IT und Software Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

m Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt. Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichtsahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt.

TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second – PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.

In den letzten zwei Jahren ist ein stetiges Wachstum von Angreifern zu verzeichnen, die TCP-Reflection-Angriffe nutzen. Bei einer solchen Reflection-Attacke sendet ein Angreifer eine Flut gefälschter SYN-Pakete, bei dem die ursprüngliche Quell-IP durch die IP-Adresse des Opfers ersetzt wird, an eine Vielzahl von zufälligen oder vorselektierten Reflection-IP-Adressen. Die Dienste an den Reflection-Adressen antworten normalerweise mit einem SYN-ACK-Paket an das Opfer des Angriffs und erwarten von dort ein ACK, das den 3-Wege-Handshake von TCP komplettiert und die Verbindung etabliert. Dieses ACK kommt jedoch nicht, da das Opfer die Verbindung ja gar nicht initiiert hat. In der Regel sendet der Reflection Server daraufhin eine, je nach Konfiguration unterschiedliche, Anzahl weiterer SYN-ACK-Pakete an das Opfer, die den Angriff verstärken. Der Verstärkungsfaktor liegt dabei typischerweise zwischen 20 und 100, d.h. für jedes Paket, das der Angreifer an den Reflector schickt, sendet dieser 20 bis 100 an das eigentliche Opfer. In Einzelfällen sind jedoch auch Reflektoren zu beobachten, die statt einer relativ geringen Zahl von SYN-ACKs bis zu 80.000 RST-Pakete senden, um die Verbindung zu beenden – mit entsprechenden Auswirkungen auf das Opfer.

Da die Reflektoren mit SYN-Paketen geflutet werden, sehen sie sich in der Regel zunächst selbst als das Ziel einer SYN Flood, die allerdings von einer vertrauenswürdigen Absenderadresse ausgeht. Entsprechende Meldungen an die einschlägigen Betreiber von Blacklists können dann dazu führen, dass das eigentliche Ziel des Angriffs sogar noch geblacklisted wird – was die DoS-Attacke besonders wirkungsvoll macht. Radware empfiehlt daher, vor einem Blacklisting die Herkunft der SYN-Pakete eindeutig zu klären, um den Opfern von Angriffen nicht noch mehr Schaden zuzufügen.

Nach Angaben von Radware häufen sich die Angriffe unter Einsatz von TCP Reflection, speziell gegen Finanzdienstleister, Telekommunikations-Anbieter und die Glücksspiel-Branche. So wurde im Oktober ein massiver TCP-Reflection-Angriff auf den Sportwetten-Anbieter Eurobet verzeichnet, der zunächst wegen einer Lösegeldforderung als Ransom-Angriff angesehen wurde, die aber offenbar von einem Trittbrettfahrer stammte. Grundsätzlich ist jedoch keine Branche vor solchen Angriffen gefeit, da Angreifer den gesamten IPv4-Adressraum nutzen, um geeignete Reflektoren zu finden.

Da die Ziele von TCP-Reflection-Angriffe und auch die Reflektoren im Regelfall legitime Absenderadressen sehen, sind herkömmliche Abwehrmethoden oft nicht geeignet, die Angriffe zeitnah zu erkennen und zu beenden. Radware empfiehlt daher verhaltensbasierte Mitigationslösungen, die solche Attacken sowohl beim Opfer als auch beim Reflektor erkennen und bekämpfen können.

Radware (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sorgt für eine zuverlässige Quality of Service unternehmenskritischer Anwendungen bei maximaler IT-Effizienz.
Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten. Radware Cloud Security Services bietet Unternehmen weltweit Cloud-basierten Infrastrukturschutz, Anwendungsschutz und unternehmensweiten IT-Schutz.

Firmenkontakt
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
info_de@radware.com
https://www.radware.com

Pressekontakt
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
089 800 77-0
radware@prolog-pr.com
https://www.prolog-pr.com/radware

Bildquelle: Radware GmbH

Virtuelle Kommunikation im ecoDMS Archiv über den ecoWORKZ-Videochat

Im offiziellen YouTube-Kanal von ecoDMS ist ab sofort das erste Video zum neuem ecoWORKZ Plug-in online: Vorstellung der Videochat-Funktion! Im offiziellen YouTube-Kanal von ecoDMS ist ab sofort das erste Video zum neuem ecoWORKZ Plug-in online: Vorstellung der Videochat-Funktion! Speziell für ecoWORKZ gibt es eine eigene Playlist, die in den nächsten Wochen mit weiteren Videos bestückt wird. Den Anfang macht der Videochat. Unter https://www.youtube.com/playlist?list=PL7vZZTECufd4ZdW971kKyz5-in59Wmc28 ist...

Pixelboxx GmbH gewinnt drei neue Mitarbeiter vom Konkurrenten für die zweite Hälfte

(Dortmund, 09.07.2020) Die Pixelboxx GmbH gewinnt im zweiten Quartal 2020 nicht nur neue Aufträge, sondern auch drei neue, erfahrene Mitarbeiter von konkurrierendem DAM Anbieter dazu. Ziel ist es den wirtschaftlichen Erfolg aus dem ersten Jahresquartal fortzuführen und den etablierten, qualitativ hohen Standard an Projekt- und Kundenmanagement für die nächsten Jahre zu sichern. Jörg Elsdörfer, Stephan Kieslinger und Norbert Kerner sind erfahrene Akteure der DAM-Branche....

Alles neu macht der Juli: Congree-Version 6 erscheint

Karlsruhe. Die Congree Language Technologies GmbH bringt eine neue Major-Version des Congree Authoring Servers heraus. Dabei standen drei Aspekte besonders im Fokus der Weiterentwicklung: Benutzerfreundlichkeit, Berichtswesen und die linguistische Congree-Sprachprüfung. Zahlreiche Neuerungen für die Congree-Sprachprüfung, darunter mehr als 40 neue Regeln, machen es noch einfacher als zuvor, verständliche und konsistente Inhalte im passenden Wording zu erstellen. Darüber hinaus wurde mit dem neuen Congree Control Center...

Text in Sprache mit Vorleser XL

Vorleser XL Vorleseprogramm für Text in Sprache Text in Sprache ist eine Anwendung, die es dem Nutzer ermöglicht, schnell und bequem Texte vorlesen zu lassen. Hier ist eine überzeugende Stimme wie auch die Übersichtlichkeit des Programmes notwendig, da niemand lange Einführungen oder komplizierte Benutzeroberflächen mag. Ebenso wichtig ist allerdings auch der Funktionsumfang der Vorlesesoftware. Hier kann Vorleser XL punkten, da dieses Programm intuitiv zu bedienen ist,...

Aktuelle Pressemeldungen