Categories: FirewallSicherheit

DDoS gegen Firewalls

Verstärkungsangriffe sind nichts Neues und haben Angreifern schon geholfen, Server mit kurzen Verkehrsstößen von bis zu 3,47 Terabytes pro Sekunde (Tbps) lahm zu legen. Microsoft hat im vergangenen Jahr Angriffe dieser Größenordnung abgewehrt, die auf den Wettbewerb zwischen Online-Gaming-Anbietern zurückzuführen waren.

Aber es gibt einen neuen Angriff am Horizont. Akamai berichtet, dass es in letzter Zeit eine Welle von Angriffen mit „TCP Middlebox Reflection“ beobachtet hat, die sich auf das Transmission Control Protocol (TCP) bezieht – ein grundlegendes Protokoll für die sichere Kommunikation im Internet zwischen vernetzten Maschinen. Die Angriffe erreichten laut Akamai 11 Gigabyte pro Sekunde (Gbps) bei 1,5 Millionen Packets pro Sekunde (Mpps).

Die Verstärkungstechnik wurde im August letzten Jahres in einer Forschungsarbeit enthüllt, die zeigte, dass Angreifer Middleboxen wie Firewalls über TCP missbrauchen können, um Denial-of-Service-Angriffe zu verstärken.

Die meisten DDoS-Angriffe missbrauchen das User Datagram Protocol (UDP), um die Packet Zustellung zu verstärken, indem sie im Allgemeinen Packets an einen Server senden, der mit einer größeren Packet Zahl antwortet, die dann an das vom Angreifer beabsichtigte Ziel weitergeleitet wird.

Der TCP-Angriff nutzt die Vorteile von Netzwerk-Middleboxen, die nicht dem TCP-Standard entsprechen. Die Forscher fanden Hunderttausende von IP-Adressen, die Angriffe mit Hilfe von Firewalls und Inhaltsfiltern um das Hundertfache verstärken können. Was also vor acht Monaten noch ein theoretischer Angriff war, ist jetzt eine reale und aktive Bedrohung.

„Die Middlebox-DDoS-Verstärkung ist eine völlig neue Art von TCP-Reflexions-/Verstärkungsangriff, der eine Gefahr für das Internet darstellt. Dies ist das erste Mal, dass wir diese Technik in freier Wildbahn beobachtet haben“, heißt es in einem Blogpost von Akamai.

Firewalls und ähnliche Middlebox-Geräte von Herstellern wie Cisco, Fortinet, SonicWall und Palo Alto Networks sind wichtige Bestandteile der Netzwerkinfrastruktur von Unternehmen. Einige Middleboxen validieren jedoch den TCP-Stream-Status nicht richtig, wenn sie Richtlinien zur Inhaltsfilterung durchsetzen.

„Diese Middleboxen können dazu gebracht werden, auf TCP-Pakete zu antworten, die sich nicht im richtigen Zustand befinden. Diese Antworten enthalten oft Inhalte, mit denen Client-Browser gekapert werden, um zu verhindern, dass die Benutzer zu den blockierten Inhalten gelangen. Diese fehlerhafte TCP-Implementierung kann wiederum von Angreifern missbraucht werden, um TCP-Verkehr, einschließlich Datenströme, an DDoS-Opfer weiterzuleiten“, erklärt Akamai.

Angreifer können diese Boxen missbrauchen, indem sie die Quell-IP-Adresse des beabsichtigten Opfers fälschen, um den Antwortverkehr von den Middleboxen zu leiten.

Bei TCP verwenden die Verbindungen das Synchronization Flag (SYN), um Schlüsselnachrichten für einen Drei-Wege-Handshake auszutauschen. Die Angreifer missbrauchen die TCP-Implementierung in einigen Middelboxen, so dass diese unerwartet auf SYN-Paketnachrichten reagieren. In einigen Fällen beobachtete Akamai, dass ein einzelnes SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte erzeugte, was seine Größe um mehr als das 65-fache (6.533 %) vergrößerte.

Jakob Jung

Recent Posts

gamescom – Zentralevent für die Unterhaltungsindustrie

Die Spielemesse gamescom ist das weltgrößte Event rund um Computer- und Videospiele und Europas größte…

32 Minuten ago

Google will Linux-Kernel besser schützen

Google erhöht die Prämien für Bug-Hunter in seinem Programm kCTF, das sich auf Zero-Day-Schwachstellen im…

4 Stunden ago

Rechenzentren schwitzen

Steigende Temperaturen und hohe Stromrechnungen bringen Rechenzentren an ihre Grenzen, erklärt Markus Grau, Principal Technology…

5 Stunden ago

FBI warnt vor Zeppelin Ransomware-Bande

Zeppelin ist ein gut organisierter Ransomware-Akteur, der zwei Wochen damit verbringt, ein Netzwerk zu kartieren,…

5 Stunden ago

Risiken durch Partner und Lieferanten

Kein Unternehmen steht allein, sondern operiert in einem Ökosystem mit Kunden, Partnern und Lieferanten. Deswegen…

5 Stunden ago

CyberGhost VPN 2022: Deutschlands fairster VPN-Anbieter? (+Exklusivdeal)

Einer der ältesten und erfahrensten VPN-Anbieter ist seit über 15 Jahren CyberGhost VPN. Wieso jener…

3 Tagen ago