Re-Moin!

Geht aber nicht, wenn die Serverleitung überlastet ist. Es handelt sich um bandwidth-flooding - da ist der Sinn, daß kein geordneter Netzwerkverkehr mehr möglich ist, und der Server kann dagegen garnichts tun - auch keine Absender-IP checken. Da muß der vorgelagerte Router aktiv werden, um die dünne Leitung zum Server freizuhalten.

Du verwechselts gerade das Ziel/Opfer mit dem "Helfershelfer".
Der Helfershelfer ist der Host, der das falsche Paket bekommt und dann an das Opfer , als vermeintlicher Absender dann antwortet.
Der Helfershelfer darf und kann nicht überlastet werden, weil er
sonst auch nicht das Ziel genug attackieren kann und auch die Wahrscheinlichkeit hoch ist, das er vom Netz genommen wird.

Stimmt. Da hatte ich dich mißverstanden. Deine "Abwehr" setzt bei Servern an, auf die das Opfer keinerlei Einfluß hat. So hast du's ausdrücken wollen, kam aber nicht an. :)

Und auch das Backtracking dürfte problematisch sein:
1. Wie willst du herausfinden, ob der Rechner, dessen IP-Adresse im SYN-Paket steht, der Rechner ist, der das Paket abgeschickt hat?
2. Wie stellst du sicher, daß dein Backtracking nicht das gleiche Ergebnis hat, wie ungeprüfte SYN/ACK-Responses?

Im Prinzip muß man kontrollieren, ob eine IP (die des Opfers, ausgehend vom Angreifer) unverhältnismäßig viele SYN-Pakete schickt, und die dann ignorieren. Dürfte aber schwierig werden, sowas auf allen Internetservern zu realisieren. Wie erwähnt, wurden ja nicht nur HTTP-Server benutzt, sondern auch Router (bzw. die sind als erstes in Erscheinung getreten mit dem Port 179 für BGP - als die weggefiltert wurden, kamen erst die ganzen SYN/ACKs von HTTP, SSH etc. durch). Im Prinzip kann jeder offene Port für solch eine Attacke mißbraucht werden. Und da gibts reichlich Angebot - nicht zuletzt durch "Universal Plug and Play" von Microsoft, welches TCP-Port 5000 öffnet.

- Sven Rautenberg