniken gelost werden, waseine gerechte Verteilung der Host- oder Netzwerkressour-cen, an jede Quell-IP-Adresse bedeuten wurde. Basierendauf der Gultigkeit der Absenderadresse, unterscheidet manzwischen Angri!en mit gefalschten Absenderadressen undgultigen Absenderadressen.

DDoS-Angri!e mit gefalschter IP-Absenderadresse sind dievorherrschende Art von Angri!en, da es ein Vorteil fur denAngreifer ist, z.B. um die Zurechenbarkeit zu vermeiden,und um durch die großere Adressvielfalt die Erkennung desAngri!s zu erschweren.

Angreifer konnen nicht routbare Source-Adressen vortau-schen, von denen einige auf eine Reihe von reservierten Adres-sen (zB 192.168.0.0/16) zeigen oder Teil eines zugeteilten,aber nicht verwendeten Adressraums eines Netzwerks sind.Angri!spakete, die reservierte Adressen verwenden, konnenleicht erkannt und verworfen werden, wahrend die Pakete diekeine reservierten Adressen benutzen wesentlich schwierigerzu entdecken sind.

Viele Angri!e falschen zufallige Absenderadressen in denAngri!spaketen, da dies einfach durch die Generierung vonzufalligen 32-Bit-Zahlen, mit denen die Pakete versehen wer-den, erreicht werden kann.

Beim sogenannten Subnetz-Spoofing falscht ein Angreifer ei-ne zufallige Adresse aus dem zugewiesenen Adressbereich indem sich die Maschine befindet. Zum Beispiel konnte eineMaschine, die Teil des Netzwerks 131.179.192.0/24 ist, jedebeliebige Adresse im Bereich 131.179.192.0 - 131.179.192.255falschen. Da Maschinen in einem Subnetz sich das Medi-um (Ethernet) teilen um die Gateway-Router (First Hopauf dem Weg zur Außenwelt) erreichen zu konnen, kannSpoofing nur von diesem Router nachgewiesen werden. Esist unmoglich, die Falschung irgendwo außerhalb des Gate-way Routers zu erkennen.

Angreifer profitieren vom Quell-Adress-Spoofing und sinddazu geneigt, es einzusetzen, wann immer es geht. Es ist je-doch nicht mehr dringend notwendig auf Spoofing zu setzen.Zum einen kann ein großer Teil der Angri!e erkannt wer-den (siehe spater), zum anderen hat das Aufkommen vonBot-Netzen dazu beigetragen, das ein Initiator eines DDoS-Angri!s sich einer Vielzahl von Hosts mit unterschiedlichenAdressen bedienen kann.

64

So konnen Angri!e von sehr vielen unterschiedlichen Hostsaus durchgefuhrt werden. Die hohe Zahl der Angreifer machtes moglich, dass das Paketaufkommen eines einzelnen amAngri! beteiligten Rechners sehr gering sein kann und somitdie Wahrscheinlichkeit sinkt, dass dessen singulare Aktivitatals boswillig eingestuft wird. Durch die hohe Zahl der An-greifer kann das Ziel dennoch leicht zum erliegen gebrachtwerden.[3]

3.2 Dynamik der AngriffsrateWahrend des Angri!s sendet jeder der teilnehmenden An-greifer einen Strom von Paketen an das Opfer. Ausgehendvom Mechanismus, welcher die Rate andert, unterscheidenwir zwischen Angri!en mit konstanter, steigender und schwan-kender Intensitat.

Die meisten bekannten Angri!e gehen mit konstanter Ratevor. Nach dem Beginn des Angri!s erzeugen die AngreiferPakete in gleichmaßigem Tempo, in der Regel so viele wieihre Mittel es erlauben. Die plotzliche Flut an Paketen stortdie Dienste des Opfers schnell. Dieser Ansatz bietet das bes-te Kosten-Nutzen-Verhaltnis fur den Angreifer, da er eineminimale Anzahl von Clients bereitstellen muss, um Scha-den zuzufugen. Auf der anderen Seite kann der große, konti-nuierliche Verkehrsstrom als Anomalie erkannt werden underleichtert so die Angri!sentdeckung.

Angri!e mit variabler Paketrate verandern die Intensitat desPaketstroms der angreifenden Maschine um die Aufdeckungdes Angri!s zu verzogern oder zu vermeiden.

Angri!e, die einen stufenweisen Anstieg der Rate verwenden,fuhren zu einem langsamen Erschopfen der Ressourcen desOpfers. Die zur Verfugung gestellten Dienste des Opfers wer-den uber einen langen Zeitraum hinweg immer etwas mehrbeeintrachtigt. Somit kommt es zu einer wesentlich verzo-gerten Erkennung des Angri!s.

Der Schaden dieses Angri!s kann sehr groß sein, da zwar nurein geringer Teil der Ressourcen beeintrachtigt wird, diesallerdings uber einen langen Zeitraum hinweg. Ein Angri!mit hoher Rate und dem Zweck, das Netzwerk zum erliegenzu bringen wurde schneller erkannt und beseitigt werden.

Angri!e die mit fluktuierender Rate arbeiten passen die An-gri!srate, ausgehend von dem Verhalten des Opfers oder be-ruhend auf einem vorprogrammierten Timing an, um derLinderung des Schadens und der Entdeckung zu entgehen.

Bei einem pulsierenden Angri! brechen die Angreifer in wie-derkehrenden Abstanden die Attacke ab, um sie spater fort-zusetzen. Wenn dieses Verhalten gleichzeitig von allen An-greifern durchgefuhrt wird, erfahren die Opfer regelmaßi-ge Service-Unterbrechungen. Wenn die Angreifer jedoch inGruppen unterteilt sind, die so koordiniert werden, dass ei-ne Gruppe immer aktiv ist, dann erfahrt das Opfer konti-nuierliche Dienstverweigerung, wahrend es die anhaltendeAnomalie gar nicht als solche erkennen kann.[3]

4. VERTEIDIGUNGSSTRATEGIENInternet Denial-of-Service (DoS) Attacken fluten begrenzteRessourcen mit Anfragen und verhindern damit legitimenNutzern den Zugri! auf diese Ressource. Zu den Zielen ge-

horen die Bandbreite an Netzzugangspunkten und anderenNetzwerk-Engpassen, und auch die Rechen- und Speicher-Ressourcen auf Servern, Clients, Routern und Firewalls. ZumBeispiel werden einige Low-End-Router lahmgelegt, wenn ansie Pings in einer zu hohen Rate gesendet werden, weil dieCPU uberfordert ist.

Abbildung 2: Source Address Filtering

Es mag zwar nahe liegen, dieses Problem durch den Einsatzrobusterer Software zu losen. Dennoch ist jedes mit dem In-ternet verbundene Gerat verwundbar durch einen Flooding-Angri!.

Da DoS-Attacken immer haufiger auftreten wurden vieleWissenschaftler zu Forschungsarbeiten motiviert. Diese Ar-beit soll neben gangigsten Angri!smethoden auch wichtigeErkennungs- und Abwehrmoglichkeiten behandeln.

DoS-Losungen werden meist anhand ihrer Realisierbarkeitund ihrer Wirksamkeit bei der Abwehr bewertet. Wahrenddies zweifellos richtig ist, soll die Aufmerksamkeit auch aufeine andere Art von Problem auf diesem Gebiet gelenkt wer-den: die kunftigen Folgen fur das Internet und seine Anwen-dungen, falls diese Ansatze zum Einsatz kommen sollten. Einguter Schutz vor DoS-Losung muss nicht nur wirksam sein,er muss es auch erlauben neue Netzdienste nahtlos einzu-fuhren. Vor dem Hintergrund aktueller politischer Entwick-lungen muss auch beachtet werden, dass die Methoden zurDDoS-Abwehr auch sehr leicht zur Internetzensur eingesetztwerden konnten.

