...
Beschreibung der Schwachstelle
Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.
...
Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.
GegenmaßnahmenGegenmaßnahmen bei Servern
Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.
- durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
- Rate-Limit einführen, vorzugsweise per host.
Präventive Gegenmaßnahmen als Netzbetreiber
Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.
...