Denial-Of-Service Angriffe nutzen prinzipielle Schwächen der TCP/IP-Protokolle sowie fehlerhafte Implementationen aus.
- Zu den Angriffen, die prinzipielle Schwächen ausnutzen, gehören z. B. SYN-Flood und Smurf.
- Zu den Angriffen, die fehlerhafte Implementationen zum Ziel haben, gehören alle Angriffe, die mit fehlerhaft fragmentierten Paketen operieren (z. B. Teardrop) oder mit gefälschten Absenderadressen arbeiten (z. B. Land).
Ihr Gerät erkennt die meisten dieser Angriffe und kann mit gezielten Gegenmaßnahmen reagieren. Für diese Erkennung wird die Anzahl der Verbindungen ermittelt, die sich noch in Verhandlung befinden (halboffene Verbindungen). Überschreitet die Anzahl der halboffenen Verbindungen einen Schwellenwert, geht das Gerät von einem DoS-Angriff aus. Die dann resultierenden Aktionen und Maßnahmen können wie bei Firewall-Regeln definiert werden.
Anmerkung: Für Zentralgeräte befinden sich aufgrund der zumeist höheren Anzahl der angeschlossenen
Benutzer auch ohne DoS-Angriff eine große Zahl von Verbindungen im halboffenen Zustand. Aus
diesem Grund verwenden diese Geräte einen höheren Standard-Schwellenwert für die Erkennung der
DoS-Angriffe.
LANconfig:
Konsole:
- Maximalzahl halboffene VerbindungenLegen Sie hier fest, ab welcher Anzahl von
halboffenen Verbindungen die Aktionen zur Abwehr von DoS-Angriffen ausgelöst werden
sollen.
Mögliche Werte:
- 0 bis 9999
- 100
- 1000 für Zentralgeräte
