StartseiteIT und SoftwareAngreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken: OnPrNews.com

m Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt. Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichtsahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt.

TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second – PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.

In den letzten zwei Jahren ist ein stetiges Wachstum von Angreifern zu verzeichnen, die TCP-Reflection-Angriffe nutzen. Bei einer solchen Reflection-Attacke sendet ein Angreifer eine Flut gefälschter SYN-Pakete, bei dem die ursprüngliche Quell-IP durch die IP-Adresse des Opfers ersetzt wird, an eine Vielzahl von zufälligen oder vorselektierten Reflection-IP-Adressen. Die Dienste an den Reflection-Adressen antworten normalerweise mit einem SYN-ACK-Paket an das Opfer des Angriffs und erwarten von dort ein ACK, das den 3-Wege-Handshake von TCP komplettiert und die Verbindung etabliert. Dieses ACK kommt jedoch nicht, da das Opfer die Verbindung ja gar nicht initiiert hat. In der Regel sendet der Reflection Server daraufhin eine, je nach Konfiguration unterschiedliche, Anzahl weiterer SYN-ACK-Pakete an das Opfer, die den Angriff verstärken. Der Verstärkungsfaktor liegt dabei typischerweise zwischen 20 und 100, d.h. für jedes Paket, das der Angreifer an den Reflector schickt, sendet dieser 20 bis 100 an das eigentliche Opfer. In Einzelfällen sind jedoch auch Reflektoren zu beobachten, die statt einer relativ geringen Zahl von SYN-ACKs bis zu 80.000 RST-Pakete senden, um die Verbindung zu beenden – mit entsprechenden Auswirkungen auf das Opfer.

Da die Reflektoren mit SYN-Paketen geflutet werden, sehen sie sich in der Regel zunächst selbst als das Ziel einer SYN Flood, die allerdings von einer vertrauenswürdigen Absenderadresse ausgeht. Entsprechende Meldungen an die einschlägigen Betreiber von Blacklists können dann dazu führen, dass das eigentliche Ziel des Angriffs sogar noch geblacklisted wird – was die DoS-Attacke besonders wirkungsvoll macht. Radware empfiehlt daher, vor einem Blacklisting die Herkunft der SYN-Pakete eindeutig zu klären, um den Opfern von Angriffen nicht noch mehr Schaden zuzufügen.

Nach Angaben von Radware häufen sich die Angriffe unter Einsatz von TCP Reflection, speziell gegen Finanzdienstleister, Telekommunikations-Anbieter und die Glücksspiel-Branche. So wurde im Oktober ein massiver TCP-Reflection-Angriff auf den Sportwetten-Anbieter Eurobet verzeichnet, der zunächst wegen einer Lösegeldforderung als Ransom-Angriff angesehen wurde, die aber offenbar von einem Trittbrettfahrer stammte. Grundsätzlich ist jedoch keine Branche vor solchen Angriffen gefeit, da Angreifer den gesamten IPv4-Adressraum nutzen, um geeignete Reflektoren zu finden.

Da die Ziele von TCP-Reflection-Angriffe und auch die Reflektoren im Regelfall legitime Absenderadressen sehen, sind herkömmliche Abwehrmethoden oft nicht geeignet, die Angriffe zeitnah zu erkennen und zu beenden. Radware empfiehlt daher verhaltensbasierte Mitigationslösungen, die solche Attacken sowohl beim Opfer als auch beim Reflektor erkennen und bekämpfen können.

Radware (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sorgt für eine zuverlässige Quality of Service unternehmenskritischer Anwendungen bei maximaler IT-Effizienz.
Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten. Radware Cloud Security Services bietet Unternehmen weltweit Cloud-basierten Infrastrukturschutz, Anwendungsschutz und unternehmensweiten IT-Schutz.

Firmenkontakt
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
info_de@radware.com
https://www.radware.com

Pressekontakt
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
089 800 77-0
radware@prolog-pr.com
https://www.prolog-pr.com/radware

Bildquelle: Radware GmbH

Lesen Sie mehr zum Thema

Disclaimer/ Haftungsausschluss: Für den oben stehend Pressemitteilung inkl. dazugehörigen Bilder / Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter Onprnews.com distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.

- Artikel teilen -

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Optimierung der Rechnungsprozesse: Wie der USB-WORM-Stick und E-Rechnungs-Generator von winball.de helfen

Im Zentrum der digitalen Transformation stehen effiziente Rechnungsprozesse, die Unternehmen helfen, Zeit und Ressourcen zu sparen. Der USB-WORM-Stick von winball.de ermöglicht die revisionssichere Speicherung von E-Rechnungen, während der neue Webservice die unkomplizierte Erstellung von E-Rechnungen im ZUGFeRD-Format ermöglicht. Beide Tools setzen neue Maßstäbe an Sicherheit und Benutzerfreundlichkeit.

Maximieren Sie Ihre Ersparnisse mit MovPilot: Exklusive Rabatte zum Black Friday 2024

Nutzen Sie die einmalige Gelegenheit, MovPilot Software zu ermäßigten Preisen zu erwerben und verbessern Sie Ihr Videoerlebnis. Die Black Friday Angebote ermöglichen es Ihnen, hochwertige Tools zur Videokonvertierung zu einem Bruchteil des Preises zu sichern. Verpassen Sie nicht die Chance, Ihre Lieblingsinhalte von Plattformen wie Netflix und Disney Plus herunterzuladen.

Exklusive Black Friday Angebote: TuneFab bietet nie dagewesene Rabatte auf Musiksoftware

TuneFab hat sich einen Namen gemacht, wenn es um hochwertige Musiksoftware geht. Zur Feier von Black Friday 2024 werden die Preise auf ein Rekordtief gesenkt. Nutzen Sie diese Gelegenheit, um beeindruckende Programme für Ihre Musikverwaltungsbedürfnisse zu sichern.

Von der Idee zur Realität: Wie 3D-Visualisierungen die Architektur revolutionieren

3D-Visualisierungen haben die Art und Weise, wie Bauprojekte konzipiert und präsentiert werden, revolutioniert. Sie bieten nicht nur einen umfassenden Einblick in die geplanten Gebäude, sondern helfen auch dabei, Entscheidungen fundiert zu treffen. Durch diese Technologie wird die Vision des Architekten greifbarer und verständlicher.

Keeper Security warnt Einzelhändler vor Cybergefahren im Weihnachtsgeschäft

Bewährte Methoden von Keeper zum Schutz sensibler Systeme und Kundendaten für...

So schützen sich KMU vor Cyberangriffen – abtis beim 1. IHK Cybersecurity Day 2023

Cyberattacken machen auch vor kleinen und mittleren Unternehmen nicht Halt. Beim...

Skyhigh Security Studie: Trotz des hohen Risikos von Cyberangriffen agiert der Gesundheitssektor bei Investitionen in Security-Maßnahmen zurückhaltend

Einrichtungen des Gesundheitswesens bleiben bei der Implementierung von Cloudanwendungen und Cloud-Services...

Cyberangriffe in Apotheken erreicht eine neue Dimension

Die fortschrittliche KI-Technologie ermöglicht es Hackern, hochauthentische und personalisierte Angriffe durchzuführen Die...