Inhalt
- Grundlagen des TCP-Protokolls: Funktionsweise einer SYN-Flut
- Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
- Slowloris
- Reaktionsstrategien gegen SYN-Flutangriffe
- Wachsam bleiben, vor Angriffen schützen
Quelle: Aleutie / Dreamstime.com
Wegbringen:
Mit atemberaubenden 65.535 TCP-Ports, die auf einer einzigen IP-Adresse verfügbar sind, ist es leicht zu erkennen, warum es im Internet so viele Sicherheits-Exploits gibt. Obwohl SYN-Angriffe kaum neu sind, sind sie immer noch schwer zu bekämpfen.
Ein akzeptables Risiko ist erkennbar, wenn ein Unternehmen eine Website startet, ins Internet stellt und diese für alle Besucher öffnet. Was einige Unternehmen möglicherweise nicht erkennen, ist, dass einige Risiken unüberwindbar sind, selbst für massive Unternehmen und Regierungsbehörden. Mitte bis Ende der 90er Jahre galten zerstörerische Nebenwirkungen einer Art von Angriffen als nahezu unlösbar - und sie sind bis heute ein Problem.
Es ist als SYN-Flutangriff bekannt. Mit atemberaubenden 65.535 TCP-Ports, die auf einer einzigen IP-Adresse verfügbar gemacht werden und bei denen jede Software, die diese Ports überwacht, anfällig ist, ist es leicht zu erkennen, warum es im Internet so viele Sicherheits-Exploits gibt. SYN-Fluten beruhen auf der Tatsache, dass Webserver auf scheinbar legitime Anfragen nach Webseiten reagieren, unabhängig davon, wie viele Anfragen gestellt werden. Sollte ein Angreifer jedoch viele Anfragen stellen, die den Webserver dann nicht mehr bedienen können, kommt es zu einer Katastrophe und der Webserver fällt aus. Grundsätzlich funktionieren SYN-Floods so. Schauen Sie sich hier einige der häufigsten Arten von SYN-Angriffen an und welche Maßnahmen Netzwerk- und Systemadministratoren ergreifen können, um diese Angriffe abzuwehren.
Grundlagen des TCP-Protokolls: Funktionsweise einer SYN-Flut
Aufgrund des offensichtlichen Mangels an offensichtlichen Abhilfemaßnahmen wurden SYN-Angriffe von Online-Unternehmen zu Recht befürchtet, als sie erstmals in freier Wildbahn identifiziert wurden.
SYN-Fluten landeten fest unter den verschiedenen Denial-of-Service-Angriffen und waren für System- und Netzwerkadministratoren am frustrierendsten, da sich zumindest der Angriffsverkehr als legitimer Datenverkehr darstellte.
Um die Einfachheit - manche sagen Schönheit - dieser Angriffsart zu würdigen, müssen wir uns kurz das Protokoll ansehen, das für einen wesentlichen Teil des Internetverkehrs verantwortlich ist, das Transmission Control Protocol (TCP).
Das Ziel eines solchen Angriffs ist es, alle verfügbaren Ressourcen eines Webservers schnell zu nutzen, indem der Server von seinen Serverdaten für legitime Besucher überzeugt wird. Infolgedessen wird den legitimen Benutzern des Servers der Dienst verweigert.
TCP-Verbindungen, mit denen neben Millionen anderer Online-Funktionen Websites und Tweets angezeigt werden, werden mit einem so genannten Drei-Wege-Handshake hergestellt. Die Voraussetzung für den Handshake ist einfach. Sobald beide Seiten verbunden sind, ermöglicht dieses ausgeklügelte Protokoll Funktionen wie die Begrenzung der Datenmenge, die ein Server an einen Empfänger sendet, basierend auf der verfügbaren Bandbreite des Empfängers.
Beginnend mit einem SYN-Paket (das für Synchronize steht), das vom Besucher oder Client gesendet wurde, antwortet der Server dann effizient mit einem SYN-ACK-Paket (oder einer Synchronize-Acknowledge), die dann vom Besucher bestätigt wird, bei dem es sich um ein ACK-Paket handelt seine eigene Antwort. Zu diesem Zeitpunkt wurde eine Verbindung hergestellt und der Verkehr kann frei fließen.
Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.
