-
Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt.
Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichtsahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt.
TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second – PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.
In den letzten zwei Jahren ist ein stetiges Wachstum von Angreifern zu verzeichnen, die TCP-Reflection-Angriffe nutzen. Bei einer solchen Reflection-Attacke sendet ein Angreifer eine Flut gefälschter SYN-Pakete, bei dem die ursprüngliche Quell-IP durch die IP-Adresse des Opfers ersetzt wird, an eine Vielzahl von zufälligen oder vorselektierten Reflection-IP-Adressen. Die Dienste an den Reflection-Adressen antworten normalerweise mit einem SYN-ACK-Paket an das Opfer des Angriffs und erwarten von dort ein ACK, das den 3-Wege-Handshake von TCP komplettiert und die Verbindung etabliert. Dieses ACK kommt jedoch nicht, da das Opfer die Verbindung ja gar nicht initiiert hat. In der Regel sendet der Reflection Server daraufhin eine, je nach Konfiguration unterschiedliche, Anzahl weiterer SYN-ACK-Pakete an das Opfer, die den Angriff verstärken. Der Verstärkungsfaktor liegt dabei typischerweise zwischen 20 und 100, d.h. für jedes Paket, das der Angreifer an den Reflector schickt, sendet dieser 20 bis 100 an das eigentliche Opfer. In Einzelfällen sind jedoch auch Reflektoren zu beobachten, die statt einer relativ geringen Zahl von SYN-ACKs bis zu 80.000 RST-Pakete senden, um die Verbindung zu beenden – mit entsprechenden Auswirkungen auf das Opfer.
Da die Reflektoren mit SYN-Paketen geflutet werden, sehen sie sich in der Regel zunächst selbst als das Ziel einer SYN Flood, die allerdings von einer vertrauenswürdigen Absenderadresse ausgeht. Entsprechende Meldungen an die einschlägigen Betreiber von Blacklists können dann dazu führen, dass das eigentliche Ziel des Angriffs sogar noch geblacklisted wird – was die DoS-Attacke besonders wirkungsvoll macht. Radware empfiehlt daher, vor einem Blacklisting die Herkunft der SYN-Pakete eindeutig zu klären, um den Opfern von Angriffen nicht noch mehr Schaden zuzufügen.
Nach Angaben von Radware häufen sich die Angriffe unter Einsatz von TCP Reflection, speziell gegen Finanzdienstleister, Telekommunikations-Anbieter und die Glücksspiel-Branche. So wurde im Oktober ein massiver TCP-Reflection-Angriff auf Eurobet verzeichnet, der zunächst wegen einer Lösegeldforderung als Ransom-Angriff angesehen wurde, die aber offenbar von einem Trittbrettfahrer stammte. Grundsätzlich ist jedoch keine Branche vor solchen Angriffen gefeit, da Angreifer den gesamten IPv4-Adressraum nutzen, um geeignete Reflektoren zu finden.
Da die Ziele von TCP-Reflection-Angriffe und auch die Reflektoren im Regelfall legitime Absenderadressen sehen, sind herkömmliche Abwehrmethoden oft nicht geeignet, die Angriffe zeitnah zu erkennen und zu beenden. Radware empfiehlt daher verhaltensbasierte Mitigationslösungen, die solche Attacken sowohl beim Opfer als auch beim Reflektor erkennen und bekämpfen können.
Verantwortlicher für diese Pressemitteilung:
Radware GmbH
Herr Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen
Deutschlandfon ..: +49 6103 70657-0
web ..: http://www.radware.com
email : info_de@radware.comPressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 Münchenfon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : achim.heinze@prolog-pr.comDisclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.
Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von Presseverteiler.me verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.
Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken
auf Presseverteiler publiziert am 12. November 2019 in der Rubrik Presse - News
News wurde 69 x angesehen
Sie wollen diese Pressemitteilung verlinken? Der Quellcode lautet:
Domain Adressen die Sie kaufen können - jetzt informieren.
Web-Adressen die wir aus unserem Bestand verkaufen. Dazu zählen u.a.:- informieren vergleichen sparen (www.informieren-vergleichen-sparen.de)
- informieren vergleichen (www.informieren-vergleichen.de)
- informieren sparen (www.informieren-sparen.de)
- informieren vergleichen kaufen (www.informieren-vergleichen-kaufen.net)
- informieren buchen sparen (www.informieren-buchen-sparen.de)
- informieren vergleichen buchen reisen (www.informieren-vergleichen-buchen-reisen.de)
- buchen Sie online (www.buchen-sie-online.de)
Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken
Lesezeit dieser Pressemitteilung ca. 2 Minuten, 21 Sekunden
Presseartikel-ID 32648
auf Presseverteiler suchen
online Presseverteiler von Pressemitteilungen
Die Veröffentlichung von Pressemitteilungen im Web wird durch einen Presseverteiler vereinfacht. Mit einem Klick sendet dieser Ihren Content an diverse Portale weiter. Arbeitszeit und Geld sparen - bequemer kann Pressearbeit nicht sein.
neue Pressemitteilungen
- Zeit hinter Dir – das neue Lied von Ines-Marie Jaeger
- Eilt: 5,5 Mio. $ Riesendeal – Diesen 288% Cloud AI Hot Stock jetzt kaufen nach 278.417% mit NVIDIA ($NVDA) und 215.872% mit Microsoft ($MSFT)
- NurExone Biologic: Positiver „Buzz“ in Internetforen unterstreicht Performance
- Alset Capital Inc. meldet Unterzeichnung eines zweijährigen KI-Computing-Leasingvertrages im Wert von 5,5 Millionen C$ durch sein Beteiligungsunternehmen Cedarcross Technologies
- truu erhält ISO-Zertifikate für Qualitäts- und Umweltmanagement
- Neue Design-Innovation bei Raum + Form: Der Team 7 Schreibtisch Pisa
- Die wichtigsten Goldkäufer
- Mr. Lodge GmbH kooperiert mit den Coliving-Anbietern The Base FOL Group GmbH und BeePartment Marken GmbH
- Mit einem Unternehmensberater zum geschäftlichen Erfolg
- Bei Frequentis sind die Orderbücher voll
- Gold ist eine liquide Anlage mit Werterhaltungsfunktion
- Nalda.ch: Der Schlüssel zur Kosteneffizienz in der Buchbranche
- Sie können sich auf umweltschonende Weise von alten Firmenrechnern trennen.
- FTS Hennig präsentiert eigene innovative 5G Router und Antennen für Spitzenleistung
- Haomo.AI sammelt 300 Millionen RMB in Serie B2, um die Führung im autonomen Fahren zu behalten
- Qualcomm und Haomo.AI kündigen intelligente Fahrlösung an, betrieben durch die Snapdragon Ride Plattform.
- Online informieren übers Auslandsjahr im Mai mit Schulen aus Kanada & Down Under: Neues Wintersport-Stipendium
- Cannabis Hot Stock mit massivem Kaufsignal – Jetzt einsteigen. Neuer 305% Cannabis Aktientip nach 50.133% mit Aurora Cannabis ($ACB), 91.220% mit Curaleaf Holdings ($CURA) und 294.900% mit Canopy Growth ($CGC)
Presseverteiler – Kategorien
Presseverteiler – Archiv
News verteilen mit unserem Presseverteiler