<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>

Amplified UDP reflection attack

Kurzinfo

Hier wird eine Klasse von DoS-Angriffen beschrieben, die verschiene Services auf ähnliche Art ausnutzen. Die zugehörigen Schwachstellen werden im ACOnet-CERT als selbständige Vulnerabilities behandelt:

Beschreibung der Schwachstelle

Die hier beschriebene Schwachstelle unterscheidet sich insofern von anderen, als kein Programmfehler im engeren Sinn vorliegt. Vielmehr wird eine unsichere - historisch gesehen übliche, heute aber nicht mehr tragbare - Konfiguration ausgenützt.

Die Schwachstelle entsteht, wenn ein Server auf UDP-Anfragen antwortet, wobei

die Antwort größer ist, als die Anfrage (amplification)
auch Anfragen von gefälschten IP-Adressen beantwortet werden.

Das UDP-Protokoll sieht, im Gegensatz zu TCP, keinen Verbindungsaufbau vor. Dadurch ist nicht ohne weiteres erkennbar, wenn eine Anfrage an einen UDP-Server eine gefälschte Source-Adresse aufweist. Diese Eigenschaft wird folgendermaßen ausgenutzt: Ein Angreifer sendet ein verhältnismäßig kleines Anfrage-Packet an den verwundbaren Server und setzt dabei als Source-Adresse die seines Opfers ein.

IT-Security / ACOnet-CERT > Amplified UDP reflection attack > Folie2.png

Der Server sendet seine Antwort an den vermeintlichen Absender, tatsächlich also an das Opfer.

IT-Security / ACOnet-CERT > Amplified UDP reflection attack > Folie3.png

Verlauf des Angriffs

Der Angreifer sendet für seinen DoS-Angriff so viele Anfrage-Pakete wie möglich an eine große Zahl verwundbarer Server. Das bedeutet:

der Empfänger sieht nicht die IP-Adresse des Angreifers, sondern die einer unhandhabbar großen Zahl von verwundbaren Servern
ein gezieltes Vorgehen gegen den Angreifer ist dadurch schwierig oder unmöglich – besonders, wenn sich der Angreifer eines Botnets bedient
die Datenmenge, die das Opfer erreicht, ist ein Vielfaches dessen, was der Angreifer versendet hat.

Im Ergebnis wird von Angriffen im Ausmaß von mehreren hundert GBit/s berichtet, die wegen der Vielzahl von beteiligten IP-Adressen nicht durch Filterlisten mitigierbar sind.

Gegenmaßnahmen bei Servern

Grundsätzlich sind praktisch alle Server betroffen, die UDP-basierte Dienste anbieten.

durch Firewalling oder Konfiguration sicherstellen, dass nur Anfragen aus dem eigenen Netz beantwortet werden
Rate-Limit einführen, vorzugsweise per host.

Präventive Gegenmaßnahmen als Netzbetreiber

Netzbetreiber sind aufgerufen zu verhindern, dass sie selbst Ausgangspunkt einer Amplified UDP reflection attack werden. Dazu ist zu verhindern, dass IP-Pakete mit gefälschter (konkret: fremder) Source-Adresse das Netz verlassen. Dies wird im Best-Current-Practice-Doukument BCP 38 – Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing beschrieben.

Erfahrungen

Bisher keine niedergeschrieben.