TU intern - Juli 2001 - Multimedia
Netzsicherheit
DOS-Attacken im Datennetz
Viele Netznutzer werden sich noch an die Tage vor Pfingsten erinnern,
als über längere Zeiträume nur ein schleppendes
oder gar kein Arbeiten mehr im Netz möglich war. Ursache
war eine DOS-Attacke (Denial Of Service), die am 30. Mai nachmittags
einsetzte und zunächst gegen zwei Rechner der TU Berlin gerichtet
war. Im Laufe des Abends kamen noch zwei dazu, sodass schließlich
vier TU-Rechner "unter Beschuss" lagen. Für Interessierte:
es handelte sich um TCP-SYN-Pakete mit falschen, zufällig
gewählten Absenderadressen. Der Attacke wurde zunächst
routinemäßig mit Filtern und Nullrouten begegnet. Als
sie anhielt, wurde auf meine Bitte vom DFN-Netzkontrollzentrum
(NOC) ein Filter außerhalb der TU Berlin gesetzt, wodurch
unsere überlasteten Router und das TU-Netz wieder normal
arbeiteten, jedenfalls so lange, bis der Angreifer seine Attacke
ausweitete. Das DFN-NOC konnte mir noch sagen, dass die Attacke
über die USA-Leitung das DFN-Netz erreichte und es 36000
Pakete/s waren (normal sind 6000). Am 1. Juni morgens bestand
eine ähnliche Situation, diesmal eine DOS-Attacke aus dem
TU-Netz heraus ("nur" 3000 Pakete/s.). Ursache war ein
"geknackter" und missbrauchter Rechner. DOS-Attacken
sind leider nicht ungewöhnlich, sie kommen mehrmals im Monat
vor, allerdings nicht immer so störend.
Warum nun geschah dieser Angriff und wie kann die TU Berlin sich
zuverlässig dagegen schützen? Die genaue Ursache ist
nicht bekannt, aber in vielen Fällen - besonders bei Kindern
und Jugendlichen - handelt es sich um "Vergeltung",
die Reaktion auf eine Provokation oder einfach um den Beweis der
eigenen Macht. Das ist auch hier zu vermuten. Leider gibt es prinzipiell
keine sichere Methode, sich gegen DOS-Attacken zu schützen,
man kann nur versuchen, nicht aufzufallen. Für die TU Berlin
mit ihren experimentierfreudigen Nutzern und ihrer "liberalen"
Sicherheitspolitik ist das allerdings schwierig. Wer etwas mehr
lesen möchte: http://www.tu-berlin.de/zrz/dienste/netz/grcdos.pdf
beschreibt eine DOS-Attacke auf eine US-Firma und gibt einen Einblick
in die Szene.
Dieter Kasielke
Leserbriefe
|