SMURF, ACK-Reflection- und SYN-Flood-Attacken
In einer SMURF-Attacke sendet der Angreifer ICMP-Pakete mit einer gefälschten Absender-IP, die auf das Opfer verweist, an Dritte. Die Angreifer nehmen sich dabei einen Router vor, der für die Weiterleitung von ICMP-Anfragen an andere Geräte verantwortlich ist. Indem die Täter die zugehörige Broadcast-Adresse (X.X.X.255) ansprechen, können sie alle Geräte in dem jeweiligen Netzwerk hinter dem Router erreichen. Mangels eines Handshake-Verfahrens beim Verbindungsaufbau können Empfänger legitime von nicht legitimen Anfragen nicht unterscheiden, und indem sie auf die ICMP-Anfrage vorschriftsmäßig antworten, bombardieren sie mit ihren IP-Paketen das Opfer. Um eine solche Attacke zu verhindern, genügt es, die Weiterleitung der ICMP-Anfragen durch die betroffenen Router zu unterbinden.
Eine ACK-Reflection-Attacke macht sich den sogenannten TCP-Drei-Wege-Handschlag zunutze. Ein TCP-Client initiiert den Verbindungsaufbau durch das Abschicken eines SYN-Pakets. Beim Empfang dieses Pakets an einem offenen Port antwortet der Server mit dem SYN-/ACK-Paket, um den Verbindungsaufbau zu akzeptieren. Er reserviert Arbeitsspeicher, schreibt in die Logs und wartet auf die abschließende ACK-Antwort des Kommunikationspartners, die den Empfang der Nachricht bestätigen soll. Bei einer ACK-Reflection-Attacke ist die Absender-IP in der SYN-Anfrage allerdings gefälscht, sodass der Server seine Antwort an den falschen Adressaten sendet, nämlich an das Opfer.
Für eine erfolgreiche Abwehr muss der Empfänger der Nachricht unverlangt eingehende Handshake-Pakete verwerfen.
DDoS mit Web Workers und Cross-Origin-Anfragen
Bei einer DDoS-Attacke mit Web Workers machen sich die Angreifer einen Teil der HTML-5-Spezifikation zunutze: Cross-Origin-Requests. Im ersten Schritt locken sie Webbesucher auf eine Webseite, indem sie ihnen den Link zum Beispiel in einem Bild oder mit einem Skript wie ein Kuckucksei unterschieben. Die Webseite startet dann einen Web Worker, der den Browser dazu bringt, Cross-Origin-Anfragen an das Opfer zu versenden. Diese richten sich vorzugsweise an eine URL, die dem Server Schwerstarbeit verursacht. Allerdings würde der weitere Anfragen verhindern, wenn er keine gültige Antwort mit dem Header
»Access-Control-Allow-Origin«
erhält. Deshalb muss die URL bei jedem Zugriff leicht modifiziert werden. Mit nur 6000 ahnungslosen Benutzern eines Browsers wie Chrome lässt sich so eine Flut von bis zu einer Million Anfragen pro Sekunde generieren.
Diese Art der Attacke lässt sich genauso leicht verhindern wie auslösen: Da alle Cross-Origin-Anfragen den Origin-Header beinhalten, genügt eine Einstellung in der Firewall, um solche Anfragen anhand des Headers zu unterbinden.
Ähnliche Artikel
-
Linux-Botnetz XOR DDos attackiert mit bis zu 150 Gbps
Ein XOR DDos getaufter Trojaner hat ein Botnetz aus Linux-Systemen errichtet, das inzwischen Geschwindigkeiten von bis zu 150 Gbps erreicht.
-
Man-in-the-Middle-Attacken aufspüren
-
Britischer Geheimdienst legte IRC-Server lahm
Ein neues Dokument von Edward Snowden verweist auf Angriffe auf das IRC-Netzwerk QuakeNet durch eine geheime Gruppe des britischen Geheimdienstes GCHQ. Dabei kamen offenbar DDoS-Angriffe sowie Social-Engineering-Techniken mit Unterstützung bislang unbekannter Webseiten-Manipulationen zum Einsatz.
-
Akamai Security Report: DDoS-Angriffe verdoppelt
Der neue Internet Security Report von Akamai zeigt einen enormen Zuwachs von Distributed-Denial-of-Service-Angriffen.
-
Gezielte Angriffe auf Unternehmen
Konfigurationsmanagement
Themen
