Apache-Server vor DoS-Attacken schützen

Der entscheidende Nachteil von Apache ist die Tatsache, dass aufgrund seiner weiten Verbreitung seine Schwachstellen und Sicherheitslücken hinreichend bekannt sind. Apache-Server im gesamten Internet sehen sich laufend neuen DoS-Attacken ausgesetzt.

Die oben beschriebenen Angriffe auf Server mit Apache nutzen die Eigenschaften des Kernels und/oder der Daemons aus. Eine davon ist die funktionale Annahme des Kernels, dass TCP/IP-Pakete authentisch sein müssen, da sie andernfalls erst gar nicht angekommen wären. Doch mittlerweile sind gefälschte TCP/IP-Pakete einfacher zu erstellen und werden häufiger in Server-Attacken eingesetzt. Das Erschreckende an dieser Schwachstelle ist die Tatsache, dass auf dem Zielsystem keinerlei Anwendungen ausgeführt werden müssen, um den Angriff zum Erfolg zu führen.

Ein weiterer Schwachpunkt im Servercode besteht darin, dass die Funktionen zur Speicherzuweisung von gutwilligen Service-Anfragen ausgehen, um so die Funktionalität und Effizienz des Clients zu gewährleisten. Ein Apache-Server kann für eingehende Zuweisungsfallen anfällig sein, die durch künstliche Belegung der RAM-Ressourcen Host-to-Host-Ausfälle erzeugen.

Man kann sich vor all diesen Angriffen wie folgt schützen.

Abwehr von Host-to-Host-Attacken durch den Systemadministrator
Ein eingehender Header fordert den Apache-Server zur Zuweisung von Speicherressourcen für seine Anhänge auf. Da diese Zuweisung entsprechend eines standardmäßigen Minimums erfolgt, hat eine Flut von Header-Anfragen einen nicht-linearen Anstieg der Speicherbelegung zur Folge, was eventuell zu Ausfällen führt. Diese Art von Angriff ist weit verbreitet und schon längere Zeit im Umlauf.

Wenn man eine Apache-Version über v1.3.2 ausführt, gibt es eine Abwehrmöglichkeit hierfür. Es ist ganz einfach: Zur erfolgreichen Durchführung der oben genannten Host-to-Host-Attacke ist eine enorme Anzahl von Header-Anfragen an das System erforderlich, in der Größenordnung von mehreren Zehntausend. Die Lösung liegt daher in der MaxClients-Direktive, über die der Systemadministrator ein Maximum festlegen kann, so dass eine Host-to-Host-Attacke schon lange vor der Überlastung des Speichers unterbrochen wird.

Abwehr von sich selbst ausbreitenden Angriffen gegen Apache
Eine der am schwierigsten zu vermeidenden Angriffsmethoden ist die DDoS-Attacke (Distributed DoS). Wenn mehrere Rechner mit einem auf ein bestimmtes Apache-System gerichteten Angriffsprogramm infiziert sind, wird die Verteidigung zu einem Problem. Diese sich selbst ausbreitenden Angriffe sind enorm gefährlich, da sie ohne menschliches Zutun immer mehr Herkunftsrechner befallen.

Apache-Server sind besonders anfällig, sowohl für DDoS-Attacken als auch für die unerkannte Nutzung als Angriffsplattform. Das liegt ganz einfach daran, dass Apache überall verbreitet ist. Im Web befinden sich unzählige Apache-Server, so dass ein auf Apache spezialisierter Virus (insbesondere der SSL-Wurm) viele potenzielle Hosts findet. Große Bandbreiten sind heute allgemein verfügbar, weshalb ein Angreifer viel Raum für seine Manöver findet. Zudem sind Apache-Systeme meist sehr beständig und erfordern nur wenig Upgrades, weshalb das Umgehen eines solchen Problems nur mit viel Aufwand möglich ist.

Der angreifende Wurm installiert sich aufgrund eines Fehlers im Server-Code während der SSL-Prüfung auf einem Apache-Server. Der Angreifer hat einen gefälschten Schlüssel erstellt, auf den Apache mit einem Buffer-Overflow reagiert (im Falle von Servern mit Versionen von OpenSSL vor 0.9.6e). Der Angreifer kann dann einen bösartigen Code auf dem infizierten Rechner ausführen, wobei viele der entsprechenden Viren daraufhin eine DDoS-Attacke gegen ein bestimmtes Ziel ausführen. Da sich diese Würmer alleine ausbreiten und jeden zufällig passierten Apache-Server infizieren, kann ein riesiges feindliches Peer-to-Peer-Netzwerk entstehen, das bestimmte Server oder Netzwerke lahm legen will.

Wie kann man sich davor schützen? Nur durch ein Upgrade der verwendeten OpenSSL-Version auf 0.9.6e oder höher! Denn so funktioniert der als Auslöser fungierende falsche Schlüssel erst gar nicht und der Wurm kann keine Rechner für seinen Angriff benutzen oder in diese eindringen. Manche Antiviren-Programme können den SSL-Wurm zwar erkennen und blockieren, doch sollte man sich darauf nicht verlassen: Der Wurm kann jederzeit in seiner Form variieren, so dass ihn das Antiviren-Programm nicht mehr abfängt. Ein Neustart von Apache beseitigt solche Würmer zwar, doch ist damit kein Schutz vor späteren Infektionen gegeben.