Blacknurse Attack (D)DoS Teil 2

Nach den massiven Volumen Angriffen schwappt nun die nächste Welle von DoS Angriffen durch das Internet. Der aktuelle Attacke ist so simple wie auch effektiv und ein einzelner Pi oder ein etwas besseres IoT Gerät ist dafür völlig ausreichend um großen Schaden anzurichten. Die Rede ist von der „Blacknurse“ Attack mit ICMP Paketen.

Die benötigte Bandbreite auf Seiten des Angreifers beträgt lediglich 15 bis 18 Mbit/s, was heute schon ein einzelner Kabel- oder VDSL Anschluss bereitstellen kann. vHosts oder physikalische Webserver der bekannten Hoster bieten sogar ein vielfaches an Bandbreite für einen Angreifer. Bei der Blacknurse Attack braucht es nur einen einzelnen Angreifer, der lediglich ICMP Pakete an sein Opfer schickt. Ist das Gateway, die Firewall oder der Router des Opfer für die Blacknurse Attack anfällig, dann ist kein Internetzugriff für das Opfer mehr möglich, ganz egal wieviel Bandbreite der Internet Anschluss des Opfers aufweist. Der Angreifer schickt ICMP Pakete vom Type 3 – Code 3 an das Opfer und zwar so viele, bis das Gateway mit der Bearbeitung dieser Pakete völlig ausgelastet ist und sonst nichts mehr machen kann. Bei dem Angriff handelt es sich noch nicht einmal um einen Bug im IP-Stack, sondern um dessen ganz normales Verhalten. Ein Angreifer benötigt zum Beispiel nur ein normales Linux System mit hping3. Jedes Script Kiddie dürfte schon längst das einfache Kommando kennen. Für alle die Google nicht bemühen möchten oder sich selbst die Mühe machen wollen die Hilfe oder ManPage von hping3 zu lesen, hier das Kommando: hping3 -1 -C 3 -K 3 [-i u20 | –flood] <Ziel-IP> – mehr braucht es nicht um einen großen Schaden anzurichten.

Der Schutz vor (D)DoS Attacken ist wichtiger denn je und vor allem ist jeder ein potentielles Opfer, ohne Ausnahme. Bei einer Internet Anbindung mit wenig Bandbreite besteht der Angriff darin, die Leitung mit so vielen Pakten zu fluten, dass dieser für das Opfer nicht mehr zu verwenden ist. Hat man ausreichend Bandbreite und ist zum Beispiel anfällig für die Blacknurse Attack, braucht man andere Mittel um sich zu schützen. In Anbetracht der immer häufigeren (D)DoS Angriffe empfehlen wir dringend den Einsatz entsprechender Hardware Appliances zum Schutz des eigenen Perimeters. Eine solche Appliance ist schon lange kein „Nice to have“ mehr, sondern zwingend notwendig, was die mehr als eindrucksvoll die Blacknurse Attacke gezeigt hat. Die vergangenen und aktuellen (D)DoS Angriffe waren nur der Anfang, es wird noch viel schlimmer. Dies bedeutet im Umkehrschluss, dass am Perimeter aufgerüstet werden muss und für die meisten besteht hier Handlungsbedarf. Ganz aktuell zeigt auch der Versuch Router auf dem Port 7547 für das TR-069 Protokoll anzugreifen und als Bot umzufunktionieren. Alleine bei den Telekom-Kunden sind dies wohl knapp eine Million Geräte, die dann Angreifern für (D)DoS Attacken zur Verfügung gestanden hätten. Zum Glück ist dies nicht gelungen und es sind nur die einzelnen Router im Betrieb gestört worden. Dies ist zwar für den Einzelnen ärgerlich, aber weniger gefährlich als ein so großes Botnet direkt auf den Gateways.

Da das Thema für uns nicht wirklich neu ist und wir fast täglich mit (D)DoS Attacken zu tun haben gibt es in unserem Portfolio entsprechende Hersteller und Systeme mit denen man sich entsprechend schützen kann. Wichtig ist aus unsere Sicht, dass Hardware Appliances eingesetzt werden und diese dann ab entsprechende Bandbreiten auf spezielle Prozessoren und/oder ASIC’s bzw. auf FPGA’s setzen. Je nach Einsatzzweck, Bandbreite und anderer Rahmenbedingungen verwenden wir Systeme von Fortinet oder A10 Networks. Einer der großen Vorteile ist der transparente Einsatz der Systeme zwischen ISP Router und Firewall oder eigenem Gateway. So lassen sich diese Systeme ohne großen Aufwand oder gar Änderung der Topologie sehr einfach implementieren. Der Synergieeffekt ist die zweite Security Linie die man mit dem Einsatz der Systeme automatisch erhält. Denn eine solche Appliances kann natürlich auch grundsätzlich unerwünschten Traffic fernhalten und ist somit auch universeller verwendbar.