Digital Life
14.11.2016

DoS-Attacke: Ein einzelnes Notebook legt Internet-Server lahm

Forscher haben einen neue Art von Cyberangriff entdeckt, bei der ein einzelnes Notebook denselben Schaden wie eine DDoS-Attacke eines Bot-Netzwerks anrichten kann.

Bei der großangelegten Attacke auf die DNS-Server von Dyn, bei denen Dienste wie Spotify, Netflix und Paypal gestört wurden, kam ein Bot-Netzwerk mit zehntausenden Geräten zum Einsatz. Forscher (PDF) haben jetzt einen Weg gefunden ähnliche Resultate mit nur einem Notebook herbeizuführen.

Bei dem Angriff auf Dyn wurden die Server überlastet, indem sie mit Anfragen bombardiert wurden. Zeitweise erreichte dies Ausmaße von über ein Terabit pro Sekunde. Mit der neuen Angriffsmethode, die die Forscher BlackNurse genannt haben, reicht ein Notebook und eine Datenleitung mit 15 bis 18 Mbit pro Sekunde.

Der Angriff richtet sich dabei gegen die Firewall, die den Server schützen soll. Es werden ICMP-Pakete geschickt. Das Internet Control Message Protocol dient üblicherweise zum Senden von Empfangen von Fehlermeldungen. Eine bestimmte Art von ICMP-Typ-3-Paketen belastet dabei die CPU des Firewall-Server besonders stark. Erreichen die ICMP-Paketanfragen ein Volumen von 15 bis 18 Mbit, ist die CPU ausgelastet. Vom Netzwerk hinter der Firewall können dann weder Daten gesendet noch empfangen werden – der Server ist damit lahmgelegt.

Attacken leicht abwehrbar

Laut den Forschern erholen sich die Firewalls üblicherweise, wenn der BlackNurse-Angriff eingestellt wird. Die Attacke soll mit Firewalls von Cisco Systems, Palo Alto Networks, SonicWall und Zyxel funktionieren und bereits von Cyberkriminellen eingesetzt worden sein.

Laut den Forschern können die BlackNurse-Attacken relativ einfach verhindert werden, indem die Firewall entsprechend konfiguriert wird. Eine der einfachsten Methoden sei sicherzustellen, dass die Firewall keine ICMP-Pakete von außerhalb des zu schützenden Netzwerks akzeptiert.