Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

SMURF, ACK-Reflection- und SYN-Flood-Attacken

In einer SMURF-Attacke sendet der Angreifer ICMP-Pakete mit einer gefälschten Absender-IP, die auf das Opfer verweist, an Dritte. Die Angreifer nehmen sich dabei einen Router vor, der für die Weiterleitung von ICMP-Anfragen an andere Geräte verantwortlich ist. Indem die Täter die zugehörige Broadcast-Adresse (X.X.X.255) ansprechen, können sie alle Geräte in dem jeweiligen Netzwerk hinter dem Router erreichen. Mangels eines Handshake-Verfahrens beim Verbindungsaufbau können Empfänger legitime von nicht legitimen Anfragen nicht unterscheiden, und indem sie auf die ICMP-Anfrage vorschriftsmäßig antworten, bombardieren sie mit ihren IP-Paketen das Opfer. Um eine solche Attacke zu verhindern, genügt es, die Weiterleitung der ICMP-Anfragen durch die betroffenen Router zu unterbinden.

Eine ACK-Reflection-Attacke macht sich den sogenannten TCP-Drei-Wege-Handschlag zunutze. Ein TCP-Client initiiert den Verbindungsaufbau durch das Abschicken eines SYN-Pakets. Beim Empfang dieses Pakets an einem offenen Port antwortet der Server mit dem SYN-/ACK-Paket, um den Verbindungsaufbau zu akzeptieren. Er reserviert Arbeitsspeicher, schreibt in die Logs und wartet auf die abschließende ACK-Antwort des Kommunikationspartners, die den Empfang der Nachricht bestätigen soll. Bei einer ACK-Reflection-Attacke ist die Absender-IP in der SYN-Anfrage allerdings gefälscht, sodass der Server seine Antwort an den falschen Adressaten sendet, nämlich an das Opfer.

Für eine erfolgreiche Abwehr muss der Empfänger der Nachricht unverlangt eingehende Handshake-Pakete verwerfen.

DDoS mit Web Workers und Cross-Origin-Anfragen

Bei einer DDoS-Attacke mit Web Workers machen sich die Angreifer einen Teil der HTML-5-Spezifikation zunutze: Cross-Origin-Requests. Im ersten Schritt locken sie Webbesucher auf eine Webseite, indem sie ihnen den Link zum Beispiel in einem Bild oder mit einem Skript wie ein Kuckucksei unterschieben. Die Webseite startet dann einen Web Worker, der den Browser dazu bringt, Cross-Origin-Anfragen an das Opfer zu versenden. Diese richten sich vorzugsweise an eine URL, die dem Server Schwerstarbeit verursacht. Allerdings würde der weitere Anfragen verhindern, wenn er keine gültige Antwort mit dem Header »Access-Control-Allow-Origin« erhält. Deshalb muss die URL bei jedem Zugriff leicht modifiziert werden. Mit nur 6000 ahnungslosen Benutzern eines Browsers wie Chrome lässt sich so eine Flut von bis zu einer Million Anfragen pro Sekunde generieren.

Diese Art der Attacke lässt sich genauso leicht verhindern wie auslösen: Da alle Cross-Origin-Anfragen den Origin-Header beinhalten, genügt eine Einstellung in der Firewall, um solche Anfragen anhand des Headers zu unterbinden.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022