Hooepage Cybersecuritv Cyberpace
Cyberwaffen  Pegasus Trojaner DOS DDOSMalware
Die Analyse
der Angriffswaffen und die Technologie der Anwendung
Handbuch
Handbook
"Middleboxes" ein neuer Waffenträger
 
-
-
-
-
 
 
 
 
 
W I R E D
Hacker finden einen neuen Weg, um verheerende DDoS-Angriffe durchzuführen

3D-Rendering des Data Server Warehouse
Im vergangenen August wurde die akademische Forscher entdeckten eine leistungsfähige neue Methode, um Websites offline zu schalten: eine Flotte von falsch konfigurierten Servern mit mehr als 100.000 Mitarbeitern, die Fluten von Junk-Daten auf einst undenkbare Größen verstärken können. Diese Angriffe könnten in vielen Fällen zu einer unendlichen Routingschleife führen, die eine sich selbst erhaltende Flut von Datenverkehr verursacht. Jetzt sagt das Content-Delivery-Netzwerk Akamai, dass Angreifer die Server ausnutzen, um Websites in der Banken-, Reise-, Gaming-, Medien- und Webhosting-Branche anzugreifen.

Ars Technica
Diese Geschichte erschien ursprünglich auf Ars Technica, einer vertrauenswürdigen Quelle für Technologie-News, Tech-Policy-Analysen, Rezensionen und mehr. Ars ist im Besitz der Muttergesellschaft von WIRED, Condé Nast.

Diese Server - bekannt als Middleboxes - werden von Nationalstaaten wie China eingesetzt, um eingeschränkte Inhalte zu zensieren, und von großen Organisationen, um Websites zu blockieren, die Pornos, Glücksspiele und raubkopierte Downloads vorantreiben. Die Server können die TCP-Spezifikationen (Transmission Control Protocol) nicht befolgen, die einen dreiseitigen Handshake erfordern, der aus einem vom Client gesendeten SYN-Paket, einer SYN+ACK-Antwort vom Server und einem Bestätigungs-ACK-Paket vom Client besteht, bevor eine Verbindung hergestellt wird.

Dieser Handshake verhindert, dass TCP-basierte Apps als Verstärker missbraucht werden, da die ACK-Bestätigung vom Spieleunternehmen oder einem anderen Ziel stammen muss und nicht von einem Angreifer, der die IP-Adresse des Ziels fälscht. Aber angesichts der Notwendigkeit, asymmetrisches Routing zu handhaben, bei dem die Middlebox Pakete überwachen kann, die vom Client geliefert werden, aber nicht das endgültige Ziel, das zensiert oder blockiert wird, lassen viele solcher Server die Anforderung absichtlich fallen.

Ein verstecktes Arsenal
Im vergangenen August veröffentlichten Forscher der University of Maryland und der University of Colorado in Boulder Untersuchungen, die zeigten, dass es Hunderttausende von Middleboxen gab, die das Potenzial hatten, einige der lähmendsten verteilten Denial-of-Service-Angriffe zu liefern, die jemals gesehen wurden.

Seit Jahrzehnten nutzen Menschen DDoS-Angriffe, um Websites mit mehr Datenverkehr oder Rechenanfragen zu überschwemmen, als sie bewältigen können, und verweigern so legitimen Benutzern Dienste. Solche Angriffe ähneln dem alten Streich, mehr Anrufe an die Pizzeria zu richten, als sie Telefonleitungen zu bewältigen hat.

Um den Schaden zu maximieren und Ressourcen zu schonen, erhöhen DDoS-Akteure oft die Feuerkraft ihrer Angriffe durch Verstärkungsvektoren. Die Verstärkung funktioniert, indem die IP-Adresse des Ziels gefälscht und eine relativ kleine Datenmenge auf einem falsch konfigurierten Server abgeprallt wird, der zum Auflösen von Domänennamen, zum Synchronisieren von Computeruhren oder zum Beschleunigen der Datenbankzwischenspeicherung verwendet wird. Da die Antwort, die die Server automatisch senden, Dutzende, Hunderte oder Tausende Male größer ist als die Anfrage, überfordert sie das gefälschte Ziel.

Die Forscher sagten, dass mindestens 100.000 der von ihnen identifizierten Middleboxen die Verstärkungsfaktoren von DNS-Servern (etwa 54x) und Network Time Protocol-Servern (etwa 556x) übertrafen. Die Forscher sagten, dass sie Hunderte von Servern identifizierten, die den Datenverkehr mit einem höheren Multiplikator verstärkten als falsch konfigurierte Server mit memcached, einem Datenbank-Caching-System zur Beschleunigung von Websites, das das Verkehrsaufkommen um das erstaunliche 51.000-fache erhöhen kann.

Tag der Abrechnung
Die Forscher sagten damals, dass sie keine Beweise dafür hätten, dass Middlebox-DDoS-Verstärkungsangriffe aktiv in freier Wildbahn eingesetzt würden, erwarteten aber, dass es nur eine Frage der Zeit sein würde, bis dies geschehen würde.

Am Dienstag berichteten Akamai-Forscher, dass dieser Tag gekommen ist. In der vergangenen Woche, so die Akamai-Forscher, haben sie mehrere DDoS-Angriffe entdeckt, die Middleboxen genau so verwendeten, wie es die akademischen Forscher vorhergesagt hatten. Die Angriffe erreichten ihren Höhepunkt bei 11 Gbit/s und 1,5 Millionen Paketen pro Sekunde.

Während diese im Vergleich zu den größten DDoS-Angriffen klein waren, erwarten beide Forscherteams, dass die Angriffe größer werden, da böswillige Akteure beginnen, ihre Angriffe zu optimieren und mehr Middleboxen zu identifizieren, die missbraucht werden können (die akademischen Forscher haben diese Daten nicht veröffentlicht, um zu verhindern, dass sie missbraucht werden).
https://www.wired.com/story/hackers-deliver-devastating-ddos-attacks/