Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.04.2002 - 

Erkennung von Paketen, Paketsequenzen oder Applikationsverbindungen

Tools blockieren Denial-of-Service-Angriffe

RATINGEN (CW) - Denial-of-Service- (DoS-) und Distributed-Denial-of-Service-(DDoS-)Attacken legen Internet-Verbindungen oft tagelang lahm und führen so zu Umsatzausfällen. Produkte von Top Layer Networks aus Ratingen und der Neu-Isenburger IP Consulting AG sollen die Angriffe erkennen und abwehren.

Bei einem DoS-Angriff werden Internet-Server mit einer immensen Zahl von Anfragen bombardiert. Statt einzelner Rechner kommen bei einem Distributed-Denial-of-Service-Angriff eine Vielzahl von Systemen als Quellen der Attacken zum Einsatz. Die Internet-Server können die Anzahl der Anfragen nicht mehr bearbeiten und quittieren den Dienst.

Einen wirksamen Schutz vor solchen Attacken bieten Firewall- und Intrusion-Detection-Systeme alleine nicht. Firewalls überprüfen die Legitimation von Zugriffen. Da DoS-Attacken in der Regel gefälschte IP-Adressen verwenden, nimmt die Firewall die Daten an - sie scheinen ja von einem Web-Server zu kommen. Intrusion-Detection-Systeme überwachen und überprüfen kontinuierlich die gesamte Netzkommunikation auf verdächtige Aktivitäten. Der Administrator erhält entsprechende Alarme. Der Haken: Bei einem Angriff mit beispielsweise 50000 Datenpaketen pro Sekunde bleibt keine Zeit für lange Überlegungen. Es muss sofort reagiert werden.

Automatisch tut dies die kombinierte Soft- und Hardwarelösung "Defense Technology Extended" (Detecx) der IP Consulting AG. Weil die Diagnose der Datenpakete direkt im Kernel stattfindet, ergibt sich laut Hersteller eine hohe Verarbeitungsgeschwindigkeit bei der Datenprüfung. Vorinstalliert sind Funktionen wie Schutz vor TCP/IP-Fingerprint- und Portscan-Attacken, Validierung des IP-Headers und Definition einer IP-Ausschlussliste. Detecx besitzt keine IP-Adresse und kann dadurch nicht selbst Opfer einer DoS-Attacke werden. Die Lösung ist in drei Versionen mit einem Durchsatz von 500, 5000 oder 50000 Paketen erhältlich.

Ein ähnliches Produkt hat Top Layer Networks mit dem "Attack Mitigator" vorgestellt. Es erkennt Web-Server- sowie Netzwerkattacken anhand von Paketfiltern, Paketsequenzsignaturen, HTTP, URI-Filter, TCP-Connection Counters und Threat Level Assessment basierend auf der TCP-Verbindung. Ein sofortiger Abbruch der Session nach Erkennung der jeweiligen Attacke bietet wieder freie Bahn für normalen Datenaustausch. (sra)