Cyber Security Aktuell

Neuer Trick von DDoS-Angreifern, um Websites zu überlisten

Angreifer finden neue Wege, um auf die Websites und Browser verschiedener Clients zuzugreifen, was sich auf die Benutzererfahrung auswirkt.

Die theoretische Bedrohung ist zu einer realen Möglichkeit geworden, wobei sich Angreifer durch erhöhten Traffic auf verschiedenen Websites einen Vorteil verschaffen.

Distributed Denial of Service (DDoS)-Angreifer nehmen zu, wobei die meisten von ihnen mit ihren Angriffen innovativ sind.

Die Angreifer verwenden eine neue Strategie, bei der anfällige Middleboxen wie Firewalls ins Visier genommen werden, um die Reichweite ihrer Angriffe zu erhöhen.

Angreifer haben in der Vergangenheit verstärkte Angriffe implementiert, um Server mit einem kurzen Datenverkehrsstoß von bis zu 3,47 Tbps zu infizieren. Microsoft hat groß angelegte Angriffe vereitelt, die aufgrund eines Online-Gaming-Wettbewerbs stattfanden.

Die Angriffe sind jedoch noch nicht vorbei, da Akamai, eine führende Content-Distributionsfirma, eine Welle von Angriffen meldet.

Die Firma sagt, dass die Angriffe über die TCP Middlebox Reflection erfolgten. Die TCP-Reflektion ist eines der Übertragungssteuerungsprotokolle Begründer für gesicherte Internetkommunikation zwischen Computern im selben Netzwerk.

Akamai bezifferte die Geschwindigkeit der Angriffe auf 11 Gbit/s bei 1,5 Millionen Paketen pro Sekunde (Mpps).

Eine Forschungsarbeit lieferte Studienergebnisse, die hervorhoben, wie die Verstärkung für die Angreifer so gut funktionierte. Das Papier zeigte, wie sich Angreifer auf die Technik stützten, um Middleboxen wie Firewalls anzugreifen.

Das Papier von Forschern der University of Maryland und der University of Colorado Boulder schlägt vor, dass die Angreifer verstärken könnten, wie sie ihre Angriffe verweigerten, indem sie Middleboxen über TCP missbrauchten.

Angriffe durch DDoS senden kleine Pakete an den Server des Programms, der dann mit einer größeren Paketgröße antwortet. Die Angreifer senden dann die Paketgröße an ihre Zielopfer.

Die Angriffe der kleinen Pakete erfolgen normalerweise über das User Datagram Protocol (UDP).

Netzwerk-Middleboxen, die sich nicht an den TCP-Standard halten, sind das Hauptziel von TCP-Angriffen.

Die Untersuchung zeigte, dass Hunderte von IP-Adressen die Angriffe um das 100-fache verstärkten. Die Verstärkung dieser Angriffe erfolgte durch die Nutzung von Middleboxen wie Firewalls und Geräten zur Inhaltsfilterung.

Die Informationen aus der Forschung führen uns zurück zu den Anfängen, wo theoretische Angriffe zu einer realen Möglichkeit geworden sind.

Ein Blogbeitrag spricht darüber, wie fremd ihnen die Idee der Middlebox-DDoS-Verstärkung ist. Der Beitrag hebt das spezifische Problem der Verstärkung und ihr Risiko für das Internet hervor.

Wie Firewalls bilden andere Middleboxen wie Cisco, Fortinet, PaloAlto Networks und SonicWall die Hauptbestandteile eines Unternehmensrahmens.

Wenn sie Richtlinien durchsetzen, die das Filtern von Inhalten unterstützen, validieren andere Middleboxen die TCP-Stream-Zustände nicht ordnungsgemäß.

Akamai schlägt vor, dass Benutzer die Boxen ändern, um auf Out-of-State-TCP-Pakete zu reagieren. Die Antworten des beabsichtigten Ziels zielen darauf ab, die Client-Browser zu übernehmen, um sicherzustellen, dass sie nicht auf die blockierten Inhalte zugreifen können.

Die defekte TCP-Implementierung kann den TCP-Verkehr an die DDoS-Opfer durch Missbrauch durch die Angreifer, einschließlich Datenströmen, widerspiegeln.

Durch das Spoofing der Quell-IP-Adresse können die Angreifer die Middleboxen missbrauchen.

Die Angreifer verwenden diese Methode, um sicherzustellen, dass der Datenverkehr von den Middleboxen umgeleitet und ihr Angriff ausgeführt werden kann.

Die Verbindungen in TCP verwenden das Steuerflag für die Synchronisation (SYN) für einen einfacheren Austausch von Nachrichten.

Der Austausch erfolgt über einen Drei-Wege-Handshake, den der Angreifer als Angriffsstrategie nutzen möchte.

In einigen Middleboxen neigen die Angreifer dazu, die TCP-Implementierung zu missbrauchen. Der Missbrauch ermöglicht es den Angreifern, unerwartet auf SYN-Paketnachrichten zu antworten.

Akamai-Beobachtungen beinhalteten in bestimmten Fällen auch Verstärkung.

Einige Verstärkungsinstanzen umfassten einzelne SYN-Pakete mit einer 33-Byte-Nutzlast, die eine 2156-Byte-Antwort erzeugten. Die Erzeugung der Antwort verstärkte die Größe der Nutzlast um 6,533 %.

Verstärkung ist ein neuer Trick, auf den Angreifer bei ihrem Versuch gestoßen sind, auf Informationen von Benutzern zuzugreifen. Der Trick hat bei einigen Benutzern eine nachhaltige Wirkung, unterstützt durch die Geschwindigkeit, mit der er Traffic generiert.

Daher müssen Softwareentwickler und Computerbenutzer in höchster Alarmbereitschaft sein, um ihre Informationen vor Malware zu schützen.


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

Das Jahr Zero Trust wird zum Mainstream

Digitale Transformation, hybrides Arbeiten und der Wechsel in die Cloud haben die Angriffsflächen vergrößert und neue Schwachstellen geschaffen. Unternehmen müssen Cybersicherheitsstrategien…

1 of 102