CSOC - SOC - Cyberangriff DDOS Reflexion Angriff

CSOC-Event der Woche KW46 – DDoS-Reflection-Angriff

KW46: CSOC-Event der Woche – DDoS-Reflection-Angriff

Durchschnittliche CSOC-Gesamtevents pro Tag:  14.941
Detektionshäufigkeit:      255

Eventbeschreibung: DDoS-Reflection-Angriff / Kritikalität = mittel (6 / 10)

Das Event dieser Woche tritt auf, wenn ein NTP-Dienst für DDoS-Angriffe missbraucht wird. NTP, das Network Time Protocol, wird verwendet, um die Synchronisation von Systemzeiten zu gewährleisten. Für diesen Dienst stehen im Netz viele öffentliche Server zur Verfügung, die bei einer nicht restriktiven Konfiguration nach einem Status abgefragt werden können. Der Status, welcher mithilfe des „monlist“-Befehls abgerufen wird, kann bis zu 600 Einträge enthalten, welche unter anderem aus Informationen wie der IP-Adressen zuletzt anfragender Systeme bestehen.
Der DDoS-Reflection-Angriff basiert auf einer Manipulation der Anfrage mit dem „monlist“-Befehl, indem die IP-Adresse des anfragenden Systems mithilfe von IP-Spoofing durch die IP-Adresse des Zielsystems ausgetauscht wird.

Der antwortende Zeitserver sendet in einem solchen Fall die Antwort an die hinterlegte Zieladresse und überflutet das Ziel bei multipler Anfrage mit den letzten Einträgen. Der Angriff ist mithilfe eines einzelnen Hosts ausführbar, da die benötigte Bandbreite zum Senden einer Anfrage verschwindend gering ist, die erhaltene Antwort mit zahlreichen Einträgen jedoch enorm größer ausfällt. Der einzige Weg, den Missbrauch zu unterbinden, besteht in der Aktualisierung des Dienstes – mindestens auf die Version 4.2.7p26. Durch dieses Update wird die „monlist“-Funktionalität entfernt.

Technische Beschreibung:

Bei einem Reflection-Angriff wird das Opfersystem nicht direkt angegriffen. Stattdessen spielt der Angreifer „über Bande“ (reflection). Dazu sendet er eine Anfrage mit gefälschter Absenderadresse an ein Zielsystem (Bande). Als Absenderadresse wählt er dabei die Adresse des Systems, das er angreifen möchte (Opfersystem). Die Antwort auf die Anfrage des Angreifers erhält dann aufgrund der gefälschten Adresse nicht der Angreifer, sondern das Opfersystem.