Moin!
Ähm..... genau so sieht das typische Prinzip von DoS aus...
Also das was da als "reflecting" bezeichnet wird ist das Normale.
Wenn ich die Schilderung mit der vergleiche, die Steve letztes Jahr ins Netz gebracht hat, dann unterscheidet sich diese jetzt schon von der altbekannten.
Ein DDoS-Angriff erfordert, daß viele verschiedene Rechner ferngesteuert vom bösen Angreifer das Opfer mit Datenpaketen bewerfen. Die Fernsteuerung erfordert irgendeine Software auf den Helferrechnern, damit der böse Angreifer auch was fernzusteuern hat. Hierbei wird keine IP gespooft, die Helferrechner senden ganz offiziell und ohne Wissen ihrer Besitzer.
Abhilfe dagegen: Diese IP-Adressen sperren lassen. Ist doof für die, die mit diesen Rechnern dann irgendwann die angegriffene Site besuchen wollen, aber immerhin noch zu bewältigen.
Das "reflecting" an diesem Angriff ist, daß Helferrechner mit ein wenig SYN-Flooding belastet werden, und dann ihrerseite unwissend zum Angreifer werden.
Verhindert oder unterdrückt wird diese Attacke dadurch
bei gut gepfegten Servern, dass diese nur noch Pakete annehmen, dessen Absenderip korrekt ist. Hierzu wird einfach ein Backtrace gemacht,
also gecheckt ob der Host von dem das Paket kommt, derselbe ist, wie die Absendeip im Paket.
Geht aber nicht, wenn die Serverleitung überlastet ist. Es handelt sich um bandwidth-flooding - da ist der Sinn, daß kein geordneter Netzwerkverkehr mehr möglich ist, und der Server kann dagegen garnichts tun - auch keine Absender-IP checken. Da muß der vorgelagerte Router aktiv werden, um die dünne Leitung zum Server freizuhalten.
- Sven Rautenberg