Prolexic: Zunahme von DDoS mit SNMP-Verstärkung

Die Experten von Prolexic (jetzt Teil von Akamai Technologies) warnen vor einer Zunahme von Fällen, in denen der DDoS-Traffic mit Hilfe von Geräten verstärkt wird, die eine Verbindung über das SNMP-Protokoll unterhalten. In der Zeit zwischen dem 11. April und 14. Mai registrierten die Forscher 14 solcher Fälle, denen Unternehmen unterschiedlichster Art zum Opfer fielen: Verkäufer von Gebrauchswaren, Anbieter von Software as a Service (SaaS), Hosting-Provider, Entwickler von Computerspielen sowie gemeinnützige Organisationen.

Eine wachsende Popularität und Effektivität von DDoS-Attacken mit Verstärkung (DrDoS), die die Netzprotokolle SNMP, NTP und CHARGEN nutzen, registrierte Prolexic bereits vor einem Jahr. Solche Attacken werden zumeist mittels Absenden einer Anfrage von einer Stroh-IP-Adresse durchgeführt, wobei Vermittler Voraussetzung sind – Websites oder die Verbindung zu einer Netzwerkkomponente. Um diese Vermittler zur Zusammenarbeit zu zwingen, nutzen die Cyberkriminellen Sicherheitslücken in den Standardprotokollen und verwandeln so die sie unterstützenden Geräte in gefügige Werkzeuge zur Durchführung von DDoS-Attacken. Dabei können die Antworten, die von ihnen zum Zwecke des IP-Spoofings an das Ziel gesendet werden, die von dem Angreifer gestellten Anfragen um ein Zehn- oder Hundertfaches übersteigen.

Das SNMP-Protokoll wird für die Verbindung mit so weit verbreiteten Geräten wie etwa Druckern und Routern verwendet. Das Schlimme daran ist laut Experten, dass es sich dabei um veraltete Geräte handelt, die frühestens vor drei Jahren auf den Markt gekommen sind, zusammen mit der SNMP-Version 2, in der standardmäßig der öffentliche Zugriff aktiviert ist. Hat ein Angreifer verwundbare Geräte im Netz gefunden, oder verwendet er fertige Listen, so versendet er die SNMP-Anfrage GetBulk, die die Herausgabe der größtmöglichen Informationsmenge fordert. Bei einer Anfrage an einen Router beinhalten diese Informationen beispielsweise eine Liste der gespeicherten IP-Adressen, ein Drucker wiederum gibt Informationen über die Art des verwendeten Toners aus.

In den von Prolexic beschriebenen SNMP-Attacken überstiegen die Größen der Anfragen nicht die 40-Byte-Grenze, die voluminösen „Verstärkungs-Geräte“, die auf das Ziel ausgerichtet waren, waren in Dutzende fragmentierte Pakete gestückelt. Der maximale, von den Experten registrierte Verstärkungskoeffizient des DDoS Traffics betrug 1700.

„Attacken unter Einsatz von Protokollen, die eine Spiegelung ermöglichen, wie etwa SNMP, erleben von Zeit zu Zeit einen Aufschwung“, erklärt Stuart Scholly, Senior Vice President und Leiter der Abteilung für Informationssicherheit bei Akamai. „Dieses erneute Hoch hängt mit dem Auftauchen von öffentlich verfügbaren Tools zur Durchführung von SNMP-Attacken zusammen.“ Eins dieser Tools wird in dem neuen Info-Bulletin von Prolexic zum Thema ‘DDoS mit SNMP-Verstärkung’ detailliert untersucht (Registrierung erforderlich). Bei der Untersuchung unter Laborbedingungen zeigte der SNMP Refelector DDOS einen Verstärkungskoeffizienten von etwa 1400.

Bei Entdeckung werden die Netzgeräte, die in SNMP-Attacken verwickelt sind, in Schwarze Listen aufgenommen oder durch Blackholing blockiert. Dadurch kann die Gesamtleistung des Junk-Stroms zurückgehen. So registrierte Prolexic in dem genannten Zeitraum einige extreme Sprünge bei einem allgemeinen Ausstoß von 90 bis 0,69 GB/Sek. Trotzdem kann die Isolierung von unfreiwilligen Teilnehmern an DDoS-Attacken einen Angriff nur für eine gewisse Zeit eindämmen, denn verwundbare SNMP-Geräte gibt es im Internet bisher noch mehr als genug.

„Netzadministratoren sind aufgefordert, nach Geräten zu suchen, die SNMP Version 2 verwenden und für deren Sicherheit zu sorgen“, ergänzt Scholly. „Aktivisten der Internet-Community haben sich bemüht, alle Beteiligten an den letzten DDoS-Attacken in Schwarze Listen aufzunehmen, damit die Netzadministratoren die entsprechenden Maßnahmen ergreifen können – diese Auflistung ist in unserem Informationsbulletin enthalten.“

Prolexic empfiehlt zum prophylaktischen Schutz die folgenden Maßnahmen zu ergreifen:

  • Einschränkung des öffentlichen Zugriffs auf Geräte, die SNMP Version 2 benutzen;
  • Verbot des äußeren Zugriffs auf einige Geräte, wie etwa Drucker;
  • Einschränkung und Kontrolle des Zugriffs auf solche SNMP-Geräte, die eine große Zahl von Schützlingen haben;
  • Verwendung – wenn möglich – von SNMP Version 3, welche zuverlässiger ist.

Quelle: Prolexic

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.