Clients können auch ohne menschlichem Eingriff einem Server Anfragen stellen, was die Tür für Denial-of-Service-Angriffe öffnet. Das bedeutet, dass viele Clients einen Server so lange fluten, bis er unter der Last zusammen bricht und somit keine legitimen Anfragen mehr beantworten kann.

Bei Krypto-Diensten wie zum Beispiel IPSec oder dem TLS-gesicherten HTTPS muss der Server für den Verbindungsaufbau rechenintensive kryptographische Berechnungen durchführen, bevor die Clients nennenswerte Ressourcen investieren.

Der Akamai-Mitarbeiter Erik Nygren schlägt daher vor, im Rahmen von TLS 1.3 Client-Puzzles einzuführen. Der Server antwortet zunächst mit einem HelloRetryRequest auf eine TLS-Verbindungsanfrage und vergibt dann eine Rechenaufgabe, die der Client zu lösen hat (Proof of Work). An einem ähnlichen Konzept arbeitet die IETF Working Group für IP Security Maintenance and Extensions für die kryptografische Absicherung von den Internet Protokolls (IPSec DDos Protection).

Die Herausforderung dabei ist, angesichts der Vielzahl von Geräten, die hauptsächlich TLS nutzen, entsprechende Puzzles zu finden, da ein durchschnittlicher Desktop-PC beispielsweise nur einige hundert Millisekunden benötigt. Ein Smartphone oder ein kleines Embedded Device benötigt dafür hingegen einige Sekunden. Zudem wird dadurch der Verbindungsaufbau verkompliziert. Besser sollte der kryptographische Handshake beschleunigt werden, argumentieren Tony Arcieri und Watson Ladd. Unter anderem durch einen Umstieg von RSA auf vergleichbare aber schnellere Elliptic-Curve-Verfahren wie ECDSA. So bleibt wenig Raum für DDoS-Angriffe, wenn ein Server ohne großen Aufwand Gigabit-Leitungen mit TLS-Verbindungen sättigen kann.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE