HTTP-Reflexions-/Verstärkungsvektor, der Internet-Zensursysteme missbraucht

Im August 2021 entdeckte ein Forschungsteam einen neuen HTTP-Reflexions-/Verstärkungsvektor, der Internet-Zensursysteme missbraucht – Systeme, die unerwünschten Verkehr zu unerwünschten Websites unterbinden. Internet-Zensursysteme werden sowohl von nationalen Regierungsorganisationen als auch von ISPs betrieben, letztere in Form von kostenpflichtigen "Safe-Browsing"-Abonnementdiensten, die sie ihren Kunden anbieten

NETSCOUT fasst die Erkenntnisse wie folgt zusammen:

• Dieser Angriffsvektor nutzt Internet-Zensursysteme. Routing-Loops, die diese missbräuchlichen Systeme enthalten, sind so konfiguriert, dass sie unendliche Routing-Loops erzeugen, die einen Verstärkungsfaktor von 1:1 bis hin zu einem Verstärkungsfaktor von 700.000:1 verursachen.
• Angreifer verwenden gefälschte Anfragen für verweigerte FQDNs und/oder URIs was dazu führt, dass verstärkte HTTP-Antworten an das/die beabsichtigte(n) Ziel(e) des Angriffs gerichtet werden. Da die Angreifer sowohl den Quell- als auch den Zielport des gefälschten Datenverkehrs des Angriffsinitiators auswählen können, können sie auch die Quell- und Ziel-TCP-Ports des verstärkten Angriffsverkehrs bestimmen, der an die Angriffsziele gerichtet ist. Geschickte Angreifer wählen wahrscheinlich Quell- und Ziel-Ports, die es dem verstärkten Angriffsverkehr ermöglichen, den üblichen Richtlinien für die Netzwerkzugangskontrolle zu entsprechen, und maskieren so den Angriffsverkehr, so dass er auf den ersten Blick im Kontext der Zielanwendungen, -dienste und -infrastruktur legitim erscheint.
• Die Forscher schätzen, dass etwa 200 Millionen IP-Adressen potenziell für Angriffe dieser Art missbraucht werden können, da die Internet-Zensursysteme eine große Reichweite haben. Etwa 18 Millionen dieser IP-Adressen bieten ein Verstärkungsverhältnis von 2:1 oder mehr.
• Ausgehend von den bei Tests beobachteten Amplification-Faktoren scheint es möglich zu sein, mit dieser Angriffsmethode HTTP-Reflexions-/Amplificationangriffe im Bereich von mehreren zehn Gigabit/Sekunde bis hin zu Terabit/Sekunde zu generieren. Daraus ergibt sich eine der stärksten Arten von Reflektoren/Amplifiern, die Angreifern zur Verfügung stehen.
• DDoS-Angriffe mit hoher Bandbreite und/oder hohem Durchsatz können Peering-, Transit-, Core-, Distributed- und Accessverbindungen auslasten und so legitimen Internetverkehr unterbrechen. Gemeinsam genutzte Netzwerk-, Computer-, Speicher- und Infrastrukturen können in Mitleidenschaft gezogen werden. Diese Faktoren können bei volumetrischen Angriffen zu erheblichen Kollateralschäden führen.
• Die Einzelheiten der Auswahl, der Abstimmung und des Einsatzes von Gegenmaßnahmen hängen von den Besonderheiten der einzelnen Netze/Ressourcen ab.