DDoS gegen Firewalls

Verstärkungsangriffe sind nichts Neues und haben Angreifern schon geholfen, Server mit kurzen Verkehrsstößen von bis zu 3,47 Terabytes pro Sekunde (Tbps) lahm zu legen. Microsoft hat im vergangenen Jahr Angriffe dieser Größenordnung abgewehrt, die auf den Wettbewerb zwischen Online-Gaming-Anbietern zurückzuführen waren.

Aber es gibt einen neuen Angriff am Horizont. Akamai berichtet, dass es in letzter Zeit eine Welle von Angriffen mit „TCP Middlebox Reflection“ beobachtet hat, die sich auf das Transmission Control Protocol (TCP) bezieht – ein grundlegendes Protokoll für die sichere Kommunikation im Internet zwischen vernetzten Maschinen. Die Angriffe erreichten laut Akamai 11 Gigabyte pro Sekunde (Gbps) bei 1,5 Millionen Packets pro Sekunde (Mpps).

Die Verstärkungstechnik wurde im August letzten Jahres in einer Forschungsarbeit enthüllt, die zeigte, dass Angreifer Middleboxen wie Firewalls über TCP missbrauchen können, um Denial-of-Service-Angriffe zu verstärken.

Die meisten DDoS-Angriffe missbrauchen das User Datagram Protocol (UDP), um die Packet Zustellung zu verstärken, indem sie im Allgemeinen Packets an einen Server senden, der mit einer größeren Packet Zahl antwortet, die dann an das vom Angreifer beabsichtigte Ziel weitergeleitet wird.

Der TCP-Angriff nutzt die Vorteile von Netzwerk-Middleboxen, die nicht dem TCP-Standard entsprechen. Die Forscher fanden Hunderttausende von IP-Adressen, die Angriffe mit Hilfe von Firewalls und Inhaltsfiltern um das Hundertfache verstärken können. Was also vor acht Monaten noch ein theoretischer Angriff war, ist jetzt eine reale und aktive Bedrohung.

„Die Middlebox-DDoS-Verstärkung ist eine völlig neue Art von TCP-Reflexions-/Verstärkungsangriff, der eine Gefahr für das Internet darstellt. Dies ist das erste Mal, dass wir diese Technik in freier Wildbahn beobachtet haben“, heißt es in einem Blogpost von Akamai.

Firewalls und ähnliche Middlebox-Geräte von Herstellern wie Cisco, Fortinet, SonicWall und Palo Alto Networks sind wichtige Bestandteile der Netzwerkinfrastruktur von Unternehmen. Einige Middleboxen validieren jedoch den TCP-Stream-Status nicht richtig, wenn sie Richtlinien zur Inhaltsfilterung durchsetzen.

„Diese Middleboxen können dazu gebracht werden, auf TCP-Pakete zu antworten, die sich nicht im richtigen Zustand befinden. Diese Antworten enthalten oft Inhalte, mit denen Client-Browser gekapert werden, um zu verhindern, dass die Benutzer zu den blockierten Inhalten gelangen. Diese fehlerhafte TCP-Implementierung kann wiederum von Angreifern missbraucht werden, um TCP-Verkehr, einschließlich Datenströme, an DDoS-Opfer weiterzuleiten“, erklärt Akamai.

Angreifer können diese Boxen missbrauchen, indem sie die Quell-IP-Adresse des beabsichtigten Opfers fälschen, um den Antwortverkehr von den Middleboxen zu leiten.

Bei TCP verwenden die Verbindungen das Synchronization Flag (SYN), um Schlüsselnachrichten für einen Drei-Wege-Handshake auszutauschen. Die Angreifer missbrauchen die TCP-Implementierung in einigen Middelboxen, so dass diese unerwartet auf SYN-Paketnachrichten reagieren. In einigen Fällen beobachtete Akamai, dass ein einzelnes SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte erzeugte, was seine Größe um mehr als das 65-fache (6.533 %) vergrößerte.