4.1 Reaktive Methoden4.1.1 Source-Address-FilteringEiner der fruhesten Vorschlage um DoS-Angri!e abzuschwa-chen war es, Source-Adress-Filtering an allen Netzwerk Einstiegs-und Ausstiegspunkten bereitzustellen (siehe Abbildung 2).Dies wurde Angreifer daran hindern beliebige Absenderadres-sen in ihren Paketen anzugeben und ware somit nutzlich umdie Anzahl an Arten der Angri!e zur reduzieren. Ein Source-Filter lasst sich als Filter beschreiben, der Pakete abweist,die einen Punkt im Netzwerk nicht auf legitime Art undWeise erreicht haben konnen.

Filtering ist nur dann e!ektiv, wenn es in großem Maße ein-

65

gesetzt wird. Eine Quelladresse kann den Nachweis fur dieUrheberschaft nur dann erbringen, wenn jeder Knoten imNetzwerk einen Filter implementiert um die Abgeschlossen-heit des Systems sicherzustellen. Obwohl es in den letztenJahren als best practice galt, gibt es noch viele Lucken beider Abdeckung mit Adressfiltern. Selbst wenn vollstandigeAbdeckung gegeben ware - Fortschritte bei den Angri!sme-thoden haben die Relevanz der Filter zur Bedeutungslosig-keit verkommen lassen.

Hinter einem Filter konnen alle Source-Adressen, die inner-halb eines Netzwerkprafixes liegen, gefalscht werden. Dieskonnen tausende von Adressen sein. Hinzu kommt, dass au-tomatisierte Botnetz-Tools es leicht gemacht haben, einesehr große Anzahl an Hosts fur einen bestimmten Angri!zu gewinnen. Angreifer gehen heute oft mit legitimen, un-gefalschten Pakete vor. Wenn eine Million unterschiedlicherRechner im Netz ein einziges TCP-SYN-Paket senden, spieltes keine Rolle, dass sie alle ihre reale Absenderadresse ver-wenden.

4.1.2 Traceback and Pushback

Abbildung 3: Traceback

Es wurden mehrere Methoden einen Angri! zur Quelle zu-ruck zu verfolgen entwickelt. Traceback konzentriert sich aufdie Identifizierung der Hosts, die fur einen Angri! verant-wortlich sind, unternimmt aber ebenso wie Source-Filterungwenig, um den Angreifer am Senden von Datenverkehr zuhindern (siehe Abbildung 3). DoS-Angri!e werden in derRegel von einer (moglicherweise sehr großen) Zahl an kom-promittierten Rechnern aus gestartet. Traceback Mechanis-men konnen bei der Ermittlung solcher kompromittierterHosts von unschatzbarem Wert sein. Dabei erstellt das an-gegri!ene Ziel eine Signatur der Pakete, die den Angri! ver-ursachen. Diese Signatur wird allen dem Ziel vorgelagertenRoutern mitgeteilt. So konnen diese uberprufen, woher derboswillige Datenstrom kommt, diesen zuruckverfolgen undselbst die Signatur an benachbarte Router weiterleiten. Sokann der Ursprung des Angri!s ermittelt werden. Das aberist zu spat und den Angri! zu verhindern, oder den initi-ierenden Tater des selbigen zu ermitteln (wenn der Angri!von einem Bot-Netz ausgeht).

Negativ fallt auf, dass die Implementierung des Systems Per-formanceeinbruche verursacht. Außerdem ist man auf die

Unterstutzung der Internet Service Provider angewiesen, dadas Filter-System erst auf den im Internet verbreiteten Rou-ter installiert werden muss.

Um diese Einschrankung zu umgehen wurden die beteilig-ten Traceback-Router mit Filterfunktionalitaten ausgestat-tet. Mit Pushback (siehe Abbildung 4) kennzeichnet ein Kno-ten, welche Art von Paketen den Angri! verursacht, undsendet Anfragen an vorgelagerte Knoten deren Paketrate be-reits naher an der Quelle zu verringern. Obwohl sich die heu-tigen Pushback-Vorschlage darauf konzentrieren die Band-breite einer Verbindung wahrend eines Flooding-Angri!s zukontrollieren, konnte theoretisch jeder beliebige Host im In-ternet dynamisches Pushback verwenden, um die Erschop-fung seiner Ressourcen zu verhindern.

