Als Reverse-Attacken (sinngemäß etwa „indirekte Angriffe“) werden bestimmte Formen gezielter Angriffe auf einzelne Rechner in einem Rechnernetz bezeichnet.[1] Das Besondere an diesen Angriffen ist, dass sie von einer Reihe nur indirekt beteiligter Rechner ausgehen, den sogenannten „Reflektoren“. Die bekanntesten Formen solcher Angriffe sind die Smurf-Attacke und die Fraggle-Attacke.

Ein Angreifer sendet Anfragen mit einer gefälschten Absender-Adresse an die Broadcast-Adresse eines Rechnernetzes. Alle entsprechend konfigurierten Rechner innerhalb des Netzwerks (die sogenannte „Reflektoren“) antworten dem vermeintlichen Absender auf den Rundruf. Mit einer Anfrage erzeugt der Angreifer also eine hohe Anzahl von Antworten an den anzugreifenden Rechner, welche dieser bearbeiten muss. Durch ständiges Senden solcher Anfragen soll der angegriffene Rechner überlastet werden. Durch diese Funktionsweise gehören die Reverse-Attacken zur Gruppe der verteilten Dienstblockade (Distributed Denial of Service, DDoS). Als Nebeneffekt führen diese Attacken im Netzwerk der Reflektoren zu einem Broadcast-Sturm.

Smurf-Attacke

Bearbeiten

Die Smurf-Attacke wurde bekannt durch das dazu verwendete Programm smurf.c, welches wahrscheinlich von einem Programmierer mit dem Pseudonym TFreak geschrieben wurde. Die Attacke und mögliche Abwehrmaßnahmen wurden 1998 vom CERT-CC beschrieben.[2]

Bei dieser Form der Attacke benutzt der Angreifer Ping-Anfragen (ICMP-Echo-Requests). Dadurch wird eine sehr hohe Zahl an Reflektoren erreicht, da fast jeder Rechner in einem Netzwerk solche Anfragen beantwortet. Die wichtigste Abwehrmaßnahme gegenüber solchen Attacken besteht darin, dass Router so konfiguriert werden, dass sie ICMP-Echo-Requests an Broadcast-Adressen nicht weiterleiten. Diese Vorgehensweise wurde 1999 im RFC2644 beschrieben.[3]

Router, welche solche Requests weiterleiten, werden Smurf-Amplifier genannt. Im Januar 1999 waren noch etwa 123.000 solcher Smurf-Amplifier bekannt,[4] aber diese Zahl verringerte sich rasch. Anfang 2003 waren es noch etwa 35.000 und Anfang 2006 noch etwa 2400. Im September 2010 waren nur noch 99 solcher Router registriert,[5] so dass diese Form der Attacke heute keine große Rolle mehr spielt.

Fraggle-Attacke

Bearbeiten

Die Fraggle-Attacke ähnelt der oben beschriebenen Smurf-Attacke, allerdings werden anstelle der Pings UDP-Pakete versendet. Vermutlich wurde diese Attacke durch den selben Programmierer durch kleinere Änderungen an dem Programm smurf.c entwickelt.

Das verwenden von UDP-Paketen hat für den Angreifer sowohl Vor- als auch Nachteile. Zum einen sind UDP-Dienste nicht so weit verbreitet, das heißt, man erreicht eine wesentlich geringere Anzahl von Reflektoren. DNS-Server sind beliebte Ziele UDP-basierter Attacken, da sie auf Port 53/udp horchen.

Wie können Smurf und Fraggle Attacken verhindert werden:

1. Ausschalten der Weiterleitung gerichteter Broadcasts auf allen Router-Ports Antworten auf ICMP-Pakete auf die IP-Broadcastadresse unterbinden. 2. Eventuell können einfach alle DPB an Broadcast gesperrt/gefiltert werden, jedoch sind sie bei einigen UDP-basierten Diensten, die beispielsweise das Bootstrap Protocol oder BOOTP zur Netzwerkbeobachtung oder -administration verwenden, sogar Grundlage des Dienstes. 3. Moderne Router unterstützen CAR-Filterung (committed access rate traffic filtering), d.h nur eine Bestimmte Menge an derartigen Netzwerkverkehr wird zugelassen. 4. Filterung ausgehender Pakete, die ihre Ursprungsadresse in einem anderen Netzwerk haben. Im Falle von Fraggle sollten zumindest folgende unnötigen Dienste und Ports abgschaltet werden: echo (port 7), chargen (port 19), daytime (port13) and qotd (port 17). Viele Firewall-Produkte haben integrierte Smurf und Fraggle Filter, die an zentralen Positionen eingesetzt werden sollten.

Referenz: http://www.javvin.com/networksecurity/SmurfAttack.html

Einzelnachweise

Bearbeiten
  1. G. Schäfer: Sabotageangriffe auf Kommunikationsinfrastrukturen: Angriffstechniken und Abwehrmaßnahmen. In: Praxis der Informationsverarbeitung und Kommunikation Band 28, Heft 3, Seiten 130–139, ISSN (Print) 0930–5157, DOI: 10.1515/PIKO.2005.130, Juli–September 2005.
  2. CERT® Advisory CA-1998-01 Smurf IP Denial-of-Service Attacks, 5. Januar 1998, zuletzt geändert am 13. März 2000.
  3. Daniel Senie, RFC2644 – Changing the Default for Directed Broadcasts in Route, August 1999.
  4. Siehe Archivseite des Projektes netscan.org
  5. Siehe Projekt Smurf Amplifier Registry

Einspruch: Kein Schnellöschgrund--Tostan 17:46, 22. Sep. 2010 (CEST)