All Stories
Follow
Subscribe to CISPA - Helmholtz-Zentrum für Informationssicherheit

CISPA - Helmholtz-Zentrum für Informationssicherheit

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
  • Photo Info
  • Download

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Ein neuer Denial-of-Service (DoS) Angriff gefährdet Internetprotokolle auf der Anwendungsschicht, die zur Datenübertragung auf das User Datagram Protocol (UDP) zurückgreifen. Die Angriffsart mit dem Namen "Application-Layer Loop DoS Attacks" verbindet immer zwei Server in endlosen Anfrageschleifen. Aktuelle Internetprotokolle (z.B. DNS, NTP, and TFTP) sind ebenso anfällig für den Angriff wie Legacy-Protokolle (z.B. QOTD, Chargen, Echo). Die Angriffsart wurde von Forschenden des CISPA Helmholtz-Zentrums für Informationssicherheit entdeckt und bedroht schätzungsweise 300.000 Internethosts und deren Netzwerke.

Der neu entdeckte DoS-Angriff verursacht endlose Anfrageschleifen, sogenannte "Loops", auf der Anwendungsschicht von Netzwerkprotokollen. Diese Loops entspinnen sich zwischen zwei Netzwerkdiensten, die unablässig auf die Nachricht des jeweils anderen Systems antworten. Dabei entsteht ein so großer Datenverkehr, dass die betroffenen Systeme oder Netzwerke außer Betrieb gesetzt werden. Ist die Attacke erst einmal ausgelöst, können auch die Angreifenden selbst die Anfrageschleife nicht mehr unterbrechen. Zuvor bekannte Loop-Attacken fanden auf der Netzwerkschicht einzelner Netzwerkdienste statt und waren auf eine limitierte Anzahl von Schleifen begrenzt.

Schätzungsweise 300.000 Internethosts bedroht

Entdeckt wurden die "Application-Layer Loop DoS Attacks" von den beiden CISPA-Forschern Yepeng Pan und Prof. Dr. Christian Rossow. Die Forscher schätzen, dass die neue Angriffsart ca. 300.000 Hosts gefährdet. Entsprechende Schwachstellen haben sie bereits bei TFTP-, DNS- und NTP-Protokollen sowie den sechs Legacy-Protokolle Daytime, Time, Active Users, Echo, Chargen und QOTD identifiziert. Diese Protokolle werden genutzt, um grundlegende Internetfunktionalitäten zu gewährleisten. NTP, oder Network Time Protocol, ermöglicht es mehreren Rechnern in einem Netzwerk, sich auf eine gemeinsame Zeitvorstellung zu einigen. Das DNS-Protokoll, kurz für Domain Name System, ordnet Domain-Namen ihre entsprechenden IP-Adressen zu. TFTP, oder Trivial File Transfer Protocol, organisiert den Austausch von Dateien innerhalb eines Netzwerks ohne vorherige Nutzerauthentifizierung.

Ein einziger Host kann den Angriff auslösen

“Application-Layer Loop DoS Attacks” basieren auf IP-Spoofing und können von einem einzigen Host ausgelöst werden. "Angreifende könnten beispielsweise einen Loop zwischen zwei anfälligen TFTP-Servern auslösen, indem sie nur eine einzige Fehlermeldung mit einer gefälschten IP-Adresse absetzen. Die beiden Server würden sofort damit beginnen, sich gegenseitig unablässig TFTP-Fehlermeldungen zuzusenden. Das würde nicht nur beide Server belasten, sondern auch die Netzwerkverbindung zwischen ihnen", erklärt Rossow. Pan unterstreicht den Neuigkeitswert des entdeckten Angriffs: "Die Loops auf der Anwendungsschicht, die wir entdeckt haben, unterscheiden sich von den bereits bekannten Loops auf der Netzwerkschicht. Deshalb sind bestehende Erkennungsverfahren für Endlosschleifen auf der Netzwerkebene auch nicht in der Lage, sie zu unterbrechen."

Leichte Beute

"Soweit wir wissen, ist dieser Angriff in der Praxis noch nicht verübt worden. Allerdings wäre es für Angreifende leicht, diese Angriffsart auszunutzen, wenn wir keine Maßnahmen ergreifen würden, um das Risiko einzudämmen", sagt Rossow. Im Dezember 2023 haben Rossow und Pan ihre Entdeckung an die betroffenen Hersteller und eine vertrauenswürdige Betreiber-Community gemeldet. Die beiden CISPA-Forscher haben auch die Veröffentlichung eines angriffsspezifischen Ratgebers koordiniert und gemeinsam mit The Shadowserver Foundation eine Benachrichtigungskampagne angestoßen.

Über das CISPA

Das CISPA Helmholtz-Zentrum für Informationssicherheit ist eine Großforschungseinrichtung des Bundes innerhalb der Helmholtz-Gemeinschaft. Die Wissenschaftlerinnen und Wissenschaftler erforschen die Informationssicherheit in all ihren Facetten. Sie betreiben modernste Grundlagenforschung sowie innovative anwendungsorientierte Forschung und arbeiten an den drängenden Herausforderungen der Cybersicherheit, der Künstlichen Intelligenz und des Datenschutzes. CISPA-Forschungsergebnisse finden Einzug in industrielle Anwendungen und Produkte, die weltweit verfügbar sind. Damit stärkt das CISPA die Konkurrenzfähigkeit Deutschlands und Europas. Es fördert außerdem Talente und ist eine Kaderschmiede für hervorragend ausgebildete Fach- und Führungskräfte für die Wirtschaft. So trägt das CISPA sein Know-how auch in die Zukunft.

Pressekontakt

Sebastian Klöckner | Unternehmenskommunikation
CISPA Helmholtz-Zentrum für Informationssicherheit
Stuhlsatzenhaus 5, 66123 Saarbrücken, Deutschland
e  press@cispa.de | w  www.cispa.de
More stories: CISPA - Helmholtz-Zentrum für Informationssicherheit
More stories: CISPA - Helmholtz-Zentrum für Informationssicherheit