Forscher warnen vor DDoS-Angriffen via BitTorent

Die Peer-to-Peer-Infrastruktur von BitTorrent lässt sich missbrauchen, um riesige Datenströme auf beliebige Server zu lenken und diese damit lahmzulegen, warnen Forscher. Fast alle populären BitTorrent-Programme lassen sich missbrauchen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Forscher warnen vor DDoS via BitTorent

(Bild: Adamsky, Khayam, Jäger und Rajarajan)

Lesezeit: 2 Min.

Die Studie einiger Forscher zeichnet ein düsteres Bild: Demnach ist das populäre File-Sharing-Protokoll BitTorrent geradezu prädestiniert für verteilte Denial-of-Service-Angriffe; potientielle DDoS-Drohnen gibt es in nahezu beliebiger Menge und Gegenmaßnahmen sind schwierig, schreiben Florian Adamsky und Muttukrishnan Rajarajan von der Londoner City University, Syed Ali Khayam von PLUMgrid und Rudolf Jäger von der THM Friedberg.

Der Angreifer schickt lediglich kleine Datenmengen (blau); die BitTorrent-Clients antworten mit deutlich mehr (rot) -- es kommt zur Verstärkung.

(Bild: Adamsky, Khayam, Jäger und Rajarajan)

Ähnlich wie die bereits für DDoS-Angriffe missbrauchten Dienste DNS und NTP nutzt BitTorrent zumindest teilweise das Internet-Protokoll UDP. Das validiert keine Adressen, sondern schickt seine Antwort sofort an den vermeintlichen Absender. Durch eine gefälschte Absender-IP kann ein Angreifer einen UDP-Dienst also Daten an ein beliebiges Opfer schicken lassen. Hinzu kommt, dass – ebenfalls analog zu DNS und NTP – die Antwortpakete deutlich größer ausfallen können, als die Anfragen. Der Angreifer erzielt also eine Verstärkung und kann man ein vielfaches seiner eigenen Bandbreite auf das Opfer lenken.

DNS und NTP wurden bereits mehrfach für solche DDoS-Attacken missbraucht. Allerdings ist die Zahl der Server beschränkt und immer mehr Admins richten die so ein, dass sie nur noch bestimmte Netz bedienen. Warum sollte etwa ein für die eigenen Kunden eingerichteter Telekom-DNS- oder NTP-Server dem Heise-Server antworten?

BitTorrent-Clients hingegen gibt es jedoch in riesiger Zahl; Adamsky, Khayam, Jäger und Rajarajan lokalisierten mit einem Crawler innerhalb eines Monats über zwei Millionen aktive Clients. Die gängigen BT-Clients uTorrent, Mainline und Vuze lassen sich ihren Tests zufolge alle zur Verstärkung missbrauchen. Und die meisten BT-Clients sprechen auch gern mit jedem, der sie befragt. Auch wenn sie bislang nicht "in freier Wildbahn" beobachtet wurden, geht von DDoS-Angriffe via BitTorrent somit eine beträchtliche Gefahr aus.

In Ihrem Paper Bittorrent P2P File-Sharing in Hell: Exploiting BitTorrent Vulnerabilities to LaunchDistributed Reflective DoS Attacks diskutieren die Forscher eine Reihe von möglichen Maßnahmen, darunter auch Änderungen am BitTorrent-Protokoll. Die wichtigste allgemeine Schutz-Maßnahme gegen solche verstärkten DDoS-Angriff sind jedoch Filter, die das Fälschen von IP-Adressen verhindern (IP-Spoofing). Provider können und sollten auf ihren Routern Pakete verwerfen, die an dieser Stelle nicht vorkommen können. Leider werden diese noch viel zu wenig umgesetzt. (ju)