Leider kann es schwierig sein Filter zu entwerfen, die per-fekt zwischen gewolltem und ungewolltem Tra"c unterschei-den. Einstufung anhand der Paket-Header ist anfallig furSpoofing. Einstufung anhand des Paket-Inhaltes wird verei-telt durch die zunehmende Verwendung von Ende-zu-EndeVerschlusselung. Zudem wird durch die Integration von Fil-tern eine Grundlage fur Zensur gescha!en.

Abbildung 4: Pushback

Ausgeklugelte Angri!e konnen auch Sonden einsetzen umdie Filterfunktion herauszufinden und sie dann zu umgehen.Beispielsweise begrenzt die erste Pushback-Implementierungeinfach die Rate aller Pakete mit demselben Ziel. Dieser An-satz wird nicht nur ebenso gut boswillige Pakete blockieren,er kann auch leicht durch einen Angri! umgangen werdenbei denen Pakete mit unterschiedlichem Ziel uber densel-ben Knoten geroutet werden, welcher dann den Flaschenhalsdarstellt. [5]

4.1.3 Overlay FilteringOverlays (siehe Abbildung 5) wurden angesichts der hohenDauer um anspruchsvolle Filter auf der Router-Hardwarehinzuzufugen als ein Konzept vorgeschlagen, das es ermog-licht DoS-Filtering Schrittweise zu implementieren. Hier wirdder komplette Tra"c an ein angegri!enes Ziel uber spezielleZwischenknoten geroutet. Da diese nicht auf dem normalenRoutingpfad liegen, konnen besondere Analyse- und Filter-methoden angewandt werden.

66

Abbildung 5: Overlay Filtering

Das zu erreichende Ziel (z.B. eine sicherheitskritische Websi-te) wird dabei uber einen geheimen Proxy an das Netzwerkangebunden, dem es Dienste zur Verfugung stellen soll. DerWeg zu diesem Proxy fuhrt uber ein großes Netz an Overlay-Knoten (Redundanz, falls Pfade im Netz wegen z.B. DDoSnicht erreichbar sind). Der Nutzer der das Overlay-Netzwerkverwenden will, muss sich an einem Einstiegspunkt authen-tifizieren. Von dort wird er dann an die Overlay-Knoten wei-tergeleitet. Diese finden den Weg zum Proxy anhand einergeheimen Information im Protokollheader. Router die aufdem Weg zum Ziel liegen konnen dann so konfiguriert wer-den, dass alle Pakete, die keine geheime Information bein-halten verworfen werden.

Overlay Filtering hat den Vorteil, dass der Zugri! auf dasNetz nur nach stattgefundener Authentifizierung moglichist. Allerdings sind Angri!e auf die Einstiegspunkte moglich.Wird der Proxy bekannt sind auch dort Angri!e moglich.[1]

4.1.4 Anomaly DetectionDer vielleicht aktivste Bereich in der DoS-Pravention istAnomalie-Erkennung. Regelbasierte oder statistische Ver-fahren werden verwendet, um Tra"c-Muster in freundlichoder boswillig einzuteilen. Nur eine automatische Reakti-on auf einen DoS-Angri! oder eine Sicherheitsverletzungkann schnell genug sein, um Beschadigungen oder Verlustdes Dienstes zu verhindern.

Es bestehen allerdings große Bedenken uber die Folgen derImplementierung solcher Systeme. Letztlich ist Anomalie-Erkennung keine ausreichende Antwort auf das Problem - dieEntscheidung, ob ein bestimmter Datenfluss einen Angri!darstellt oder nicht, muss an den Verbindungsendpunktenauf Anwendungsebene erfolgen.

Schlimmer noch, fuhrt die Anomalie-Erkennung zu abge-schlossenen Systemen, denn ISPs und Systemadministrato-ren werden samtliche Tra"c-Formen, die nicht standardi-siert sind blockieren, um den Wettlauf mit dem Angreiferzu gewinnen. Da Filter-Policies in der Regel geheim sindwerden viele Entwickler legitimer Anwendungen nie genauwissen, warum der Verkehr einen Alarm ausgelost hat be-

ziehungsweise zuruckgewiesen wurde.

