Hacker finden einen neuen Weg, um verheerende DDoS-Angriffe durchzuführen
3D-Rendering des Data Server Warehouse
Im vergangenen August wurde die akademische Forscher entdeckten eine
leistungsfähige neue Methode, um Websites offline zu schalten: eine Flotte
von falsch konfigurierten Servern mit mehr als 100.000 Mitarbeitern, die
Fluten von Junk-Daten auf einst undenkbare Größen verstärken können. Diese
Angriffe könnten in vielen Fällen zu einer unendlichen Routingschleife
führen, die eine sich selbst erhaltende Flut von Datenverkehr verursacht.
Jetzt sagt das Content-Delivery-Netzwerk Akamai, dass Angreifer die Server
ausnutzen, um Websites in der Banken-, Reise-, Gaming-, Medien- und
Webhosting-Branche anzugreifen.
Ars Technica
Diese Geschichte erschien ursprünglich auf Ars Technica, einer
vertrauenswürdigen Quelle für Technologie-News, Tech-Policy-Analysen,
Rezensionen und mehr. Ars ist im Besitz der Muttergesellschaft von WIRED,
Condé Nast.
Diese Server - bekannt als Middleboxes - werden von Nationalstaaten wie
China eingesetzt, um eingeschränkte Inhalte zu zensieren, und von großen
Organisationen, um Websites zu blockieren, die Pornos, Glücksspiele und
raubkopierte Downloads vorantreiben. Die Server können die
TCP-Spezifikationen (Transmission Control Protocol) nicht befolgen, die
einen dreiseitigen Handshake erfordern, der aus einem vom Client gesendeten
SYN-Paket, einer SYN+ACK-Antwort vom Server und einem Bestätigungs-ACK-Paket
vom Client besteht, bevor eine Verbindung hergestellt wird.
Dieser Handshake verhindert, dass TCP-basierte Apps als Verstärker
missbraucht werden, da die ACK-Bestätigung vom Spieleunternehmen oder einem
anderen Ziel stammen muss und nicht von einem Angreifer, der die IP-Adresse
des Ziels fälscht. Aber angesichts der Notwendigkeit, asymmetrisches Routing
zu handhaben, bei dem die Middlebox Pakete überwachen kann, die vom Client
geliefert werden, aber nicht das endgültige Ziel, das zensiert oder
blockiert wird, lassen viele solcher Server die Anforderung absichtlich
fallen.
Ein verstecktes Arsenal
Im vergangenen August veröffentlichten Forscher der University of Maryland
und der University of Colorado in Boulder Untersuchungen, die zeigten, dass
es Hunderttausende von Middleboxen gab, die das Potenzial hatten, einige der
lähmendsten verteilten Denial-of-Service-Angriffe zu liefern, die jemals
gesehen wurden.
Seit Jahrzehnten nutzen Menschen DDoS-Angriffe, um Websites mit mehr
Datenverkehr oder Rechenanfragen zu überschwemmen, als sie bewältigen
können, und verweigern so legitimen Benutzern Dienste. Solche Angriffe
ähneln dem alten Streich, mehr Anrufe an die Pizzeria zu richten, als sie
Telefonleitungen zu bewältigen hat.
Um den Schaden zu maximieren und Ressourcen zu schonen, erhöhen DDoS-Akteure
oft die Feuerkraft ihrer Angriffe durch Verstärkungsvektoren. Die
Verstärkung funktioniert, indem die IP-Adresse des Ziels gefälscht und eine
relativ kleine Datenmenge auf einem falsch konfigurierten Server abgeprallt
wird, der zum Auflösen von Domänennamen, zum Synchronisieren von
Computeruhren oder zum Beschleunigen der Datenbankzwischenspeicherung
verwendet wird. Da die Antwort, die die Server automatisch senden, Dutzende,
Hunderte oder Tausende Male größer ist als die Anfrage, überfordert sie das
gefälschte Ziel.
Die Forscher sagten, dass mindestens 100.000 der von ihnen identifizierten
Middleboxen die Verstärkungsfaktoren von DNS-Servern (etwa 54x) und Network
Time Protocol-Servern (etwa 556x) übertrafen. Die Forscher sagten, dass sie
Hunderte von Servern identifizierten, die den Datenverkehr mit einem höheren
Multiplikator verstärkten als falsch konfigurierte Server mit memcached,
einem Datenbank-Caching-System zur Beschleunigung von Websites, das das
Verkehrsaufkommen um das erstaunliche 51.000-fache erhöhen kann.
Tag der Abrechnung
Die Forscher sagten damals, dass sie keine Beweise dafür hätten, dass
Middlebox-DDoS-Verstärkungsangriffe aktiv in freier Wildbahn eingesetzt
würden, erwarteten aber, dass es nur eine Frage der Zeit sein würde, bis
dies geschehen würde.
Am Dienstag berichteten Akamai-Forscher, dass dieser Tag gekommen ist. In
der vergangenen Woche, so die Akamai-Forscher, haben sie mehrere
DDoS-Angriffe entdeckt, die Middleboxen genau so verwendeten, wie es die
akademischen Forscher vorhergesagt hatten. Die Angriffe erreichten ihren
Höhepunkt bei 11 Gbit/s und 1,5 Millionen Paketen pro Sekunde.
Während diese im Vergleich zu den größten DDoS-Angriffen klein waren,
erwarten beide Forscherteams, dass die Angriffe größer werden, da böswillige
Akteure beginnen, ihre Angriffe zu optimieren und mehr Middleboxen zu
identifizieren, die missbraucht werden können (die akademischen Forscher
haben diese Daten nicht veröffentlicht, um zu verhindern, dass sie
missbraucht werden).
https://www.wired.com/story/hackers-deliver-devastating-ddos-attacks/