Denial of Service-Techniken: Neue Techniken von TCP/http-Angriffen

Durch eine Vervielfachung von Teil-Queries sind Webserver-Ressourcen bald erschöpft

(27.07.09) - Ein Artikel des Phrack Magazine behandelte kürzlich eine neue Angriffstechnik gegen Server, die eine Dienstverweigerung (DoS = Denial of Service) zur Folge hat. Gerüchte über nordkoreanische Attacken gegen die Vereinigten Staaten beziehen sich auf diese Art von Bedrohung.

Im Einzelnen blockiert diese Angriffsart den Zugang zu öffentlichen Servern und kann zum Beispiel den Web- oder Mailserver jedweden Unternehmens nach kurzer Zeit lahm legen. Dieses spektakuläre Resultat wird durch die Umgehung der Server-Reaktionszeit beim TCP-Verkehr erzielt, da sich das TCP-Fenster (Timer) dem Datenverkehr anpasst. Konkret bedeutet dies, dass der Hacker einem Server Queries mit der Information zusendet, dass er die Antwort erst nach einer gewissen Verzögerung erhalten darf. Dadurch sammelt der Server diese Daten im Speicher, wodurch seine Ressourcen sehr schnell erschöpfen und er nicht mehr in der Lage ist, legitime Queries zu bearbeiten.

Eine weitere, bereits bekannte DoS-Attacke, die allerdings noch nie zuvor in ein ad hoc entwickeltes Tool integriert wurde, setzten jüngst Sympathisanten der Opposition gegen die Iranische Regierung ein. Die http-Attacke "Slowloris" bedient sich keiner Sicherheitslücke, sondern nutzt im Gegenteil eine ganz normale Web-Server-Funktion, die die Zusendung von Queries in mehreren Abschnitten gestattet. Geschieht dies, so reserviert der Webserver Ressourcen für die Bearbeitung aller Bestandteile der Query, kann diese Ressourcen jedoch erst dann freigeben, wenn alle zur Query gehörenden Datenpakete eingetroffen sind. Durch eine Vervielfachung solcher Teil-Queries sind die Webserver-Ressourcen bald erschöpft, was zu einem Denial of Service führt.

"Diese Attacken wurden speziell zur Umgehung von auf Signaturen basierenden Firewalls entwickelt", bestätigt Fabien Thomas, CTO von Netasq, und fügt hinzu "genau wie bei der von Dan Kaminsky entdeckten DNS-Attacke, können diese Bedrohungen ausschließlich durch ein geeignetes Verständnis deren Dynamik und eine tiefgreifende Verhaltensanalyse der Verbindungen ermittelt und blockiert werden". (Netasq: ma)