Verteilte Denial-of-Service (DDoS)-Angriffe, die eine neue Verstärkungstechnik namens TCP Middlebox Reflection nutzen, wurden zum ersten Mal in freier Wildbahn entdeckt, sechs Monate nachdem der neue Angriffsmechanismus in der Theorie vorgestellt wurde.
„Der Angriff […] missbraucht verwundbare Firewalls und Inhaltsfiltersysteme, um den TCP-Verkehr zu einem Opferrechner zu reflektieren und zu verstärken und so einen mächtigen DDoS-Angriff zu starten“, so die Forscher von Akamai in einem am Dienstag veröffentlichten Bericht.
„Diese Art von Angriff legt die Messlatte für DDoS-Angriffe gefährlich niedrig, da der Angreifer nur 1/75stel (in einigen Fällen) der Bandbreite aus volumetrischer Sicht benötigt“, so die Forscher weiter.
Ein Distributed Reflective Denial of Service (DRDoS) ist eine Form des Distributed Denial of Service (DDoS)-Angriffs, der sich auf öffentlich zugängliche UDP-Server und Bandbreitenverstärkungsfaktoren (BAFs) stützt, um das System eines Opfers mit einem hohen Volumen an UDP-Antworten zu überwältigen.
Bei diesen Angriffen sendet der Angreifer eine Flut von DNS- oder NTP-Anfragen mit einer gefälschten Quell-IP-Adresse an das Zielsystem, die den Zielserver dazu veranlasst, die Antworten verstärkt an den Host mit der gefälschten Adresse zurückzusenden, sodass die dem Ziel zugewiesene Bandbreite erschöpft wird.
Die Entwicklung folgt auf eine im August 2021 veröffentlichte akademische Studie über einen neuen Angriffsvektor, der Schwächen in der Implementierung des TCP-Protokolls in Middleboxen und Zensurinfrastrukturen ausnutzt, um reflektierte Denial-of-Service (DoS)-Verstärkungsangriffe gegen Ziele auszuführen.
Während DoS-Amplifikationsangriffe traditionell UDP-Reflexionsvektoren missbraucht haben – aufgrund der verbindungslosen Natur des Protokolls – nutzt die unkonventionelle Angriffstechnik die Nichtkonformität von TCP in Middleboxen wie Deep Packet Inspection (DPI)-Tools, um TCP-basierte reflektierende Amplifikationsangriffe durchzuführen.
Die erste Welle „bemerkenswerter“ Angriffskampagnen, die sich diese Technik zunutze machten, soll um den 17. Februar herum stattgefunden haben und Akamai-Kunden aus den Bereichen Bankwesen, Reisen, Spiele, Medien und Webhosting mit großen Datenmengen getroffen haben, die in der Spitze 11 Gbps bei 1,5 Millionen Paketen pro Sekunde (Mpps) erreichten.
„Der Vektor wurde sowohl allein als auch als Teil von Multi-Vektor-Kampagnen eingesetzt, wobei die Größe der Angriffe langsam ansteigt“, erklärte Chad Seaman, Leiter des Security Intelligence Research Teams (SIRT) bei Akamai, gegenüber The Hacker News.
Die Kernidee der TCP-basierten Reflexion besteht darin, die Middleboxen zu nutzen, die zur Durchsetzung von Zensurgesetzen und Inhaltsfilterrichtlinien in Unternehmen eingesetzt werden, indem sie speziell gestaltete TCP-Pakete senden, um eine volumetrische Reaktion auszulösen.
Bei einem der von dem Cloud-Sicherheitsunternehmen beobachteten Angriffe löste ein einziges SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte aus, was einem Verstärkungsfaktor von 65x (6.533%) entspricht.
„Die wichtigste Erkenntnis ist, dass der neue Vektor in der freien Wildbahn missbraucht wird“, so Seaman. „Dies ist in der Regel ein Zeichen dafür, dass der Missbrauch eines bestimmten Vektors sich weiter ausbreiten wird, wenn das Wissen und die Popularität in der DDoS-Landschaft wächst und mehr Angreifer beginnen, Werkzeuge zu entwickeln, um den neuen Vektor zu nutzen.
„Verteidiger müssen sich darüber im Klaren sein, dass wir von der Theorie zur Praxis übergegangen sind, und sie sollten ihre Verteidigungsstrategien im Hinblick auf diesen neuen Vektor überprüfen, den sie vielleicht schon bald in der realen Welt sehen werden“, so Seaman weiter.