Wie kann z.B. eine Applikation wissen, dass ein Low-End-Router Ping-Pakete nur bis zu einer bestimmten Rate akzep-tiert bevor eine Uberlastsituation eintritt, wenn der Routerkeine Moglichkeit hat, den Absender uber seine Ressourcen-Limits zu informieren?

Die Einfuhrung neuer Netzdienste verkame praktisch zu ei-ner Unmoglichkeit: eine neue Anwendung musste ihr Daten-aufkommen außerordentlich konservativ bemessen, um ei-ne unverhaltnismaßige Reaktion von Filter-Systemen oderNetzwerkadministratoren zu vermeiden.[2]

4.2 Präventive Methoden4.2.1 Client-PuzzlesClient-Puzzles (siehe Abbildung 6) sind eine in der Entwick-lung befindliche, viel versprechende Technik, die Service-Garantie fur den rechtmaßigen Nutzer ermoglichen will. Die-se erhalten den Zugang zu einer Dienstleistung erst, nach-dem sie ihre Legitimitat nachgewiesen haben. Fur jede Service-Anfrage, ist der Nutzer gezwungen, ein kryptographischesRatsel zu losen, bevor der Server seine Ressourcen freigibt.Dies stellt eine große Aufgabe fur den Angreifer dar, wenner Tra"c in großen Mengen generieren will.

Die Grundidee hinter Client-Puzzles ist, dass jeder Clientder den Dienst des Servers ersucht, einige seiner eigenen Res-sourcen (Rechenzeit oder Speicher, etc.) verwenden muss,bevor der Server seine Ressourcen fur die Verbindung zuge-steht. Dies schutzt vor Angri!en, die von einer großen An-zahl von Botnetz Computern inszeniert werden, welche echteIP-Adressen verwenden, da die bestehenden DDoS-Tools sosorgfaltig konstruiert sind, dass sie den Zombie-Computernicht zu storen versuchen, um den Eigentumer nicht auf ih-re Anwesenheit aufmerksam zu machen.

Dieser Ansatz zur DoS Pravention scheint interessant zusein, nicht nur aufgrund der formalen Modellierung, sondernauch aufgrund des Protokoll-Designs. Es ist nicht erforder-lich, dass Angri!ssignaturen und verdachtiger Datenverkehrdurch die beteiligten Router und Filter erkannt werden. Daes sich um einen praventiven Ansatz handelt, wird kein le-gitimer Datenverkehr unterbunden werden. Dies ist auf dieVerwendung von Client-Puzzles zuruckzufuhren. Die Fahig-keit, Ratsel zu losen, trennt berechtigte Nutzer von automa-tischen Angri!s-Tools.

Client-Puzzles sind ein Mechanismus, um praventiv gegenDoS-Angri!e vorzugehen. Es ist den Clients moglich, fur denDienst des Servers zu bieten. Die geschieht durch die Be-rechnung von Ratseln mit unterschiedlichen Schwierigkeits-graden. Der Server passt den Schwierigkeitsgrad abhangigvon der aktuellen Auslastung an. Bei einer Anfrage kannder Client diese entweder akzeptieren, oder er sendet eineAbsage an den Server.

Die Clients konnen dann ihre Leistung erhohen um den Schwie-rigkeitsgrad des Ratsels zu bewaltigen und senden die An-frage an den Server zuruck. Legitimierte Clients bekommensomit Zugri! auf den Server durch die Erhohung des Schwie-rigkeitsgrades, wahrend ein Angreifer weniger Anreiz hat daszu tun, denn er wurde nicht wollen, dass der Besitzer des

67

Abbildung 6: Client-Puzzles

befallenen Rechners durch ubermaßigen Rechenaufwand be-nachrichtigt wird.

Ein Client Puzzle konnte etwa ein Java-Script in einer Web-site sein, dass aus einem gegebenen Hashwert per Brute-Force Methode ein verschlusseltes Secret berechnen sollte.Uber den Grad der Verschlusselung lasst sich der Schwierig-keitsgrad bestimmen.

