Wie Ddose ich

Open Services auf dem eigenen Router: Open DNS-Resolver, SNMP, SSDP Services oder NTP Server mit eingeschalteter Monlistenfunktion werden in Verbindung mit DDoS-Attacken nahezu immer erwähnt. Häufig sind diese Services auf der Ebene des Routers oder des Betriebssystems vormontiert. In manchen Fällen können diese Services aber auch allen Internet-Nutzern auf einmal zur VerfÃ?gung gestellt werden - dies kann auf Fehlkonfigurationen oder NachlÃ?

Insbesondere bei DSL-Routern werden diese so weit veräußert und an Nicht-Techniker verschickt, dass immer wieder unerwünschte offene Dienste entstehen - von denen der Router-Betreiber oft nicht einmal etwas erfährt. "Wie kann mein DNS-Resolver auf meinem Rechner dazu beitragen, dass die Website einer anderen Person nicht verfügbar ist?

Ein nicht-technisches Beispiel aus der "analogen Welt" erklärt: Man stelle sich einen Disput mit dem Backer von gegenüber vor und möchte ihn daran hindern, Semmeln zu kaufen. Das geht ganz leicht in 2 Schritten: 1: Schreibe auf die Postkarte ("Anfrage") die Anschrift deines Backers gegenüber als Versender und füge die Ansichtskarten ein.

Das Unternehmen sendet nun einen Versandkatalog ("Antwortpaket") an den angeblichen Versender, da es nicht erkennt, dass es sich um eine Fälschung handelt. Die Wirkung dieses DDoS-Angriffs: Inzwischen kommen immer mehr Exemplare beim Backer an, die er nicht geordert hat und die nach und nach die Zimmerdecke erreichen und den Zutritt zur Ladentheke verunmöglichen.

Ein armer Backer kann nicht einmal mehr Brot braten, weil er mehrere hundert eingehende Prospekte von verschiedenen Fachhändlern zerkleinern und vernichten muss.... Mit einer kleinen Tasche mit vielen kleinen, praktischen und leichtgewichtigen Ansichtskarten haben Sie ein Logistiksystem in Gang gebracht, das mehrere hundert Kilo an Katalogen zum Backer hat.

Aber bevor Sie nach Kugelschreiber und Briefmarken suchen, sollten Sie zunächst einmal mit Ihrem Backer in Ruhe den Konflikt beilegen.... Weil dies kein Anruf "How to DDoS" oder gar ein "DDoS Tutorial" sein sollte! Wenn die Überlast durch eine größere Zahl anderer Rechner hervorgerufen wird, spricht man von einem "Distributed Denial of Service (DDoS)".

Also: Was ist ein DDoS-Angriff? Sie können auf Wunsch ungehindert ein IP-Paket senden, in dem der Sender eine IP-Adresse hat - z.B. "8.8.8.8.8". Allerdings kann diese ausländische IP-Adresse nicht wirklich funktionsfähig verwendet werden - denn obwohl Sie mit diesem Sender Datenpakete versenden könnten, würden Sie nie die Antwort darauf erhalten, diese werden von den Router zum eigentlichen "Besitzer" dieser IP-Adresse und nicht zum Sender übertragen.

Wenn also jemand vorgab, 8.8.8. 8 zu sein und Ping-Pakete schickte, würden Ping-Antworten auf einmal beim wirklichen 8.8.8. 8 ankommen, wo man sich fragt, was das alles soll. Große Hebelwirkung durch Domainauflösung: Eine dieser Möglichkeiten ist, geöffnete DNS-Server mit gefälschten Absendern nach etwas zu befragen, das eine große Resonanz auslöst. Der DNS-Eintrag selbst ist nur etwa 20-60 Byte groß (in unserem analogen Beispiel die Postkarte), aber die Response vom DNS-Server kann leicht mehrere Kilobyte groß sein!

Ich bekomme eine Reaktion auf ein 20-Byte-Request-Paket mit 8243 Byte - das ist über 412 mal mehr als die Aufforderung! Erinnern wir uns: Die Anforderung wurde mit einer falschen Senderadresse gesendet, so dass auch der Sender die Antworte nicht bekommt. Für diese Art der Angriffe sind UDP-basierte Services erforderlich.

Das hat den großen Vorzug, dass die Datenübertragung immer noch über äußerst ungünstige Anbindungen erfolgen kann, aber natürlich hat dieser ganze Circus den nachteiligen Effekt, dass die tatsächliche Datentransferrate abnimmt und die Latenzzeit (Zeitspanne zwischen Anforderung und Antwort) ansteigt - am Ende fühlt es sich also etwas verlangsamt an. Sie wird versendet und entweder kommt eine Beantwortung oder sie kommt nicht.

Kommt er jedoch, kommt er viel rascher als eine ausgehandelte Verbindung, weshalb Services wie DNS in erster Linie über UDP funktionieren, um die DNS-Auflösung zu beschleunigen. Natürlich kann UDP nicht mehr garantieren, dass die Pakete wirklich vom eigentlichen Sender kommen - denn hier ist keine zeitraubende Verhandlung der Verbindungen etc. geplant.

Allerdings sollten diese Ausnahmeregelungen in der Brandmauer nur die Anschlüsse abdecken, die eigentlich offen sind. Das gleiche trifft zu, wenn ein VPN-Tunnel von einem Autorouter eingerichtet wird - einige Routers benutzen für VPN-Tunnel eine weniger einschränkende Firewall-Konfiguration, da sie davon ausgegangen sind, dass nur die privaten IP-Adressen in VPN-Tunneln verwendet werden.

Achtung Ratenbegrenzung durch Firewall: Sie können den Service auch für den legitimen Einsatz rasch unbrauchbar machen, wenn zu aggressive Grenzen gesetzt sind! Tip 4 - Verwenden Sie die Firewall: Verwenden Sie nach Möglichkeit eine Brandmauer, die nur die Anschlüsse freigibt, auf die Sie wirklich von aussen zugreifen wollen. Das schützt Services, die Sie nicht auf der ganzen Welt bieten wollen und trotzdem betreiben müssen.

Einen solchen Service stellt Heise Online kostenfrei zur Verfügung, mit dem Sie Ihre eigene IP-Adresse rasch und unkompliziert überprüfen können: www.heise.de/security/dienste/Netzwerkcheck-2114. html. Unglücklicherweise müssen wir uns hier in unserer Technologie immer wieder mit solchen Attacken oder Verweisen auf Open Services auseinandersetzen - und sind daher über jedes gesicherte Endgerät glücklich....