IT-Experten entdecken Angriff, der noch nie vorkam - aber Gamechanger-Potenzial hat

Die Angriffsart mit dem Namen Application-Layer Loop DoS Attacks verbindet immer zwei Server in endlosen Anfrageschleifen. Aktuelle Internetprotokolle (z.B. DNS, NTP, and TFTP) sind ebenso anfällig für den Angriff wie Legacy-Protokolle (z.B. QOTD, Chargen, Echo). Die Angriffsart wurde von Forschenden des CISPA Helmholtz-Zentrums für Informationssicherheit   entdeckt und bedroht schätzungsweise 300.000 Internethosts und deren Netzwerke.

Der neu entdeckte DoS-Angriff verursacht endlose Anfrageschleifen, sogenannte Loops, auf der Anwendungsschicht von Netzwerkprotokollen. Diese Loops entspinnen sich zwischen zwei Netzwerkdiensten, die unablässig auf die Nachricht des jeweils anderen Systems antworten. Dabei entsteht ein so großer Datenverkehr, dass die betroffenen Systeme oder Netzwerke außer Betrieb gesetzt werden. Ist die Attacke erst einmal ausgelöst, können auch die Angreifenden selbst die Anfrageschleife nicht mehr unterbrechen. Zuvor bekannte Loop-Attacken fanden auf der Netzwerkschicht einzelner Netzwerkdienste statt und waren auf eine limitierte Anzahl von Schleifen begrenzt.

Schätzungsweise 300.000 Internethosts bedroht

Forscher schätzen, dass die neue Angriffsart etwa 300.000 Hosts gefährdet. Entsprechende Schwachstellen haben sie bereits bei TFTP-, DNS- und NTP-Protokollen sowie den sechs Legacy-Protokolle Daytime, Time, Active Users, Echo, Chargen und QOTD identifiziert. Diese Protokolle werden genutzt, um grundlegende Internetfunktionalitäten zu gewährleisten. NTP, oder Network Time Protocol, ermöglicht es mehreren Rechnern in einem Netzwerk, sich auf eine gemeinsame Zeitvorstellung zu einigen. Das DNS-Protokoll, kurz für Domain Name System, ordnet Domain-Namen ihre entsprechenden IP-Adressen zu. TFTP, oder Trivial File Transfer Protocol, organisiert den Austausch von Dateien innerhalb eines Netzwerks ohne vorherige Nutzerauthentifizierung.

Application-Layer Loop DoS Attacks basieren auf IP-Spoofing und können von einem einzigen Host ausgelöst werden. Angreifende könnten beispielsweise einen Loop zwischen zwei anfälligen TFTP-Servern auslösen, indem sie nur eine einzige Fehlermeldung mit einer gefälschten IP-Adresse absetzen. Die beiden Server würden sofort damit beginnen, sich gegenseitig unablässig TFTP-Fehlermeldungen zuzusenden. Das würde nicht nur beide Server belasten, sondern auch die Netzwerkverbindung zwischen ihnen, erklärt Rossow. Pan unterstreicht den Neuigkeitswert des entdeckten Angriffs: Die Loops auf der Anwendungsschicht, die wir entdeckt haben, unterscheiden sich von den bereits bekannten Loops auf der Netzwerkschicht. Deshalb sind bestehende Erkennungsverfahren für Endlosschleifen auf der Netzwerkebene auch nicht in der Lage, sie zu unterbrechen.