BitTorrent schließt potenzielle DRDoS-Schwachstelle
Durch eine Schwäche in der Implementierung des von BitTorrent genutzten Micro Transport Protokolls hätten Angreifer die Möglichkeit gehabt, ihre DoS-Angriffe um ein vielfaches zu verstärken.
- Julia Schmidt
Eine Reihe von BitTorrent-Protokollen nutzt die Bibliothek libuTP, da sie es ermöglicht, Überlastungen des Netzwerks zu erkennen und den Verkehr in dem Fall automatisch drosselt. Nun stellten Forscher allerdings fest, dass eine Schwäche in der Implementierung des Umgangs mit eingehenden Anfragen Angreifern die Möglichkeit gibt, Clients ohne deren Wissen als Reflektoren für DRDoS-Attacken einzusetzen. Ein Sprecher des Unternehmens wies allerdings darauf hin, dass ein Ausnutzen der Schwachstelle vor deren Meldung noch nicht vorgekommen war.
In Distributed-Reflective-Denial-of-Service-Angriffen wird der Traffic nicht direkt an das Opfer geleitet, sondern der Initiator schickt ihn erst an sogenannte Verstärker, die ihn dann an das Ziel weiterleiten. Werden genug Reflektoren eingesetzt, verdrängen die darüber geleiteten Anfragen nach einer Weile die regulären, und der angesprochene Server wirkt offline.
BitTorrent gab 2008 bekannt, statt TCP das Micro Transport Protocol µTP einsetzen zu wollen, das in libuTP implementiert ist und auf dem User Datagram Protocol aufsetzt. UDP ist ein verbindungsloses Protokoll, das keine Garantie dafür gibt, dass ein Paket ankommt oder die empfangenen Pakete in der Reihenfolge beim Empfänger eintreffen, in der sie verschickt wurden. Angreifer können nach Manipulation der Quelladresse in einem UDP-Paket einem Reflektor vortäuschen, er hätte eine Verbindungsanfrage vom Server, der angegriffen werden soll. Der Reflektor schickt dann eine Bestätigung der Verbindung (ACK) an den Zielserver. Normalerweise würde er erst dann weitere Daten senden, wenn das nächste Paket die eben gesendete ACK-Nummer enthält, die nur der wirkliche Zielserver kennen kann.
Durch die Schwachstelle in der Implementierung nahm der Reflektor aber jede beliebige Bestätigungsnummer an. So hätten Angreifer ihn einfach dazu veranlassen können, Daten an den Zielserver zu schicken, ohne dass er sie angefragt hätte. Nach der Änderung soll der Reflektor erst in einen verbundenen Zustand übergehen, wenn die richtige ACK-Nummer zurückgeliefert wird. Der Ansatz geht von der Annahme aus, dass ein Angreifer nicht genug Werte erraten kann, um eine schwerwiegende Attacke zu fahren. (jul)
