Akamai-Blog | TCP Middlebox Reflection: bald auch in Ihrer Nähe
Verfasst vom: Akamai Security Intelligence Response Team
Zusammenfassung
In der vergangenen Woche haben Security Researchers von Akamai eine Reihe von TCP-Reflection-Angriffen erkannt und analysiert, die gegen Akamai-Kundschaft gerichtet waren und mit 11 Gbit/s und 1,5 Millionen Paketen pro Sekunde ihren Höchststand erreichten.
Zur Verstärkung der Angriffe kam eine Methode namens „TCP Middlebox Reflection“ zum Einsatz. Dabei werden anfällige Firewalls und Inhaltsfiltersysteme dafür missbraucht, um TCP-Traffic auf einen betroffenen Computer zu reflektieren und zu verstärken, was einen leistungsstarken DDoS-Angriff verursacht.
Middleboxes reichen von nationalen Zensursystemen wie der Großen Firewall von China bis hin zu Inhaltsfiltersystemen von Konzernen und sind weltweit zu finden.
In der Theorie wurde die neuartige Methode im vergangenen August von Forschern der Universitäten von Maryland und Colorado vorgestellt; dies ist jedoch das erste Mal, dass wir die Technik live in der Praxis erleben.
Diese Angriffsart senkt die Einstiegsschwelle für DDoS-Attacken auf gefährliche Weise, da die Angreifenden mitunter nur noch ein 75stel der Bandbreite an Volumen benötigen.
Einige Middlebox-Implementierungen ermöglichen es Angreifern, zusätzlich zum volumenbasierten TCP-Angriff SYN-, ACK- oder PSH- und ACK-Flooding hinzuzufügen.
Es wurden Angriffe gegen Unternehmen aus der Banken-, Reise-, Gaming-, Medien- und Webhosting-Branche beobachtet.
Zwar ist der aktuelle Angriffstraffic noch relativ gering; aufgrund der erheblichen Verstärkung, die sie Angreifern bietet, erwarten wir jedoch in Zukunft eine Zunahme dieser Angriffsart.
Einführung
Seit einigen Wochen beobachten Forschende von Akamai mehrere DDoS-Angriffskampagnen (Distributed Denial of Service) gegen Akamai-Kundschaft mit SYN-Flooding und hohen Trafficvolumen von bis zu 11 Gbit/s und mit 1,5 Millionen Paketen pro Sekunde. Bei der Untersuchung der beim Angriff verwendeten TCP-Pakete bemerkten wir, dass eine neue Methode zum Einsatz kam, die als „TCP Middlebox Reflection“ bekannt ist.
TCP Middlebox Reflection wurde erstmals im August 2021 von Forschern der Universitäten von Maryland und Colorado Boulder als neuer Angriffsvektor für DDoS-Angriffe genannt. In ihrer Arbeit „Weaponizing Middleboxes for TCP Reflected Amplification“ zeigten sie auf, wie Firewalls, Inhaltsfiltersysteme und ähnliche Geräte für TCP-Reflection-Angriffe eingesetzt werden können. Die DDoS-Verstärkung über solche „Middleboxes“ genannten Geräte ist eine völlig neue Angriffsart, die ein Risiko fürs Internet darstellt.
Dies ist das erste Mal, dass wir diese Technik in der Praxis beobachtet haben. In diesem Blog besprechen wir den Angriffsvektor, erklären seine Funktionsweise, führen Beispiele aus den beobachteten Angriffen an, geben Informationen über die Bedrohung, die er für ein Netzwerk darstellt, und stellen hilfreiche Methoden zur Abwehr solcher Angriffe vor.
TCP Middlebox Reflection – ein neuer DDoS-Angriffsvektor
Eine Middlebox ist ein netzinternes Gerät, das sich auf dem Pfad zwischen zwei miteinander kommunizierenden Endhosts befindet und Paketströme während der Ausführung überwachen, filtern oder umwandeln kann. Im Gegensatz zu herkömmlichen Netzwerkgeräten wie Routern und Switches arbeiten Middleboxes nicht nur auf den Paketheadern, sondern über Deep Packet Inspection (DPI) auch auf ihren Payloads.
