Die zwischen Weihnachten und Neujahr stattfindende DDoS-Attacke
auf die Verbraucherschutz-Sites Antispam.de, Computerbetrug.de und
Dialerschutz sowie dem Portal Gulli.com wurde ungewohnt lange und
hartnäckig durchgeführt. Der ersten Angriffswelle durch
Webzugriffen mehrerer tausend Bots folgte danach ein UDP-Flood-Angriff.
Die Gegenmaßnahmen der Betreiber der Seiten griffen erst
kurz vor Ende des Jahres. Man entwickelte zusammen mit den Administratoren
der anderen Boards in konzertierter Aktion einen Wrapper für
das Apache-Modul mod_security, um die Firewall-Regeln der Server
dynamisch anzupassen und die Attacke zumindest zu entschärfen.
ModSecurity
ist ein Open-Source-Intrusion-Detection und -Prevention-System für
Webanwendungen, das URLs auf bestimmte Zeichenketten und Merkmale
untersuchen und Zugriffe blocken kann. Die Webzugriffe der Bots
wiesen eindeutige Merkmale auf. So lassen sich so die IP-Adressen
der Angriffs-PCs ausfiltern und damit mittels eines Wrappers dynamisch
neue Regeln in der Firewall definieren. Alle späteren Pakete
von diesen dann als Angreifer gelisteten PCs werden simpel verworfen
und gelangen so gar nicht erst zum Netzwerkdienst.
(rb, hannover)
(siehe auch
Heise News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|