DDoS-Attacken (Distributed Denial of Service) mithilfe von Botnetzen und ähnlichen Tools werden immer gängiger, beispielsweise bei den Online-Aktionen der Aktivistengruppe "Anonymous". Sicherheitsexperten beim israelischen Unternehmen Radware haben daher mit "Roboo" ein Tool entwickelt, das DDoS-Angriffe mit neuen Tricks bekämpft. Dabei kommen JavaScript und Flash als eine Art Schleusentor zum Einsatz. Entsprechende Inhalte helfen nämlich, angreifende Bot-Programme als solche zu enttarnen - während legitime User ungestört surfen.
Flash als Schleuse
DDoS-Attacken fluten einen Server mit Verbindungsanfragen, um ihn zu überlasten. Diese Form des Cyberangriffs ist 2010 nicht zuletzt durch Anonymous-Aktionen wie die "Operation: Payback" bekannt geworden. Die Radware-Mitarbeiter Yuri Gushin und Alex Behar setzen nun darauf, dass das Anonymous-Tool "Low Orbit Ion Cannon" (LOIC) ebenso wie viele andere Bots einfach gestrickt ist. Daher reagiert Roboo auf verdächtige Anfragen damit, etwas JavaScript- oder Flash-Code zwecks Authentifizierung zu übermitteln.
"Ein Bot kann diese Inhalte normalerweise nicht darstellen", erklärt Behar gegenüber dem New Scientist. Denn nur vollwertige Browser sind darauf ausgelegt, mit JavaScript und Flash umzugehen. Wenn ein legitimer Nutzer eine Webseite ansurft, kann sein Browser also korrekt auf den Roboo-Code reagieren. LOIC oder Bot-Malware dagegen gelingt das nicht, was sie als Angreifer enttarnt. Das könnte den Experten zufolge nicht nur dem Schutz vor DoS-Attacken dienen, sondern beispielsweise auch CAPTCHA-Bildrätsel bei Forensoftware ersetzen.
Botnetze bekämpfen
Die Radware-Mitarbeiter haben sich zudem damit beschäftigt, wie Server im Fall von DDoS-Attacken mit dem Angriff umgehen können. Sie setzen dazu mit "Session Disruption" auf eine Art Gegenangriff, indem sie die Verbindung des angreifenden Bots lähmen. Ein Server ganz gezielt einzelne Datenpakte. Das zwingt den Angreifer, seine Anfrage neu und über eine langsamere Verbindung an den Server zu richten.
Wie effektiv dieser Trick ist, hat das Team im Rahmen der Black Hat Europe 2011 am Beispiel LOIC demonstriert. Wie The Register berichtet, reagiert das Anonymous-Tool auf die Verlangsamung damit, dass es immer mehr Verbindungen aufzubauen versucht. Letztendlich geht dem angreifenden Rechner dadurch der Speicher aus, sodass die Angriffssoftware abstürzt. (pte/rw)