– „Weaponizing Middleboxes for TCP Reflected Amplification“
Wie bereits erwähnt, erfolgte die Veröffentlichung von TCP Middlebox Reflection erstmals in der Forschungsarbeit „Weaponizing Middleboxes for TCP Reflected Amplification“. Darin versuchen die Verfasser, die Durchführbarkeit und Wirksamkeit der TCP-basierten Verstärkung im Vergleich zu bekannten UDP-basierten Methoden zu demonstrieren. Das Team nutzte die TCP-Nichtkonformität bei Netzwerk-Middleboxes aus und konnte so hochwirksame TCP-basierte Reflection-Verstärkungsangriffe erstellen.
Die Verfasser der Studie entdeckten, dass einige dieser Middlebox-Systeme beim Versuch, Inhaltsfilterrichtlinien durchzusetzen, die TCP-Streamzustände nicht berücksichtigen. Diese Boxes können so konfiguriert werden, dass sie auf zustandslose TCP-Pakete antworten. Diese Antworten enthalten häufig Inhalte, die Clientbrowser „kapern“ sollen, um zu verhindern, dass Nutzer zu gesperrten Inhalten gelangen. Diese fehlerhafte TCP-Implementierung kann wiederum von Angreifern dazu missbraucht werden, um TCP-Traffic – einschließlich Datenströmen – auf Opfer von DDoS-Angriffen zu reflektieren.
Die Verfasser der Studie weisen darauf hin, dass es weltweit Hunderttausende Middlebox-Systeme gibt, die für diesen Missbrauch von TCP-Reflection anfällig sind. In ihren Tests entdeckten sie Verstärkungsraten, die beliebte und häufig missbrauchte UDP-Reflection-Vektoren übertreffen. Einige der in der Praxis existierenden anfälligen Systeme bieten eine Verstärkungsrate, die höher ist als die übelsten UDP-Vektoren wie NTP, RIPv1 und sogar der bereits berüchtigte Memcached.
Der Angriff: Missbrauch der TCP-Nichtkonformität bei Middleboxes
Angreifer können verschiedene TCP-Paketsequenzen erstellen, die HTTP-Anfrageheader enthalten. In diesen HTTP-Headern wird ein Domänenname für eine gesperrte Website als Hostheader verwendet. Wenn diese Pakete von der Middlebox empfangen werden, die so konfiguriert ist, dass sie keinen Zugriff auf die Website zulässt, antwortet die Middlebox – in der Regel mit HTTP-Headern und in einigen Fällen mit ganzen HTML-Seiten. Diese Antworten bieten Angreifenden eine Reflektionsmöglichkeit und in einigen Fällen einen erheblichen Verstärkungsfaktor.
Um diese Boxes für DRDoS-Angriffe (Distributed Reflective Denial of Service) zu missbrauchen, manipuliert ein Angreifer Quell-IPs des beabsichtigten Opfers, was zu Antworttraffic führt, der von den Middleboxes auf das Angriffsziel gerichtet wird. Middlebox-Systeme, die auf diese Weise konfiguriert wurden, sind in Netzwerken im gesamten Internet zu finden, da sie häufig zur staatlichen Durchsetzung von Zensurgesetzen oder für Inhaltsfilterrichtlinien in Konzernen verwendet werden.
Fig. 1. Example responses from vulnerable middlebox
Im Trafficbeispiel aus Abbildung 1 können Sie beobachten, wie eine betroffene Middlebox bei realen Angriffen genutzt wird. Wird ein einzelnes SYN-Paket mit einer 33‑Byte-Payload gesendet, löst dies eine 2.156‑Byte-Antwort aus; dies entspricht einem 65‑fachen Verstärkungsfaktor (6,533 %). Eine solche Verstärkung dient als Kraftmultiplikator, da Angreifer eine geringere Bandbreite zur Lancierung eines Angriffs benötigen als Verteidiger zu dessen Abwehr.
