Categories: FirewallSicherheit

DDoS gegen Firewalls

Verstärkungsangriffe sind nichts Neues und haben Angreifern schon geholfen, Server mit kurzen Verkehrsstößen von bis zu 3,47 Terabytes pro Sekunde (Tbps) lahm zu legen. Microsoft hat im vergangenen Jahr Angriffe dieser Größenordnung abgewehrt, die auf den Wettbewerb zwischen Online-Gaming-Anbietern zurückzuführen waren.

Aber es gibt einen neuen Angriff am Horizont. Akamai berichtet, dass es in letzter Zeit eine Welle von Angriffen mit „TCP Middlebox Reflection“ beobachtet hat, die sich auf das Transmission Control Protocol (TCP) bezieht – ein grundlegendes Protokoll für die sichere Kommunikation im Internet zwischen vernetzten Maschinen. Die Angriffe erreichten laut Akamai 11 Gigabyte pro Sekunde (Gbps) bei 1,5 Millionen Packets pro Sekunde (Mpps).

Die Verstärkungstechnik wurde im August letzten Jahres in einer Forschungsarbeit enthüllt, die zeigte, dass Angreifer Middleboxen wie Firewalls über TCP missbrauchen können, um Denial-of-Service-Angriffe zu verstärken.

Die meisten DDoS-Angriffe missbrauchen das User Datagram Protocol (UDP), um die Packet Zustellung zu verstärken, indem sie im Allgemeinen Packets an einen Server senden, der mit einer größeren Packet Zahl antwortet, die dann an das vom Angreifer beabsichtigte Ziel weitergeleitet wird.

Der TCP-Angriff nutzt die Vorteile von Netzwerk-Middleboxen, die nicht dem TCP-Standard entsprechen. Die Forscher fanden Hunderttausende von IP-Adressen, die Angriffe mit Hilfe von Firewalls und Inhaltsfiltern um das Hundertfache verstärken können. Was also vor acht Monaten noch ein theoretischer Angriff war, ist jetzt eine reale und aktive Bedrohung.

„Die Middlebox-DDoS-Verstärkung ist eine völlig neue Art von TCP-Reflexions-/Verstärkungsangriff, der eine Gefahr für das Internet darstellt. Dies ist das erste Mal, dass wir diese Technik in freier Wildbahn beobachtet haben“, heißt es in einem Blogpost von Akamai.

Firewalls und ähnliche Middlebox-Geräte von Herstellern wie Cisco, Fortinet, SonicWall und Palo Alto Networks sind wichtige Bestandteile der Netzwerkinfrastruktur von Unternehmen. Einige Middleboxen validieren jedoch den TCP-Stream-Status nicht richtig, wenn sie Richtlinien zur Inhaltsfilterung durchsetzen.

„Diese Middleboxen können dazu gebracht werden, auf TCP-Pakete zu antworten, die sich nicht im richtigen Zustand befinden. Diese Antworten enthalten oft Inhalte, mit denen Client-Browser gekapert werden, um zu verhindern, dass die Benutzer zu den blockierten Inhalten gelangen. Diese fehlerhafte TCP-Implementierung kann wiederum von Angreifern missbraucht werden, um TCP-Verkehr, einschließlich Datenströme, an DDoS-Opfer weiterzuleiten“, erklärt Akamai.

Angreifer können diese Boxen missbrauchen, indem sie die Quell-IP-Adresse des beabsichtigten Opfers fälschen, um den Antwortverkehr von den Middleboxen zu leiten.

Bei TCP verwenden die Verbindungen das Synchronization Flag (SYN), um Schlüsselnachrichten für einen Drei-Wege-Handshake auszutauschen. Die Angreifer missbrauchen die TCP-Implementierung in einigen Middelboxen, so dass diese unerwartet auf SYN-Paketnachrichten reagieren. In einigen Fällen beobachtete Akamai, dass ein einzelnes SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte erzeugte, was seine Größe um mehr als das 65-fache (6.533 %) vergrößerte.

ZDNet.de Redaktion

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

3 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

3 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

5 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

6 Stunden ago