Neuer Ansatz gegen Zombie-PC-Attacken

07.10.2009 um 13:48

Forscher haben einen neuen Ansatz vorgestellt, um DoS-Attacken (Denial of Service) auf Computernetzwerke zu filtern. Allerdings eignet sich das Ganze noch nicht für den Alltag.

Dazu setzen die Wissenschaftler um John Wu, Professor für Elektro- und Computertechnik an der Auburn University, auf ein neues, passives Protokoll, das an beiden Enden der Verbindung zum Einsatz kommen muss. Dieser «Identity-Based Privacy-Protected Access Control Filter» (IPACF) kann nach Simulationen zufolge illegitime Datenpakete sehr schnell abweisen und soll Authentifizierungs-Server wirksam vor DoS-Angriffen schützen können.

Laut Pressetext setzt das PACF darauf, dass ein Computer, der auf Ressourcen eines Servers zugreifen will, sowohl einen Filterwert als auch eine Pseudo-ID vorweisen muss, die jeweils nur einmalig gültig sind. Angreifer könnten diese Werte nicht korrekt fälschen, was ein Filtern von Angriffs-Datenpaketen erlaubt. Um den Ansatz zu testen, wurde ein Netzwerk mit 1000 Knoten und einer Bandbreite von zehn Gigabit pro Sekunde simuliert.

Dabei sei trotz Flutung mit DoS-Paketen der Server-Prozessor kaum zusätzlich beansprucht worden und die Latenzzeit nur unwesentlich gestiegen. IPACF könne illegitime Pakete innerhalb von nur sechs Nanosekunden abweisen. Ob der Ansatz wirklich praxistauglich ist, hängt freilich nicht nur von der Server-Performance ab. Man kann das Protokoll also nicht einfach graduell umsetzen, sondern braucht wirklich auf jedem Client diese Lösung.

Daher wäre eine praktische Umsetzung vermutlich schwierig, auch aufgrund der diversen am Internet angeschlossenen Maschinen.

von Sandra Adlesgruber