| Wiki Markup |
|---|
{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html} |
| Table of Contents | ||||||
|---|---|---|---|---|---|---|
|
Amplified UDP reflection attack
Kurzinfo
Hier wird eine Klasse von DoS-Angriffen beschrieben, die verschiene Services auf ähnliche Art ausnutzen. Die zugehörigen Schwachstellen werden im ACOnet-CERT als selbständige Vulnerabilities behandelt:
Beschreibung der Schwachstelle
Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.
Die Schwachstelle entsteht, wenn ein Server auf UDP-Anfragen antwortet, wobei
- die Antwort größer ist, als die Anfrage (amplification)
- auch Anfragen von gefälschten IP-Adressen beantwortet werden.
Das UDP-Protokoll sieht, im Gegensatz zu TCP, keinen Verbindungsaufbau vor. Dadurch ist nicht ohne weiteres erkennbar, wenn eine Anfrage an einen UDP-Server eine gefälschte Source-Adresse aufweist. Diese Eigenschaft wird folgendermaßen ausgenutzt: Ein Angreifer sendet ein verhältnismäßig kleines Anfrage-Packet an den verwundbaren Server und setzt dabei als Source-Adresse die seines Opfers ein.
Der Server sendet seine Antwort an den vermeintlichen Absender, tatsächlich also an das Opfer.
Verlauf des Angriffs
Der Angreifer sendet für seinen DoS-Angriff so viele Anfrage-Pakete wie möglich an eine große Zahl verwundbarer Server. Das bedeutet:
- der Empfänger sieht nicht die IP-Adresse des Angreifers, sondern die einer unhandhabbar großen Zahl von verwundbaren Servern
- ein gezieltes Vorgehen gegen den Angreifer ist dadurch schwierig oder unmöglich – besonders, wenn sich der Angreifer eines Botnets bedient
- die Datenmenge, die das Opfer erreicht, ist ein Vielfaches dessen, was der Angreifer versendet hat.
Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.
Gegenmaßnahmen bei Servern
Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.
- durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
- Rate-Limit einführen, vorzugsweise per host.
Präventive Gegenmaßnahmen als Netzbetreiber
Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.
Erfahrungen
Bisher keine niedergeschrieben.