Für volumenbasierte TCP-Angriffe brauchten Angreifer zuvor Zugriff auf eine Vielzahl von Rechnern und viel Bandbreite. Diese ist normalerweise sehr bulligen Maschinen mit bandbreitenstarken Verbindungen und Quellspoofing-Fähigkeiten oder Botnets vorbehalten. Das liegt daran, dass es bisher keinen signifikanten Verstärkungsangriff für das TCP-Protokoll gab. Eine geringe Verstärkung war zwar möglich, galt jedoch als nahezu vernachlässigbar oder zumindest unzureichend und im Vergleich zu den UDP-Alternativen unwirksam.
Wer eine SYN-Flood mit einem volumetrischen Angriff kombinieren wollte, hätte eine Bandbreite im Verhältnis 1:1 zum Angriffsopfer befördern müssen – in der Regel in Form von aufgefüllten SYN-Paketen. Mit der Middlebox-Verstärkung hat dieses langjährige Verständnis von TCP-Angriffen ausgedient. Jetzt benötigen die Angreifenden mitunter nur noch ein 75stel der Bandbreite an Volumen. Und aufgrund von Macken bei einigen Middlebox-Implementierungen erhalten sie eine SYN-, ACK- oder PSH- und ACK-Flood kostenlos obendrauf.
Fig. 2. Middlebox ignores RST
In Abbildung 2 sehen wir, wie eine Middlebox auf ein SYN-Paket antwortet. Das Wichtige daran ist jedoch, dass die Middlebox (aus unbekannten Gründen) als Reaktion auf ein SYN-Paket mit einem eigenen SYN-Paket antwortet. Noch schlimmer ist, dass sie mehrere SYN-Pakete sendet, die allesamt mit Daten vollgepackt sind. Zudem gilt hier zu beachten, dass die Middlebox die RST-Pakete vom „Opfer“ völlig missachtet, weiterhin ihre Daten durch den Äther jagt und so lange datenschwere SYN-Pakete losschickt, bis sie fertig ist.
Die Forschungsarbeit kommt zu einer weiteren besorgniserregenden Erkenntnis: Es gibt auch Boxes, die RST-Pakete verarbeiten. Diese Boxes reagieren beim Empfang eines RST-Pakets damit, dass sie das bereits übertragene Datenpaket, welches das RST überhaupt erst ausgelöst hat, erneut senden. Das wiederum führt zu einem weiteren RST und einem weiteren Datenpaket. Folglich gibt es Fälle, in denen eine Box in einer „unendlichen Schleife“ der Selbstverstärkung enden kann und wird.
In dieser Demo werden diese RST-Pakete vom „Opfer“ gesendet, da kein TCP-Dienst TCP/45678 abhört – was eigentlich noch der Bestfall ist. Wie wir im folgenden Screenshot sehen werden, verschlimmert sich die Lage noch, wenn ein Angreifer einen Port anvisiert, auf dem ein TCP-Dienst ausgeführt wird.
Fig. 3. Example responses from vulnerable middlebox targeting a TCP service
In Abbildung 3 sehen wir, dass jetzt ein TCP-Dienst auf TCP/45678 ausgeführt wird. Dieser Volumenangriff wird nun zu einem Ressourcenüberlastungsangriff: Diese gegen TCP-Anwendungen/-Dienste gerichteten SYN-Pakete führen dazu, dass die Anwendung versuchen wird, mit mehreren SYN- und ACK-Paketen zu antworten und die TCP-Sitzungen offen zu halten, solange der Rest des Drei‑Wege-Handshake aussteht. Während jede TCP-Sitzung in diesem halboffenen Zustand verharrt, verbraucht das System Sockets, die wiederum Ressourcen verbrauchen – womöglich so lange, bis sie vollständig erschöpft sind.
Beobachtete Angriffe – ein aufstrebender Vektor
Das Akamai Security Operations Command Center hat mehrere Middlebox-Angriffskampagnen beobachtet, die sich gegen die Banken-, Reise-, Gaming-, Medien- und Webhosting-Branche richteten. Die beobachteten Angriffe, die diese Methode bisher nutzen, sind im Vergleich zu anderen Vektoren immer noch klein, scheinen jedoch an Popularität und Größe zu gewinnen.
