DoS-Angriffe über Game-Server gefährden Internet-Nutzer

Die Sicherheitsfirma PivX warnt in einem Advisory davor, dass sich Spiele-Server wie die für Battlefield 1942, Quake 3 Arena und Counter-Strike für neuartige Denial-of-Service-Angriffe missbrauchen lassen. Diese könnten sogar die sogenannten Smurf-Attacken in den Schatten stellen, die Router als Vervielfältiger missbrauchten und in den letzten Jahren für reichlich Schaden sorgten. Opfer der Angriffe können beliebige Server und auch normale Internet-Nutzer werden -- selbst wenn sie mit Spielen überhaupt nichts am Hut haben.

Das Konzept der Angriffe ist so einfach, dass man sich fast schon fragt, warum diese Gefahr nicht schon früher erkannt wurde. Spiele-Server lauschen typischerweise auf einem UDP-Port, über den sich Informationen wie die Zahl der angemeldeten Spieler abrufen lassen. Da UDP verbindungslos arbeitet, kann man die Absenderadresse einer solchen Anfrage beliebig fälschen, ohne dass es der Server bemerkt. Seine Antwort schickt er deshalb an den vorgeblichen Absender, dessen Internet-Anbindung dann unter Umständen von tausenden, nie angeforderten Antwortpaketen zugemüllt wird. Wegen der gefälschten Absenderadresse dürfte es sich sehr schwierig gestalten, den Initiator eines solchen DoS-Angriffs aufzuspüren.

Ähnlich wie bei Smurf gibt es auch hier einen Verstärkungseffekt: Da man in einem Rutsch auch gleich mehrere Befehle absetzen kann, fallen die Antworten bis zu vierhundertmal größer aus als die Anfragen. So kann ein Angreifer selbst mit einer verhältnismäßig schmalbandigen Internet-Verbindung enorme Datenmengen in Richtung seines Opfers lenken. Nach einer Beispielrechnung von PivX genügt eine Modemverbindung mit 56 KBit/s, um zwei T1-Standleitungen mit jeweils 1,56 MBit/s so zu überfluten, dass nichts mehr geht.

Das Opfer eines solchen DoS-Angriffs kann sich nicht einmal mit einer Firewall dagegen schützen, da diese die Pakete erst verwirft, nachdem sie bereits übertragen wurden. Gegen eine akute Attacke kann nur der Provider Maßnahmen ergreifen, indem er die Pakete verwirft, bevor sie die Kunden erreichen. Des weiteren können die Provider natürlich präventiv tätig werden und Pakete mit offensichtlich gefälschten Absenderadressen verwerfen -- was zum Teil auch schon geschieht. Laut PivX arbeitet auch das Spiele-Portal GameSpy an einem Fix für das Problem. Dabei geht es darum, die maximale Bandbreite zu begrenzen, mit der ein Spiele-Server Antworten verschickt.

Denn ausnutzen lassen sich anscheinend alle Netzwerkspiele, die die Suche nach Servern unterstützen und die Dienste von GameSpy nutzen -- und das sind fast alle. Der Entdecker hat den Angriff mit Battlefield 1942 getestet und stellt dafür sogar einen einfachen Proof-of-Concept-Exploit zum Download bereit. Nach eigenen Aussagen hat PivX die Firma Electronic Arts, die Battlefield 1942 vertreibt, bereits im November kontaktiert, aber keine Antwort erhalten.

Das Ausmaß der Gefahr lässt sich bisher nur schwer abschätzen -- das Potenzial ist jedenfalls gewaltig: Spiele-Server erfreuen sich immer größerer Beliebtheit; immer mehr davon stehen als gemietete Root-Server direkt bei den Providern, verfügen dort über reichlich Bandbreite und sind permanent online. Sollte sich die plausibel klingende Analyse von PivX bestätigen und stellen die Hersteller der Spiele nicht bald entsprechende Updates bereit, muss sich die Internet-Gemeinde auf eine Welle von Angriffen gefasst machen, die bisherige DoS-Attacken harmlos erscheinen lässt. (ju)