Am Forschungszentrum CISPA wurde jetzt eine neue Variante von Loop-Spoofing-Angriffen entdeckt, die anfällige Netzwerkdienste in eine endlose Kommunikationsschleife schicken.
Spoofing bezeichnet allgemein Techniken, bei denen ein Angreifer falsche Informationen über seine Identität, seine Absichten oder seine Herkunft weitergibt, um als vertrauenswürdige Quelle zu erscheinen. IP-Spoofing wird oft im Zuge von Denial-of-Service-Angriffen verwendet, um eine irreführende IP-Adresse des Senders vorzugaukeln. Verteilte DoS-Attacken zielen darauf ab, die Verfügbarkeit von Online-Diensten oder Ressourcen zu beeinträchtigen, indem sie eine große Anzahl von Anfragen oder Datenverkehr von verschiedenen Server-Quellen auf den Zielserver lenken, um dessen Kapazität zu überlasten.
Die Loop-Spoofing-Attacke läuft folgendermaßen ab. Ein Angreifer nutzt die verbindungslose Natur von UDP aus, indem er eine speziell präparierte Nachricht mit gefälschter Absenderadresse A an einen verwundbaren Server S schickt, der später das Ziel des Angriffs ist. Im Kontext von UDP bedeutet verbindungslos, dass Daten ohne vorherige Verbindungsaufnahme zwischen Sender und Empfänger gesendet werden können. Server S antwortet auf die Nachricht, indem er seine Antwort an A adressiert, der wiederum antwortet. Der Angreifer sucht und findet nun eine bestimmte Nachricht eines Protokolls, die eine endlose Abfolge von Antworten auslöst. In der Folge beginnen beide Server, ununterbrochen miteinander zu kommunizieren, was eine Denial-of-Service-Attacke darstellt. Zu diesem Szenario kann es beispielsweise bei bestimmten Fehlermeldungen des Protokolls kommen. Sendet ein Dienst eine solche Fehlermeldung als Antwort auf eine Fehlermeldung, führt das unter Umständen zu einer Endlosschleife, in der beide Seiten einander Fehlermeldungen zuschicken. Wiederholt der Angreifer diese Taktik für weitere Server, die jeweils Nachrichten an S übermitteln, kommt es zur verteilten Denial-of-Service-Attacke, die den Server letztlich in die Knie zwingt.
Derartige Schleifenprobleme kennt man aus mehreren alten UDP-basierten Protokollen, darunter QOTD, Chargen, Echo, Time, Daytime und Active Users. Diese Internet-Protokolle wurden in der Vergangenheit häufig genutzt, gelten mittlerweile jedoch größtenteils als veraltet oder sind aus Sicherheitsgründen nicht mehr im Einsatz. Das Quote-of-the-Day-Protokoll (QOTD) ermöglichte es einem Client, ein tägliches Zitat von einem Server abzurufen, während das Character Generator Protocol (Chargen) kontinuierlich zufällig generierte Zeichen zurückgab. Das Echo-Protokoll leitete empfangene Daten zurück zum Absender. Das Time-Protokoll lieferte die aktuelle Uhrzeit, das Daytime-Protokoll das aktuelle Datum samt Tageszeit. Eine Liste der aktiven Benutzer auf einem Server ließ sich über das Active-Users-Protokoll abrufen.
Forscher am CISPA [1] haben jetzt weitere für die Loop-Spoofing-Attacken anfällige UDP-basierte Protokolle identifiziert, die noch im Einsatz sind [2]. Dazu gehören DNS, NTP und TFTP. DNS steht für Domain Name System und ermöglicht die Umwandlung von Domain-Namen in IP-Adressen und umgekehrt. Damit erleichtert es das Navigieren im Internet. NTP steht für Network Time Protocol und synchronisiert die Uhren in Rechnernetzwerken. TFTP steht für Trivial File Transfer Protocol. Es ermöglicht einfache Dateiübertragungen zwischen Computern im Netzwerk und kommt oft beim Booten von Computern über das Netzwerk oder beim Aktualisieren von Firmware zum Einsatz.
Anfällig sind allerdings nicht alle DNS-, NTP- und TFTP-Server, sondern nur bestimmte Implementierungen. Dazu gehören der DNS-Proxy Dproxy-nexgen und ältere Versionen von Ntpd vor 4.2.5. Laut Schätzungen der Forscher gibt es im Internet immerhin bis zu 300 000 für die neue Loop-Spoofing-Attacke anfällige Server. (jcb)
Infos
- CISPA Helmholtz-Zentrum für Informationssicherheit: https://cispa.de
- “CISPA Advisory on Application-Layer Loop DoS”: https://docs.google.com/document/d/1KByZzrdwQhrXGPPCf9tUzERZyRzg0xOpGbWoDURZxTI/edit






