Loop DoS: Verschiedene Netzwerkdienste leiden unter Protokoll-Endlosschleife
Unter den Diensten, die Sicherheitsforscher als Gefahr identifiziert haben, sind auch solche aus der Frühzeit des Internets. Nun sind Netzwerk-Admins gefragt.
(Bild: Photon photo/Shutterstock.com)
Mit einer neuen Variante bekannter Spoofing-Angriffe können Bösewichte anfällige Netzwerkdienste in eine Kommunikations-Endlosschleife schicken und so einen verteilten Denial-of-Service-Angriff (dDoS) verursachen. Das haben Wissenschaftler des Forschungszentrums CISPA herausgefunden. Sie schätzen, dass bis zu 300.000 Server über das Internet angreifbar sind; viele der verwundbaren Dienste entstammen jedoch längst vergangenen Internet-Zeiten.
Das Grundprinzip des "Loop DoS" ist simpel: Ein Angreifer macht sich den verbindungslosen Charakter von UDP zunutze und schickt eine speziell präparierte Nachricht mit gefälschter Absenderadresse B an einen angreifbaren Server A, das spätere Opfer. Dieser adressiert seine Antwort an B, welcher wiederum antwortet. Findet der Angreifer eine Protokollnachricht, die eine endlose Kette von Antworten provoziert, so kommunizieren beide Server endlos lange miteinander, was Ressourcen bindet.
(Bild: C. Rossow, E. Pan / CISPA)
Um dieses Verhalten zu einer ausgewachsenen dDoS-Attacke aufzubohren, benötigt der Bösewicht weitere fehlerhafte Server, denen er gefälschte Nachrichten von Server A unterschiebt. So kann er die Netzressourcen aller Beteiligten über Gebühr beanspruchen und mit genug Aufwand auch ausschöpfen. Anders als etwa bei Verstärkungsangriffen müssen nicht wiederholt neue Nachrichten an die Opfer versandt werden.
Blast from the past: Anfällige Uralt-Protokolle
Die Forscher des Helmholtz-Zentrums CISPA fanden verschiedene UDP-basierte Protokolle, mit denen sie Endlosschleifen erzeugen konnten: Neben den aktuell noch vielgenutzten Protokollen DNS, NTP (Network Time Protocol) und TFTP (Trivial File Transfer Protocol), das häufig zum Booten von Servern übers Netzwerk im Gebrauch ist, sind das aber auch längst verlorengeglaubte Klassiker wie Daytime, QOTD (Quote of the Day) und die DoS-Dauerverdächtigen Chargen und Echo. Viele dieser Protokolle werden wegen ihres hohen Missbrauchspotentials nur noch selten eingesetzt, die Loop-DoS-Entdecker sehen dennoch ein Potential für mehrere Hunderttausend dDoS-Drohnen.
Anfällig sind jedoch nicht alle DNS-, NTP- und TFTP-Server, sondern nur bestimmte Implementationen. So nennen die Forscher den relativ unbekannten DNS-Proxy "dproxy-nexgen" und ältere Versionen von ntpd vor 4.2.5. Letzterer ist dennoch weitverbreitet: Die IoT-Suchmaschine Shodan findet über 60.000 IP-Adressen mit ntpd in einer Version zwischen 4.2.0 und 4.2.4. Es bleibt trotzdem abzuwarten, ob das durch die CISPA-Forscher skizzierte Bedrohungsszenario sich als realistisch erweist.
Auf ihrer Github-Seite stellen die Wissenschaftler ein Python-Skript bereit, das Netzwerkadministratoren und Softwarehersteller für einen schnellen Verwundbarkeitstest nutzen können. Sie empfehlen Netzadmins außerdem, anfällige Protokolle zu filtern und verdächtige Kommunikation zu unterbinden.
dDoS-Angriffe gehören zu den größten Gefahren für Internet-Dienste. Derzeit sind verschiedene Angebote der französischen Regierung unter Beschuss der kriminellen Gruppierung "Anonymous Sudan". Diese haben jedoch weder mit dem Aktivisten-Kollektiv Anonymous noch mit dem Sudan viel zu tun, sondern handeln im Einklang mit russischen Interessen.
(cku)
