Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/10/2002
Efter sidste uges DoS-angreb mod internettets navneservere overvejer ICANN at indføre filtre mod forfalskede IP-adresser. Forskere ser desuden på muligheder for at begrænse trafikken under et angreb.I et DoS-angreb (Denial of Service, ude-af-drift-angreb) forsøger angribere at sætte et it-system ud af drift. I et distribueret DoS-angreb sker det ved at bombardere en server med pakker, der afsendes fra en lang række computere. Som regel indeholder pakkerne forfalskede afsenderadresser, så man ikke kan spore angribermaskinerne. Angrebene i sidste uge var rettet mod de centrale "rodnavneservere" i internettets Domain Name System (DNS).
Ifølge bladet Eweek overvejer organisationen ICANN (Internet Corporation for Assigned Names and Numbers), der har ansvaret for domænesystemet på internettet, at kræve, at internetudbydere indfører filtre. Disse filtre skal fjerne pakker, der har en forfalsket IP-adresse i afsenderfeltet. Den mulighed har udbyderne allerede i dag, idet de ved, hvilke IP-adresser der er tilknyttet de enkelte kunder.
"De anvender ikke filtrering i dag, fordi det giver dem ekstra arbejde og ikke nogen ekstra indtjening," siger Paul Vixie fra Internet Software Consortium, der driver en af de rodnavneservere, som var under angreb i sidste uge.
Han oplyser, at de firmaer, der driver navneserverne, vil udvide dem med flere servere, så de bedre kan modstå fremtidige angreb. Skønt sidste uges angreb ikke havde den store virkning, advarer eksperter mod fremtidige, mere alvorlige angreb:
"Problemet er på ingen måde forsvundet. Dette angreb var ikke særlig avanceret, så det er klart, at nogle af dem, der driver rodnavneserverne, ikke var helt så forberedte, som de kunne have været. Vi skal bekymre os om næste generation af angreb," siger Paul Mockapetris fra firmaet Nominum. Han udviklede DNS i 80'erne.
I en rapport ved navn "Aggregate-Based Congestion Control" skriver seks forskere fra ICSI Center for Internet Research (ICIR) og AT&T Labs Research om alternative metoder til at bekæmpe distribuerede DoS-angreb med. De mener, at det afgørende er at identificere den strøm af pakker, der udgør et problem på et givet tidspunkt. Det er svært, fordi pakkerne kan have meget forskellige fællestræk: De kan alle være rettet mod en bestemt port på en server, eller alle komme fra samme netværk, eller alle være af en bestemt type.
Når en sådan strøm af angrebspakker er defineret, kan en router filtrere dem fra. Men forskerne foreslår også en såkaldt "pushback"-mekanisme. Den lader routeren give besked til den router, den modtager pakkerne fra, om at holde op med at sende dem. På den måde standses pakkerne tidligere, hvorved angrebets effekt mindskes.