Kriminelle Botnetz-Betreiber mit den eigenen Waffen schlagen – diese Strategie schlagen Forscher der Universität von Washington vor, um Distributed-Denial-of-Service-Angriffe, die durch Botnetze ausgeführt werden, künftig zu begegnen. Das Forscherteam hat sein Anti-Botnetz auf den Namen „Phalanx“ getauft und hofft, mit einem solchen Anti-Botnetz DDoS-Angriffe in Zukunft besser abwehren zu können. Das Forscherteam reagiert damit auf den zunehmenden Einsatz von Botnetzen für Angriffe auf Unternehmens- und sonstige Server. Diese Angriffe könnten auch für die Internet-Backbones gefährlich werden, sagen sie.
Peer-to-Peer-Botnetze
Cyberkriminelle verfolgen beim Aufbau von Botnetzen derzeit zumindest zwei Strategien. Zum einen bauen sie kleine schlagkräftige Armeen von Zombie-Rechnern auf, die im Netz der Netze wenig auffallen und gezielt zur Spam- und Schadprogrammverbreitung eingesetzt werden können. Diese Botnetze werden immer raffinierter organisiert und gesteuert. Es gibt in der Regel keine zentralen Steuerrechner mehr. Die Steuerung der Zombie-Rechner erfolgt vielmehr nach dem Peer-to-Peer-Prinzip. Diese Botnetze sind damit vor Entdeckung und Zerschlagung sehr viel besser als früher geschützt.
Gewaltige Rechenleistung…
Der zweite Trend geht in die umgekehrte Richtung. Es werden riesige Cyber-Armeen aufgebaut, um Internetserver gezielt mit DDoS-Angriffen zu überziehen. Es wurden bereits Botnetze mit einer Größe von bis zu 1,5 Millionen ferngesteuerter Rechner gesichtet. Die addierte Rechenleistung dieser Netze ist gewaltig. Sie sind nach Angaben des Forscherteams der Universität von Washington in der Lage, mehr als ein Terabit Traffic pro Sekunde zu erzeugen. Damit könnte jeder Server in die Knie gezwungen werden.
…zwingt jeden Server in die Knie
„Ein Angriff dieser Größenordnung könnte zumindest vorübergehend jeden Core-Router ausschalten“, sagen die Washingtoner Forscher. Core-Router sind extrem leistungsstarke Vermittlungsrechner, die mit Datendurchsätzen von mehreren Terabits pro Sekunde zurecht kommen können. Sie werden im Backbone des Internets eingesetzt. Auch sonst sei kaum ein Internetserver vor solchen Botnetzen sicher. Beispiele dafür gebe es genug, sagen die Forscher und verweisen auf die israelische Anti-Spam-Firma Blue Security, deren Server im Mai 2006 so massiv unter Beschuss genommen worden waren, dass die Firma schließlich nachgab und ihre Anti-Spam-Strategie aufgab. Auch die Angriffe auf estnische Regierungs- und Unternehmensserver im April letzten Jahres werden als Beispiele genannt.
Mit „Phalanx“ gegen böse Rechner
Mit „Phalanx“ wollen die Washingtoner Experten Colin Dixon, Thomas Anderson und Arvind Krishnamurthy nun den Spieß umdrehen – zunächst allerdings nur auf dem Papier. Sie schlagen vor, zur Verteidigung gegen Botnetz-Angriffe Anti-Botnetze aufzubauen und diese Verteidigungsnetze so einzusetzen, dass die Last eines DDoS-Angriffs auf die zum „guten“ Netz zusammengeschlossenen Rechner verteilt wird. Der Traffic, der einen Internetserver erreicht, wird nach diesem Konzept auf die einzelnen Rechner des Verteidigungsnetzes umgeleitet. Verbindungsanfragen an den zu schützenden Internetserver würden nur dann weitergeleitet, wenn dieser Server genügend Kapazitäten habe, um die Anfragen zu bewältigen. Das gute Botnetz bildet also einen Puffer, der den angegriffenen Internetserver vor Überlastung schützen soll.
BitTorrent kann helfen
Technisch sei das im Grunde kein Problem, meinen die Forscher. Damit ihr Konzept aufgehe, müsse die Armee „guter“ Zombies nur größer sein als die Zahl der angreifenden Rechner. Und woher sollen die „guten“ Rechner kommen? Auch darauf haben die Washingtoner Forscher eine Antwort: „Wir forschen daran, einen beliebigen BitTorrent-Client so zu modifizieren, dass die Millionen BitTorrent-Nutzer in eine Community-basierte Botnetz-Abwehr verwandelt werden können.“
Zurück zur News-Übersicht