Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken
ID: 1770017
Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt.
TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second - PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.
In den letzten zwei Jahren ist ein stetiges Wachstum von Angreifern zu verzeichnen, die TCP-Reflection-Angriffe nutzen. Bei einer solchen Reflection-Attacke sendet ein Angreifer eine Flut gefälschter SYN-Pakete, bei dem die ursprüngliche Quell-IP durch die IP-Adresse des Opfers ersetzt wird, an eine Vielzahl von zufälligen oder vorselektierten Reflection-IP-Adressen. Die Dienste an den Reflection-Adressen antworten normalerweise mit einem SYN-ACK-Paket an das Opfer des Angriffs und erwarten von dort ein ACK, das den 3-Wege-Handshake von TCP komplettiert und die Verbindung etabliert. Dieses ACK kommt jedoch nicht, da das Opfer die Verbindung ja gar nicht initiiert hat. In der Regel sendet der Reflection Server daraufhin eine, je nach Konfiguration unterschiedliche, Anzahl weiterer SYN-ACK-Pakete an das Opfer, die den Angriff verstärken. Der Verstärkungsfaktor liegt dabei typischerweise zwischen 20 und 100, d.h. für jedes Paket, das der Angreifer an den Reflector schickt, sendet dieser 20 bis 100 an das eigentliche Opfer. In Einzelfällen sind jedoch auch Reflektoren zu beobachten, die statt einer relativ geringen Zahl von SYN-ACKs bis zu 80.000 RST-Pakete senden, um die Verbindung zu beenden - mit entsprechenden Auswirkungen auf das Opfer.
Da die Reflektoren mit SYN-Paketen geflutet werden, sehen sie sich in der Regel zunächst selbst als das Ziel einer SYN Flood, die allerdings von einer vertrauenswürdigen Absenderadresse ausgeht. Entsprechende Meldungen an die einschlägigen Betreiber von Blacklists können dann dazu führen, dass das eigentliche Ziel des Angriffs sogar noch geblacklisted wird - was die DoS-Attacke besonders wirkungsvoll macht. Radware empfiehlt daher, vor einem Blacklisting die Herkunft der SYN-Pakete eindeutig zu klären, um den Opfern von Angriffen nicht noch mehr Schaden zuzufügen.
Nach Angaben von Radware häufen sich die Angriffe unter Einsatz von TCP Reflection, speziell gegen Finanzdienstleister, Telekommunikations-Anbieter und die Glücksspiel-Branche. So wurde im Oktober ein massiver TCP-Reflection-Angriff auf Eurobet verzeichnet, der zunächst wegen einer Lösegeldforderung als Ransom-Angriff angesehen wurde, die aber offenbar von einem Trittbrettfahrer stammte. Grundsätzlich ist jedoch keine Branche vor solchen Angriffen gefeit, da Angreifer den gesamten IPv4-Adressraum nutzen, um geeignete Reflektoren zu finden.
Da die Ziele von TCP-Reflection-Angriffe und auch die Reflektoren im Regelfall legitime Absenderadressen sehen, sind herkömmliche Abwehrmethoden oft nicht geeignet, die Angriffe zeitnah zu erkennen und zu beenden. Radware empfiehlt daher verhaltensbasierte Mitigationslösungen, die solche Attacken sowohl beim Opfer als auch beim Reflektor erkennen und bekämpfen können.
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Sendlinger Str. 24, 80331 München
Datum: 12.11.2019 - 15:40 Uhr
Sprache: Deutsch
News-ID 1770017
Anzahl Zeichen: 3995
Kontakt-Informationen:
Ansprechpartner: Achim Heinze
Stadt:
Langen
Telefon: +49 89 800 77-0
Kategorie:
IT & Hardware & Software & TK
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 524 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken"
steht unter der journalistisch-redaktionellen Verantwortung von
Radware GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen laut Radware vielfältige Aktionen von Betrug bis Sabotage. Mit einer erwarteten Marktkapitalisierung von 457 Milliarden Dollar im Jahr 2023 wird sich der Markt für Elektrofahrzeuge bis 2027 mit einem erwarteten Absatz von 16 Million
Radware: Killnet ist nichts für Gelegenheits-Hacker ...
Diese weitreichende Entscheidung wurde laut KillMilk getroffen, da rund 50 Splittergruppen innerhalb von Killnet, die aus über 1.250 Personen bestehen, von den Hauptzielen des Hacktivismus abwichen. "Killnet hat jedoch nicht aufgehört zu existieren", so Pascal Geenens, Director, Threa
Radware bekämpft Tsunami-DDoS-Attacken ...
Die hochmoderne Lösung wurde entwickelt, um die wachsende Lücke zwischen Standard-DDoS-Abwehr und einer neuen Generation aggressiverer HTTPS-Flood-Angriffe auf Layer 7 (L7) - auch bekannt als Web-DDoS-Tsunami-Angriffe - zu schließen. Die Lösung von Radware ist unübertroffen in ihrer Fähigkeit,
Weitere Mitteilungen von Radware GmbH
CoachHub erhöht Finanzierung von sechs auf 16 Mio. ? und weitet seine Expansion in Europa aus ...
? Finanzierung: Mit 10 Mio. ? werden die kürzlich eingeworbenen Mittel auf 16 Mio. ? erhöht; die Mittel werden verwendet, um die Plattform auf alle europäischen Märkte auszurollen, wobei der Fokus auf Großbritannien liegt und um einen europäischen Think Tank für Business Coaching aufzubauen.
Minerio GmbH: Steht der Bitcoin im Mai 2020 bei USD 20.000,--? ...
Satoshi Nakamoto legte bei der Entwicklung des Bitcoin fest, dass maximal 21.000.000 Stück im Umlauf sind. Diese Coins werden nach und nach von Minern gebaut, welche dafür in Bitcoins belohnt werden. Satoshi Nakamoto hat weiterhin bestimmt, dass nach jeweils 210.000 aufgebauten Bitcoins die Bel
Minerio GmbH: alteingesessene Deutsche Banken verschlafen den Bitcoin-Zug ...
Während die FinTechs (=Banken, welche sich auf neue Lösungen von Anwendungsssystemen in der Finanztechnologie spezialisiert haben) bezüglich der Kryptowährungen auf Kurs sind, verschlafen die klassischen Banken in Deutschland den Aufsprung auf den Bitcoin-Zug. Der Unternehmergeist und die Inn
Pydio Cells 2.0: Neues Level der Unternehmenskollaboration ...
Pydio stell Cells 2.0 vor, eine neue Version der Open Source Enterprise Content & Collaboration Platform (CCP), die den vollen Funktionsumfang von Pydio 8 mit der Leistungsfähigkeit und Sicherheit der Pydio-Cells-Architektur kombiniert. Loyale Microsoft-Sysadmins werden sich freuen zu hören, d




