Spekulationen um DoS-Schwachstelle im TCP-Protokoll
Angreifer könnten die Schwachstelle ausnutzen, um über eine schmalbandige Internet-Verbindung einen breitbandig angeschlossenen Server vom Netz zu schießen. Bislang gibt es über die Ursache des Problems nur Spekulationen.
- Daniel Bachfeld
Ein möglicher Design-Fehler im TCP-Protokoll soll sich ausnutzen lassen, um beliebige Server im Internet unerreichbar zu machen. Robert E. Lee und Jack C. Louis von Outpost24 wollen vor einiger Zeit während Tests mit dem Tool Unicorn Scan auf diese Schwachstelle gestoßen sein, bei der bereits eine schmalbandige Internet-Verbindung ausreicht, um einen breitbandig angeschlossenen Server vom Netz zu schießen.
Details über die auch als "TCP Sockstress vulnerability" oder "TCP state table manipulation vulnerability" bezeichnete Schwachstelle gibt es noch nicht, sollen aber auf der kommenden T2´08 Information Security Conference veröffentlicht werden.
Es schießen aber bereits die Gerüchte ins Kraut, worauf die Schwachstelle beruhen könnte. Laut Robert Graham von Errata Security haben Lee und Louis einen Weg gefunden, eine TCP-Verbindung zu öffnen, die niemals geschlossen wird. Wird so die maximal verfügbare Zahl von Verbindungen belegt, kann der Server keine Verbindungsanfragen von anderen Clients mehr beantworten, da ältere Verbindungen nicht mehr zurückgesetzt werden.
Um dies zu erreichen, müsse dem TCP-Stack vorgegaukelt werden, dass die Verbindungsgeschwindigkeit immer langsamer werde, bis der Stack annehme, dass es "Jahre dauern würde, bis die Übertragung beendet ist". Dies würde ihn zwingen zu versuchen, über einen sehr langen Zeitraum einzelne Pakete zu senden. Damit bliebe die einmal aufgebaute Verbindung bestehen. Abhilfe bringe nur ein Reboot des Systems.
Robert Lee verrät offiziell indes nur, dass sich der unter fünf Minuten dauernde DoS-Angriff die Ressourcenbelegung nach einem erfolgreichen 3-Wege-Handshake zunutze mache. So wäre es möglich, so viel Ressourcen zu belegen, dass das angegriffene System abstürzen könne. Damit würden herkömmliche Maßnahmen gegen DoS-Attacken nicht mehr greifen.
Berichten zufolge sollen Lee und Louis bislang keine TCP/IP-Implementierung gefunden haben, die nicht verwundbar wäre. Alle betroffenen Hersteller sollen schon über das Problem informiert sein und das Test-Tool "Sockstress" für eigene Analysen erhalten haben.
Egal ob der Fehler nun auf das Protokoll-Design selbst oder auf die Implementierungen zurückzuführen ist: Er ist ähnlich fundamental wie das im Juli bekannt gewordenen Problem im Domain Name System.
Siehe dazu auch:
- TCP DoS (probably) real , Blogeintrag von Robert Graham
- New DOS Attack Is a Killer, Bericht von R.Snake auf Dark Reading
(dab)
