Versions Compared

Old Version 2

changes.mady.by.user Talos-Zens Alexander

Saved on

compared with

New Version Current

changes.mady.by.user Patrick Pichler

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin
HTML
Wiki Markup
{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html}

Table of Contents
maxLevel3
minLevel2
styleflat

...

Hier wird eine Klasse von DoS-Angriffen beschrieben, die verschiene Services auf ähnliche Art ausnutzen. Die zugehörigen Schwachstellen werden im ACOnet-CERT als selbständige Vulnerabilities behandelt:

Beschreibung der Schwachstelle

 

Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.

...

Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.

GegenmaßnahmenGegenmaßnahmen bei Servern

 Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.

  • durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
  • Rate-Limit einführen, vorzugsweise per host.

Präventive Gegenmaßnahmen als Netzbetreiber

Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.

...