Der Kampf gegen DoS-Attacken ist so alt wie das Internet selbst. Jedoch steht modernen Angreifern durch Botnets eine weitaus höhere Feuerkraft zur Verfügung. Die damit ausgelösten DDoS-Attacken zwingen mit ihrer ungeheuren Datenflut selbst stärkste Systeme in die Knie. Daher werden heutzutage verstärkt die Dienste großer, global verteilter Cloud-Anbieter genutzt.
Die Idee: Der eingehende DDoS-Datenstrom wird auf viele einzelne Systeme verteilt. Dadurch wird die Gesamtlast des Angriffs zerstreut und die Spitzenlast auf jedem einzelnen System gemindert. So kann das Netzwerk selbst schweren Angriffen standhalten.
Auf Netzwerkebene hat sich neben den Filtertechniken die Anycast-Technologie etabliert. Anfragen an Systeme, die über Anycast angebunden sind, werden automatisch zu einem geografisch am nächsten gelegenen Server geleitet. Einer global ablaufenden DDoS-Attacke wird somit auf lokaler Ebene der Wind aus den Segeln genommen. Anycast-Netzwerke wie das von Cloudflare bestechen durch ihre Eleganz und Widerstandsfähigkeit.
Der Cloudflare-Blog bietet einen spannenden Einblick in die laufenden Entwicklungen zur Bekämpfung von SYN-Flood-Attacken. Neben der botbasierten Mitigierungsstrategie scheinen die SYN-Paket-Signaturen vielversprechend. Dabei werden menschenlesbare Fingerabdrückeder eingehenden SYN-Pakete erzeugt. Aus dem Fingerabdruck lassen sich Rückschlüsse über das Betriebssystem der Maschine ziehen, die das SYN-Paket ursprünglich verschickt hat. Während einer SYN-Flood-Attacke verschickte Pakete fallen bei der Analyse der Fingerabdrücke aus dem Muster und werden entsprechend gefiltert.