Eine SYN-Flood-Attacke umgeht diesen reibungslosen Austausch, indem die ACK nicht an den Server gesendet wird, nachdem die ursprüngliche SYN-ACK gesendet wurde. Entweder wird dieses Paket vollständig ausgelassen, oder die Antwort enthält möglicherweise irreführende Informationen wie eine gefälschte IP-Adresse, wodurch der Server gezwungen wird, eine vollständige Verbindung zu einem anderen Computer herzustellen. Dies ist einfach, aber tödlich für jeden Host, der TCP respektiert.
Slowloris
Eine Variante dieser Angriffsmethode, die vor einigen Jahren für Schlagzeilen sorgte, hieß Slowloris. Die Slowloris-Site beschreibt sich selbst als "den bandbreitenarmen, aber gierigen und giftigen HTTP-Client!" Die Site sorgt mit Sicherheit für besorgniserregendes Lesen und beschreibt, wie ein einzelner Computer "einen anderen Computer-Webserver mit minimaler Bandbreite und Nebenwirkungen auf nicht verwandte Dienste und Ports herunterfahren" kann.
Es wird weiter erklärt, dass ein solcher Angriff eigentlich kein TCP-Denial-of-Service-Angriff ist. Dies liegt anscheinend daran, dass eine vollständige TCP-Verbindung hergestellt wird, aber, was sehr wichtig ist, dass nur eine teilweise HTTP-Anforderung zum Abrufen einer Webseite vom Server gestellt wird. Ein Nebeneffekt ist, dass der Webserver im Vergleich zu anderen Angriffen sehr schnell in den normalen Betriebszustand zurückkehren kann.
Diese Funktion kann es einem Angreifer ermöglichen, innerhalb kurzer Zeit einen anderen kurzlebigen Angriff auszuführen, da der Server mit einer SYN-Flut zu kämpfen hat und den Server dann wieder auf den vorherigen Zustand zurückversetzt bemerkt werden.
Reaktionsstrategien gegen SYN-Flutangriffe
Bei der gezielten Ausrichtung einiger hochkarätiger Websites wurde deutlich, dass eine Abhilfemaßnahme dringend erforderlich war. Das Problem ist, dass es schwierig ist, einen Server für solche Angriffe völlig undurchdringlich zu machen. Bedenken Sie beispielsweise, dass selbst das, was als Abbau von Verbindungen bekannt ist, Serverressourcen beansprucht und andere Kopfschmerzen verursachen kann.
Linux- und FreeBSD-Entwickler antworteten mit einem Kernelzusatz namens SYN-Cookies, der seit langer Zeit Bestandteil des Standard-Kernels ist. (Obwohl sie überraschenderweise nicht von allen Kerneln standardmäßig aktiviert werden.) SYN-Cookies funktionieren mit sogenannten TCP-Sequenznummern. Sie haben die Möglichkeit, bevorzugte Folgenummern zu verwenden, wenn eine Verbindung zum ersten Mal hergestellt wird, und Fluten zu mildern, indem sie SYN-Pakete in ihrer Warteschlange ablegen. Dies bedeutet, dass sie viel mehr Verbindungen handhaben können, wenn sie müssen. Infolgedessen sollte die Warteschlange niemals überlastet werden - zumindest theoretisch.
Einige Gegner sprechen sich offen gegen SYN-Cookies aus, weil sie Änderungen an TCP-Verbindungen vornehmen. Infolgedessen wurden TCP-Cookie-Transaktionen (TCPCT) eingeführt, um Mängel bei SYN-Cookies zu beheben.
Wachsam bleiben, vor Angriffen schützen
Da immer mehr Angriffsmethoden im Internet entdeckt und dann ausgenutzt werden, ist es wichtig, stets wachsam zu bleiben. Bestimmte Arten von Angriffen zwingen sowohl Personen mit guten Absichten als auch Personen mit böswilligen Absichten, neue Methoden zum Schutz und Angriff auf Systeme zu erforschen. Fest steht, dass die Erkenntnisse aus einfachen, aber raffinierten Angriffen wie SYN-Floods die Sicherheitsforscher noch besser über die zukünftige Entwicklung von Protokollen und Firewall-Software auf dem Laufenden halten. Wir können nur hoffen, dass das Internet insgesamt davon profitiert.