Op een conferentie in de Verenigde Staten spraken afgevaardigden van Cisco, ZDNet en Stanford University over de aanvallen die een website genadeloos plat kunnen leggen. Cisco was vorig jaar oktober het slachtoffer, ZDNet in februari. De computers van de Stanford Universiteit werden gebruikt voor een grote aanval op eBay. Voorkomen is een lastige zaak, vinden alle panelleden. Het zou makkelijker zijn als alle netwerkbeheerders een zogenoemd RFC2267 filter zouden installeren op de I/O interfaces van hun netwerk. Dan wordt het moeilijker om aanvallen uit te voeren met vervalste of gemaskerde IP-adressen. Met zo'n filter wordt ieder datapakketje dat de router verlaat gecontroleerd. Het pakketje moet een bepaald adres bevatten, anders wordt het niet doorgestuurd. Machines kunnen dan niet meer door hackers worden gebruikt in een netwerk van computers voor een DoS-aanval. De sprekers op de conferentie zouden graag zien dat alle internetaanbieders dergelijke filters installeren. Cisco was voorbereid toen haar website werd aangevallen in oktober vorig jaar. "We hadden onze ISP geïnstrueerd de hoeveelheid ICMP-verkeer te beperken", aldus Eliot Lears van Cisco. Het Internet Control Messaging Protocol (ICMP) wordt gebruikt voor zogenoemde 'smurf-attacks'. Log Stanford University houdt al het verkeer op haar netwerk bij. Gelukkig maar, want de autoriteiten willen na aanvallen ogenblikkelijk alle logbestanden zien. "De autoriteiten zijn goed voorbereid, maar je moet ze een zaak geven die ze kunnen vervolgen. Ze hebben de logs nodig", zegt David Brumley van Stanford University. Volgens Brumley zijn er nog steeds veel systemen waarop geen logs worden bijgehouden. Dat maakt het traceren van de aanvaller moeilijker. Bovendien weigeren veel internetproviders de datapakketten te traceren, behalve als het een grootschalige aanval betreft. ZDNet denkt met angst en beven terug aan de dag dat haar site werd lamgelegd. De server werd belast met twee keer de maximale datahoeveelheid. De site was bijna drie uur onbereikbaar. "Toen de aanvaller besloot dat het voldoende was, was de aanval over", aldus een nog steeds machteloze ZDNet-medewerker. Tips Een aantal tips voor sitebeheerders: Houd het netwerk in de gaten om er zeker van te zijn dat machines niet in stelling worden gebracht voor een DoS-aanval. Gebruik meerdere ISP's op diverse plekken in de wereld om over te kunnen schakelen als er een aanval plaatsvindt. Schakel IP-aangestuurde verzendmogelijkheden uit, deze kunnen worden gebruikt om een andere site plat te leggen. Eerdere relevante berichten: Hackers brengen netwerk in stelling voor cyberaanval (13 juni 2000) Meest gebruikte Firewall gevoelig voor DoS-aanvallen (08 juni 2000) G8 bespreekt maatregelen tegen online criminaliteit (15 mei 2000) Canadezen arresteren tiener voor DoS-aanvallen (19 april 2000)