Child pages
  • Amplified UDP reflection attack
Skip to end of metadata
Go to start of metadata

Amplified UDP reflection attack

Kurzinfo

Hier wird eine Klasse von DoS-Angriffen beschrieben, die verschiene Services auf ähnliche Art ausnutzen. Die zugehörigen Schwachstellen werden im ACOnet-CERT als selbständige Vulnerabilities behandelt:

Beschreibung der Schwachstelle

 

Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.

Die Schwachstelle entsteht, wenn ein Server auf UDP-Anfragen antwortet, wobei

  • die Antwort größer ist, als die Anfrage (amplification)
  • auch Anfragen von gefälschten IP-Adressen beantwortet werden.

Das UDP-Protokoll sieht, im Gegensatz zu TCP, keinen Verbindungsaufbau vor. Dadurch ist nicht ohne weiteres erkennbar, wenn eine Anfrage an einen UDP-Server eine gefälschte Source-Adresse aufweist. Diese Eigenschaft wird folgendermaßen ausgenutzt: Ein Angreifer sendet ein verhältnismäßig kleines Anfrage-Packet an den verwundbaren Server und setzt dabei als Source-Adresse die seines Opfers ein.

Der Server sendet seine Antwort an den vermeintlichen Absender, tatsächlich also an das Opfer.

Verlauf des Angriffs

Der Angreifer sendet für seinen DoS-Angriff so viele Anfrage-Pakete wie möglich an eine große Zahl verwundbarer Server. Das bedeutet:

  • der Empfänger sieht nicht die IP-Adresse des Angreifers, sondern die einer unhandhabbar großen Zahl von verwundbaren Servern
  • ein gezieltes Vorgehen gegen den Angreifer ist dadurch schwierig oder unmöglich – besonders, wenn sich der Angreifer eines Botnets bedient
  • die Datenmenge, die das Opfer erreicht, ist ein Vielfaches dessen, was der Angreifer versendet hat.

Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.

Gegenmaßnahmen bei Servern

 Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.

  • durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
  • Rate-Limit einführen, vorzugsweise per host.

Präventive Gegenmaßnahmen als Netzbetreiber

Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.

Erfahrungen

Bisher keine niedergeschrieben.

  • No labels