DDoS über TCP ist doch möglich - und das hat dramatische Folgen

Bisher liefen DDoS-Angriffe eigentlich ausschließlich über User Datagram Protocol (UDP)-Verbindungen. Denn diese haben hier den Vorteil, dass keine komplexen Handshake-Operationen zwischen Client und Server ablaufen. Vielmehr schickt der Client normalerweise eine Anfrage und es kommt eine Antwort vom Server - fertig. Dies ermöglicht es, Spiegel-Angriffe durchzuführen, bei dem ein Server per IP-Spoofing dazu gebracht wird, auf eine kleine Anfrage mit einer möglichst großen Antwort in Richtung des Ziel-Systems zu reagieren. TCP-Verbindungen bedürfen hingegen einer komplexeren Kommunikation zwischen den Geräten im Netzwerk. Denn aufgrund des Handshakes kann die Verbindung nicht mit IP-Spoofing plötzlich umgeleitet werden. Allerdings haben die Forscher nun doch eine Möglichkeit gefunden, wie sie Spiegel-Angriffe über TCP durchführen können - und zwar über eine Schwäche in der Architektur von Middle-Boxes. Das berichtet das US-Magazin The Record.

Extreme Verstärkung

Dabei handelt es sich um Netzwerksysteme, die in der Mitte der Kommunikationswege zwischen Clients und Servern angesiedelt sind: Firewalls, NATs, Load-Balancer und Geräte zur Deep Packet Inspection (DPI). Diesen kann man unter bestimmten Umständen vortäuschen, dass ein TCP-Handshake für ein Datenpaket bereits erfolgreich abgeschlossen wurde. Anschließend kann man genau so fortfahren, wie man es von DDoS-Attacken über UDP gewohnt ist.

Erfolgreich ist das Verfahren vor allem dann, wenn man vermeintlich versucht, auf gesperrte Webseiten zuzugreifen. Hier antworten die Middle-Boxes dann auf kleine Anfragen mit datenintensiven Block-Seiten, die der Angreifer an das Zielsystem leiten kann. In längeren Tests fanden die Forscher heraus, dass dies besonders gut funktioniert, wenn man die Sperr-Infrastruktur autoritärer Staaten als Spiegelfläche benutzt, denn diese senden besonders große Block-Antworten zurück.

Und das hat gravierende Folgen. UDP-Angriffe lassen sich über die Spiegel-Systeme meist um den Faktor 2 bis 10 verstärken. Bei den TCP-basierten Attacken können hingegen leicht Antworten erreicht werden, die um den Faktor 100 oder mehr vestärkt wurden. Mit etwas Aufwand findet man sogar Systeme, bei denen noch deutlich größere Werte drin sind. Dies würde in der Praxis dafür sorgen, dass Angreifer bereits mit kleineren Botnetzen Ziele per DDoS außer Gefecht setzen können, die mit guten Schutzmaßnahmen und dicken Leitungen versehen sind.