Schwachstellen in der Implementierung des TCP-Protokolls in Middleware- und Zensurinfrastrukturen können zu einem Vektor für reflexive Denial-of-Service (DoS)-Verstärkungsangriffe gegen jedes beliebige Ziel gemacht werden, zusätzlich zu vielen bestehenden UDP-basierten Verstärkungsfaktoren.
Eine Gruppe von Wissenschaftlern der University of Maryland und der University of Colorado in Boulder hat auf dem USENIX-Sicherheitssymposium detailliert beschrieben, wie volumetrische Angriffe TCP-kompatible Netzwerk-Middleware - wie Firewalls, Intrusion-Prevention-Systeme und Deep Packet Inspection (DPI)-Boxen - ausnutzen, um den Netzwerkverkehr zu verstärken. Hunderttausende von IP-Adressen bieten einen Verstärkungsfaktor, der den von DNS, NTP und Memcached übertrifft.
Diese Forschungsarbeit, die auf der Konferenz mit dem Outstanding Paper Award ausgezeichnet wurde, ist die erste ihrer Art, die eine Technik für DDoS-Reflection-Amplification-Angriffe auf das TCP-Protokoll durch den Missbrauch von Middlebox-Fehlkonfigurationen beschreibt, eine Methode, von der man bisher annahm, dass sie solche Spoofing-Angriffe wirksam verhindert.
Ein Reflection-Amplification-Angriff ist ein DoS-Angriff, bei dem ein Angreifer die verbindungslose Natur des UDP-Protokolls nutzt, um gefälschte Anfragen an einen falsch konfigurierten offenen Server zu senden, um den Zielserver oder das Netzwerk mit einer großen Anzahl von Paketen zu überfluten, was zu einem Ausfall führt oder den Server und die ihn umgebende Infrastruktur unzugänglich macht. Dies geschieht in der Regel, wenn die Antwort des verwundbaren Dienstes größer ist als die gefälschte Anfrage. Die gefälschte Anfrage kann dann zum Senden Tausender solcher Anfragen verwendet werden, wodurch die Größe und Bandbreite, die an das Ziel gesendet wird, erheblich vergrößert wird.
Während DoS-Amplifikation aufgrund der Komplexität des TCP-Drei-Wege-Handshakes für den Aufbau von TCP/IP-Verbindungen über IP-basierte Netzwerke (SYN, SYN+ACK und ACK) traditionell UDP-basiert ist, fanden die Forscher heraus, dass eine große Anzahl von Netzwerk-Middleware-Geräten nicht TCP-kompatibel ist und dass sie "auf gefälschte Zensuranfragen mit großen Stücken von Seiten reagieren können, sogar ohne eine gültige TCP-Verbindung oder einen Handshake", was diese Geräte zu attraktiven Zielen für DoS-Amplifikationsangriffe macht. Sie können auf Zensuranfragen mit großen Mengen an gefälschten Seiten reagieren, sogar ohne gültige TCP-Verbindung oder Handshake, was diese Geräte zu attraktiven Zielen für DoS-Verstärkungsangriffe macht.
"Middleboxen sind oft von vornherein nicht TCP-konform: Viele Middleware versucht, asymmetrisches Routing zu handhaben, bei dem die Middleware nur Pakete in einer Richtung der Verbindung (z. B. Client zu Server) sehen kann", so die Forscher. "Diese Funktion macht sie jedoch anfällig für Angriffe: Wenn die Middleware Inhalte nur auf einer Seite der Verbindung einspeist, kann ein Angreifer eine Seite des TCP-Drei-Wege-Handshakes fälschen und die Middleware davon überzeugen, dass eine gültige Verbindung besteht."
Mit anderen Worten, der Mechanismus beruht darauf, dass die Middlebox veranlasst wird, eine Antwort zu übermitteln, ohne den Drei-Wege-Handshake abzuschließen, und diese anschließend für den Zugriff auf verbotene Domains wie Pornografie-, Glücksspiel- und File-Sharing-Seiten zu verwenden, was zu einer Verstärkung führt, indem die Middlebox veranlasst wird, die Antwort auf die Seite zu blockieren, die viel größer ist als die Zensuranfrage.
Noch wichtiger ist, dass diese verstärkten Reaktionen nicht nur in erster Linie von Middleware ausgehen, sondern dass es sich bei den meisten dieser Netzwerkinspektionsgeräte um nationalstaatliche Zensoren handelt, was die Rolle solcher Infrastrukturen bei der Verhinderung des Zugangs zu Informationen innerhalb der eigenen Grenzen durch Regierungen unterstreicht oder, was noch schlimmer ist, es den Gegnern ermöglicht, Netzwerkgeräte als Waffe einzusetzen, um jedes Opfer im Internet anzugreifen.
"Nationale Zensurinfrastrukturen befinden sich bei Hochgeschwindigkeits-ISPs und sind in der Lage, Daten mit unglaublich hohen Bandbreiten zu senden und zu injizieren", so die Forscher. "Dies ermöglicht es Angreifern, große Mengen an Datenverkehr zu verstärken, ohne eine Überlastung der Verstärker befürchten zu müssen. Zweitens macht es der große Pool an Quell-IP-Adressen, die zum Auslösen von Amplifikationsangriffen verwendet werden können, den Opfern schwer, einfach eine Handvoll Reflektoren zu blockieren. Die Zensur macht effektiv jede routbare IP-Adresse (sic) in ihrem Land zu einem potenziellen Verstärker."
"Middleboxen stellen eine unerwartete, unausgenutzte Bedrohung dar, die Angreifer nutzen können, um mächtige DoS-Angriffe zu starten", so die Forscher weiter. "Um das Internet vor diesen Bedrohungen zu schützen, bedarf es der gemeinsamen Anstrengungen vieler Middleware-Hersteller und -Betreiber".
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/ddos-attacks-amplified-through-firewall-middleware.html
