Versions Compared

Old Version 1

changes.mady.by.user Talos-Zens Alexander

Saved on

compared with

New Version Current

changes.mady.by.user Patrick Pichler

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin
HTML
Wiki Markup
{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html}

Table of Contents
maxLevel3
minLevel2
styleflat

...

Hier wird eine Klasse von DoS-Angriffen beschrieben, die verschiene Services auf ähnliche Art ausnutzen. Die zugehörigen Schwachstellen werden im ACOnet-CERT als selbständige Vulnerabilities behandelt:

Beschreibung der Schwachstelle

 

Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.

Die Schwachstelle entsteht, wenn ein Server auf UDP-Anfragen antwortet, wobei

  • die Antwort größer ist, als die Anfrage (amplification)
  • auch Anfragen von gefälschten IP-Adressen beantwortet werden.

Die Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.

Das UDP-Protokoll sieht, im Gegensatz zu TCP, keinen Verbindungsaufbau vor. Dadurch ist nicht ohne weiteres erkennbar, wenn eine Anfrage an einen UDP-Server eine gefälschte Source-Adresse aufweist. Diese Eigenschaft wird folgendermaßen ausgenutzt: Ein Angreifer sendet ein verhältnismäßig kleines Anfrage-Packet an den verwundbaren Server und setzt dabei als Source-Adresse die seines Opfers ein.

Image Modified

Der Server sendet seine Antwort an den vermeintlichen Absender, tatsächlich also an das Opfer.

Image Modified

Verlauf des Angriffs

Der Angreifer sendet für seinen DoS-Angriff so viele Anfrage-Pakete wie möglich an eine große Zahl verwundbarer Server. Das bedeutet:

...

Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.

Gegenmaßnahmen bei Servern

 Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.

  • durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
  • Rate-Limit einführen, vorzugsweise per host.

Präventive Gegenmaßnahmen als Netzbetreiber

Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.

Erfahrungen

Bisher keine niedergeschrieben.