Radware warnt vor neuen Denial-of-Service-Attacken

Flooding-Angriffe mit „TCP Reflection“

Im Laufe des Jahres 2019 haben das „Threat Research Center“ (TRC) und das „Emergency Response Team“ (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt.

Bildquelle: Pixabay

Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichtsahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt.

Der Denial-of-Service-Angriff verwendet den Verbindungsaufbau des Transportprotokolls (Transmission Control Protocol, TCP), um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen. Genutzt wird dazu der normale Verbindungsaufbau über TCP: Der Client, der über TCP eine Verbindung aufbauen will, sendet dem Server ein SYN-Paket. Der Server empfängt das Paket und stimmt dem Verbindungsaufbau zu, indem er ein SYN/ACK-Paket zurückschickt (ACK von „Acknowledgement”‚ Bestätigung‘). Der Client bestätigt den Erhalt des SYN/ACK-Pakets durch das Senden eines eigenen ACK-Pakets. Damit ist die Verbindung etabliert.

Der SYN/ACK-Mechanismus

Angriffe wie die SYN/ACK-Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Das war hauptsächlich auf die falsche Annahme zurückzuführen, dass sie im Vergleich zu Angriffen über das „User Datagram Protocol“ (UDP) nicht genügend Verstärkung erzeugen könnten, denn im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite. Daher ist die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird.

Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten möglichst viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren. In den letzten zwei Jahren beobachtet Radware ein stetiges Wachstum dieser TCP-Reflection-Angriffe. Bei solchen Reflection-Attacken sendet ein Angreifer eine Flut gefälschter SYN-Pakete, bei dem die ursprüngliche Quell-IP durch die IP-Adresse des Opfers ersetzt wird, an eine Vielzahl von zufälligen oder vorselektierten Reflection-IP-Adressen.

Die Server an den Reflection-Adressen antworten ja ganz normal mit einem SYN/ACK-Paket an das Opfer des Angriffs und erwarten von dort ein ACK, das den 3-Wege-Handshake von TCP komplettiert und die Verbindung etabliert. Dieses ACK kommt jedoch nicht, da das Opfer die Verbindung ja gar nicht initiiert hat.

Überflutung des Opfers

In der Regel sendet der Reflection-Server daraufhin eine, je nach Konfiguration unterschiedliche, Anzahl weiterer SYN-ACK-Pakete an das Opfer, die den Angriff verstärken. Der Verstärkungsfaktor liegt dabei typischerweise zwischen 20 und 100, d.h. für jedes Paket, das der Angreifer an den Reflector schickt, sendet dieser 20 bis 100 an das eigentliche Opfer.

In Einzelfällen sind jedoch auch Reflektoren zu beobachten, die statt einer relativ geringen Zahl von SYN-ACKs bis zu 80.000 RST-Pakete senden, um die Verbindung zu beenden – mit entsprechenden Auswirkungen auf das Opfer. Laut Protokoll wird dieses Reset-Flag verwendet, wenn eine Verbindung abgebrochen werden soll. Dies geschieht zum Beispiel bei technischen Problemen oder zur Abweisung unerwünschter Verbindungen (wie etwa nicht geöffneten Ports, hier wird – anders als bei UDP – kein ICMP-Paket mit „Port Unreachable“ verschickt).

Reflektoren mit SYN-Paketen geflutet

Da die Reflektoren mit SYN-Paketen geflutet werden, sehen sie sich in der Regel zunächst selbst als das Ziel einer SYN-Flut, die allerdings von einer vertrauenswürdigen Absenderadresse ausgeht. Entsprechende Meldungen an die einschlägigen Betreiber von Blacklists können dann dazu führen, dass das eigentliche Ziel des Angriffs sogar noch geblacklisted wird – was die DoS-Attacke besonders wirkungsvoll macht. Radware empfiehlt daher, vor einem Blacklisting die Herkunft der SYN-Pakete eindeutig zu klären, um den Opfern von Angriffen nicht noch mehr Schaden zuzufügen.

Nach Angaben des israelischen Anwendungsbereitstellungs- und Cybersicherheitsherstellers Radware häufen sich die TCP-Reflection-Angriffe speziell gegen Finanzdienstleister, Telekommunikations-Anbieter und die Glücksspiel-Branche. So wurde im Oktober ein massiver TCP-Reflection-Angriff auf den Sportwetten-Anbieter Eurobet verzeichnet, der zunächst wegen einer Lösegeldforderung als Ransom-Angriff angesehen wurde, die aber offenbar von einem Trittbrettfahrer stammte. Grundsätzlich ist jedoch keine Branche vor solchen Angriffen gefeit, da Angreifer den gesamten IPv4-Adressraum nutzen, um geeignete Reflektoren zu finden.

Da die Ziele von TCP-Reflection-Angriffe und auch die Reflektoren im Regelfall legitime Absenderadressen sehen, sind herkömmliche Abwehrmethoden oft nicht geeignet, die Angriffe zeitnah zu erkennen und zu beenden. Radware empfiehlt daher verhaltensbasierte Mitigationslösungen, die solche Attacken sowohl beim Opfer als auch beim Reflektor erkennen und bekämpfen können.

Bildquelle: Pixabay

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok