DDos wie kann man sich davor schützen?

Gegenmaßnahmen

Eine dynamische Vorgehensweise besteht im laufenden Abgleich der IP-Adressen mit so genannten Blacklists und die Analyse und Filterung des eingehenden Datenverkehrs durch den Grenzrouter des Providers. Datenpakete von bekannten IP-Adressen werden verworfen. Ebenso kann sich eine dynamische Filterung auf Datenmengen beziehen. Jeder IP-Adresse die einen einstellbaren Grenzwert (Datenvolumen pro Zeit) überschreitet kann der Zugang komplett verweigert oder die Bandbreite beschränkt werden.

Bei kleineren DDoS-Angriffen, die keinen erheblichen Datenverkehr verursachen und lediglich den Server unnötig belasten, kann das Blocken auf Basis der Herkunfts-IP-Adresse durch den Server selbst sinnvoll sein.

Bei der kompletten Sperre des eingehenden Datenverkehrs werden am Grenzrouter des Providers alle auf die betroffene Ziel-IP-Adresse eingehenden Datenpakete verworfen. Das bedeutet im Umkehrschluss, dass auch legitime Anfragen an die IP-Adresse und den dahinterliegenden Server verworfen werden. Der Server ist dann faktisch nicht mehr erreichbar, womit die Attacke ihr Ziel erreicht hat. Diese Maßnahme kann also nur kurzfristig eingesetzt werden. Treten die Angriffe wiederholt auf, besteht die Möglichkeit die IP-Adresse des Servers zu ändern oder eine dynamische Filterung einzusetzen.

Mögliche Schutzmaßnahmen

Leider liegt dem Erfolg einer DoS-Attacke nicht selten ein fehlerhaft konfiguriertes System zugrunde, dies muss jedoch nicht zwangsläufig der Fall sein. „Sicherheit ist kein Produkt, es ist eine fortlaufende Prozedur“, sagen zurecht viele Sicherheitsexperten. Folglich ist es dringend zu empfehlen, die Konfiguration der Geräte und Software kontinuierlich zu überwachen und mit aktuellen Patches der Anbieter zu aktualisieren. Glücklicherweise geschieht dies oft automatisiert. Ein (zugegebenermaßen sehr umstrittener) Ansatz gegen Systemabstürze, vorwiegend bedingt durch die Ressourcensättigung, ist das manuelle Verwalten der Prozessprioritäten. Die Priorität eines kritischen Prozesses könnte beispielsweise so niedrig gestellt werden, dass er bei einer Endlosschleife nicht sämtliche Ressourcen, beispielsweise die Hardware-Glossar: CPU-Zeit, aller anderen Prozesse in Anspruch nimmt. So könnten Sie womöglich einen vollständigen Systemabsturz hinauszögern, nicht jedoch verhindern. Bei diesem Ansatz ist zu bedenken, dass Prozesse, die beispielsweise 30% des installierten Speichers benötigen, diesen mit einer verringerten Priorität nach wie vor benötigen. Zeitintensive Datenbankabfragen werden mit verringerter Priorität weiterhin zeitintensiv bleiben, in der Regel sogar noch mehr Zeit in Anspruch nehmen. Insgesamt ist das Prioritätenverwalten lediglich als eine Möglichkeit für erste Notmaßnahmen anzusehen. Eine bekannte DoS-Attacke, und die in Lehrbüchern zum Thema vermutlich erste zu nennende, ist das SYN-Flooding (Gattung Ressourcensättigung), welches weiter oben bereits angesprochen wurde. Wenn Sie Opfer einer solchen Attacke sind, bleibt Ihnen zumeist lediglich das Inkrementieren (Erhöhen) der maximalen Verbindungs- bzw. Datenmenge und das anschließende Suchen nach regelmäßigen Signaturen des Angreifers bzw. angreifenden Programms, damit Sie diese Struktur Ihrem Router oder Ihrer Firewall mitteilen können, und diese den Angreifer schließlich beispielsweise mittels eines Paket-, oder Hardware-Glossar: IP-Filters abwehrt, sofern der Angreifer kein Spoofing (s.o.) anwendet. Sie werden jedoch schnell feststellen, dass das verwischen der Spuren eine der ersten Lektionen eines Hackers ist. Zu nennen ist hier das Hardware-Glossar: IP-Spoofing, Hardware-Glossar: ARP-Spoofing oder auch das Hardware-Glossar: DNS-Spoofing, wobei ersteres häufig zum Einsatz kommt. Wenn ein Angriff dermaßen kritisch eingeschlagen hat, ist zudem eine Maßnahme, den Rechner schlichtweg auszuschalten. Dabei steht im Vordergrund Traffic, und somit Geld, einzusparen. Weiterhin empfehlenswert ist wohl, als Administrator gewisse Programmierkenntnisse aufzuweisen, und in entsprechenden Entwicklergemeinden zu verkehren, und somit möglichst viel Erfahrungen zu sammeln. Selbst programmieren eröffnet bei so manchem Administrator neue Sichtweisen.