Standard Client-Puzzle-Protokolle funktionieren gut um dasAufbrauchen von Ressourcen auf dem Server bei Angrif-fen zu verhindern. Sie scheitern jedoch, wenn der Angrei-fer direkt eine riesige Welle an Paketen an einen bestimm-ten Server sendet, um dessen Bandbreite zu erschopfen. Umdiesen bosartigen Verkehr zu blockieren, muss ein Filter-Mechanismus in den dazwischen liegenden Netzwerken ver-wendet werden, anstatt auf Server-Ebene.

5. ZUSAMMENFASSUNGWie nun gezeigt wurde, besteht ein standiger Wettkampfzwischen organisierten Kriminellen beim Finden neuer An-gri!smethoden und den Entwicklern geeigneter Gegenmaß-nahmen. Diese Maßnahmen sind leider auch immer mit derEinschrankung des Komforts des Benutzers bzw. mit Einbu-ßen bei der Einfuhrung und Administration von Netzdiens-ten verbunden.

Um auf die vielfaltigen Angri!smoglichkeiten wie Ressourcen-und Bandbreitenausschopfung, SYN-Floods, ICMP-Floods,IP-Spoofing und Botnetze reagieren zu konnen genugt esnicht einen einzigen Losungsansatz zu verfolgen.

Es stehen mit den gegebenen Filter-Methoden, mit Traceback-und Pushback-Ansatzen, mit Overlay-Netzwerken einige hilf-reiche Werkzeuge zur Verfugung, um Angri!e abzuwenden.Besonders der Bereich Anomalieerkennung erfahrt zur Zeitgroße Beachtung in der Wissenschaft.

Vielversprechend sind die neuen, sich in der Entwicklung be-findlichen spieletheoretischen Ansatze, bei denen zwischenClient und Server eine Nutzenfunktion optimal erfullt wer-den muss, damit Zugri! gewahrt wird oder nicht. Client-

Puzzles stellen im Moment eine aussichtsreiche Losung dar,die das Resource-Exhaustion Problem beseitigen konnte.

Leider kann keine der aufgefuhrten Losungen alle Heraus-forderungen losen. Fur ISPs und Administratoren gilt esdaher, eine geeignete Kombination der vorhandenen Werk-zeuge einzusetzen. Die Kaskadierung der einzelnen Losun-gen scheint angebracht. So sollte grundlegende Sicherheitdurch hoch verbreitete Filter-Methoden schon in den ISP-Netzen gegeben werden. Auch muss die Unterstutzung furTraceback und Pushback Moglichkeiten sowie Anomalieer-kennung gegeben sein. Um den Benutzer so wenig wie mog-lich zu beeintrachtigen sollten weitere Methoden wie z.B.Client-Puzzles allerdings erst (und dies naturlich automati-siert) zum Einsatz kommen, wenn ein akuter Angri! vor-liegt.

6. LITERATUR[1] A. D. Keromytis, V. Misra, and D. Rubenstein. Sos:

secure overlay services. In SIGCOMM ’02: Proceedingsof the 2002 conference on Applications, technologies,architectures, and protocols for computercommunications, pages 61–72, New York, NY, USA,2002. ACM.

[2] A. Mahimkar and V. Shmatikov. Game-based analysisof denial-of-service prevention protocols. In CSFW ’05:Proceedings of the 18th IEEE workshop on ComputerSecurity Foundations, pages 287–301, Washington, DC,USA, 2005. IEEE Computer Society.

[3] J. Mirkovic and P. Reiher. A taxonomy of ddos attackand ddos defense mechanisms. ACM SIGCOMMComputer Communication Review, 34:39–53, 2004.

[4] Wikipedia. Denial of service. Website, 2010. Availableonline at http://de.wikipedia.org/w/index.php?title=Denial_of_Service&oldid=75812106 visited onJune, 25th of 2010.

[5] J. Xu and W. Lee. Sustaining availability of webservices under distributed denial of service attacks.IEEE Trans. Comput., 52(2):195–208, 2003.

68