Die frühesten Angriffe der Serie erreichten einen Höchstwert von 50 Mbit/s. Die Übeltäter hinter den aktuellen Kampagnen scheinen noch Optimierungen und Feinschliffe an ihren bevorzugten Reflektoren vorzunehmen. Die jüngsten Attacken, die mit demselben Middlebox-Vektor auf die gleichen Opfergruppen abzielten, erreichten Spitzenwerte von 2,7 und 11 Gbit/s, wobei der 11‑Gbit/s-Angriff auf 1,5 Millionen Pakete pro Sekunde kam.
Wenngleich diese Angriffe im Moment relativ klein sind, zeigt sich doch, dass Angreifer die Middlebox-Angriffsmethode allmählich für sich nutzen und in ihr DDoS-Arsenal mit aufnehmen.
Vorschläge zur Abwehr
So neu Middlebox-Reflection-Angriffe sind, wirklich einzigartig sind sie nicht. Ihre wahre Bedrohung birgt die niedrigere Einstiegsschwelle, die sie interessierten Angreifern bieten. Das vorausgeschickt, bleiben die aufgefüllten SYN-Floods eine seit Jahren gängige Angriffsmethode. Zur Abwehr eines Middlebox-Angriffs kommen in dieser Hinsicht die gleichen Methoden und Taktiken zum Einsatz.
In realen Anwendungen werden SYN-Pakete mit wenigen Ausnahmen zur Initiierung des TCP-Handshake verwendet; sie werden nicht zur Datenübertragung verwendet. Das bedeutet, dass SYN-Floods mit einer Länge über 0 Byte verdächtig sein sollten – woraus sich eine Kennzahl ergeben könnte, die sich zur Angriffsabwehr eignet.
Auch das Abfragen von SYN-Challenges kann wirksam sein, um eine Middlebox-Ressourcenüberlastung zu verhindern. Da die Middlebox mit dem entsprechenden Abfragepaket nicht ordnungsgemäß umgehen kann, werden die SYN-Pakete es nicht durch die Absperrung schaffen. Und da der Handshake nie abgeschlossen wird, dürften auch die Datenflüsse verworfen werden, bevor sie zu den Servern und Anwendungen gelangen.
Andere Methoden wären die Verwendung einer Modulkombination zur Abwehr von Spoofing und zustandslosen Paketen, womit sich der Angriff leicht verhindern ließe, und der Einsatz von Signaturtools wie Snort, um Klartextmuster zu verwerfen, wie sie im Antworttraffic zu sehen waren. Firewall-ACLs können ebenfalls verwendet werden, um die bekannten falschen Muster zu sperren; eine Regel wie diese z. B.:
deny tcp any eq 80 host x.x.x.x match-all +syn -ack packet-length gt 100
Diese Regel würde alle SYN-Pakete mit einer Länge über 100, die von Port 80 stammen, verwerfen.
Fazit
Wenn neue Angriffsvektoren entdeckt werden, ist zunächst immer ungewiss, ob und wann Angreifer beginnen, davon Gebrauch zu machen. Der Middlebox-Angriff blieb viel länger bloße Theorie, als wir ursprünglich erwartet hatten, und es dauerte Monate, bis wir ihn in der Praxis zu sehen bekamen.
Nun, da TCP Middlebox Reflection an realen Netzwerken erprobt wurde, ist es wahrscheinlich, dass Angreifer auch in Zukunft verstärkt darauf zurückgreifen werden. Wahrscheinlich ist auch, dass Angreifer versuchen werden, das Angriffspotenzial und seine Schlagkraft insgesamt voll auszuschöpfen und noch zu erweitern.
Ziel des Akamai Security Intelligence Response Teams ist es, neuen Erkenntnissen nachzugehen und sie zu erkennen, zu dokumentieren und zu veröffentlichen, um die Sicherheit und Stabilität des gesamten Internets zu schützen. Wir werden diese Angriffe weiterhin aufmerksam beobachten und diesen Blog entsprechend aktualisieren.
Quellen
