Twitter, Spotify und zahlreiche andere Seiten sind vor wenigen Wochen durch massive DDoS-Attacken wiederholt ausgefallen. Durch Malware ferngesteuerte Rechner, darunter auch zahlreiche vernetzte Überwachungskamera, haben dafür die Server des Infrastrukturbetreibers Dyn mit einer Flut an Datenpaketen beschossen. Dabei sollen Rekordbandbreiten von über einem Terabit pro Sekunde erreicht worden sein.

Die Angriffe könnten nur ein Vorgeschmack auf künftige Akte von Cyberkriminellen sein, befürchten Experten. Doch um große Server in die Knie zu zwingen, ist nicht immer ein massives Aufgebot an Traffic nötig. Sicherheitsforscher des TDC Security Operations Center (PDF) in Dänemark haben eine neue Angriffstechnik entdeckt, über die sich selbst mit einer 15-Megabit-Leitung erheblicher Schaden anrichten lässt, berichtet Ars Technica.

ICMP-Flooding bringt Prozessoren ins Schwitzen

"Black Nurse" haben sie die Angriffstechnik genannt, für welche das Internet Control Message Protocol (ICMP) anzapfen. Über dieses schicken und empfangen Netzwerkgeräte wie Router Fehlermeldungen. Werden auf diesem Weg bestimmte Datenpakete (Type 3) übermittelt, lassen sich in kurzer Zeit die Prozessoren bestimmter Server-Firewalls auslasten.

Die Überforderung resultiert schließlich darin, dass der Server beginnt, auf Anfragen nicht mehr zu reagieren. Schon beim Erreichen einer Bandbreite von lediglich 15 bis 18 Megabits pro Sekunde ist die Ausfallsrate so hoch, dass Online-Angebote und andere Systeme im Netzwerk hinter der Server-Firewall praktisch offline gehen.

Da dieser Angriff auf die Überforderung des Serverprozessors abzielt, statt auf die "Verstopfung" der Leitungen, lässt sich diese Attacke auch nicht durch Traffic-Management abwehren, wie es etwa bei DDoS-Attacken geschieht.

Bei TDC entwickelte man testweise eine Methode, über die ein einzelner Laptop gleich bis zu 180 Megabits pro Sekunde an ICMP-Paketen verschickte. Mehr als genug, um verwundbare Systeme aus dem Netz zu schießen.

Kleine Bandbreite, große Wirkung

15 bis 18 Megabits pro Sekunde entsprechen einer Übertragung von 1,88 bis 2,25 Megabyte pro Sekunde. Relevant für einen Angriff ist hierbei die Uploadkapazität der jeweiligen Leitung. Bei gängigen DSL- und Kabel-Tarifen für Privatkunden ist die Konfiguration üblicherweise asymmetrisch gehalten, mit deutlich höherer Download- als Uploadbandbreite.

Bei Kabelinternet lassen sich bei allen größeren Anbietern Tarife buchen, die einen Durchsatz von 15 Megabits pro Sekunde für ausgehenden Datenverkehr bieten. Für Cyberkriminelle stellt dies aber ohnehin kein Hindernis dar, da sich über die Zweckentfremdung mehrerer Systeme an verschiedenen Anschlüssen derlei Bandbreiten problemlos erreichen lassen.

Systeme mehrerer Anbieter anfällig

Laut TDC funktioniert "Black Nurse" gegen Firewalls von Cisco, Palo Alto Networks, Zyxel und SonicWall. Die betroffenen Systeme und genauere Informationen zur Angriffsmethode hat man in einem Blogeintrag veröffentlicht. Von Palo Alto gibt es mittlerweile ein Security Advisory dazu. (red, 14.11.2016)