UPnP als Tarnung: Verwundbare Router helfen DDoS-Angreifern
Der neueste Trick von DDoS-Angreifern ist das Tarnen von Traffic mithilfe unachtsamer Heim-Router und deren UPnP-Möglichkeiten.
DDoS-Angriffe gleichen einer Sturmflut: Wer keine Möglichkeit hat, den ankommenden Traffic einzudämmen, wird weggespült.
(Bild: Pixabay)
- Fabian A. Scherschel
Angreifer nutzen immer öfter das Protokoll UPnP, um DDoS-Traffic zu tarnen. Das berichten mehrere Sicherheitsfirmen, die entsprechende Angriffe in den vergangenen Monaten katalogisiert haben. Bei der Technik namens UPnP Port Masking nutzen Angreifer die Heimrouter von unbeteiligten Dritten, um den Quellport ihres DDoS-Traffics zu ändern und die Angriffspakete somit schwerer entdeckbar zu machen. Zwar können Anti-DDoS-Systeme, welche die Pakete mit Deep Packet Inspection durchleuchten, den Schwindel erkennen und die Pakete blocken – diese Technik ist aber vor allem bei günstigeren System nicht immer im Einsatz.
Heimrouter als unwissender Komplize
DDoS-Angriffe
Beim Distributed Denial of Service (DDoS) handelt es sich um eine Angriffstechnik, bei der Hacker die Kontrolle über eine ganze Gruppe von Rechnern übernehmen und von dort aus massenweise Anfragen an einen Ziel-Server schicken, um diesen lahmzulegen. So können die Angreifer verhindern, dass die auf dem Server gehosteten Webseiten und Dienste von legitimen Anwendern genutzt werden können.
Die Sicherheitsfirmen Imperva, Arbor Networks und der CDN-Anbieter Akamai haben entsprechende Angriffe dokumentiert. Dabei wurden DDoS-Angriffe über die Protokolle DNS, NTP und SSDP festgestellt. Die Angreifer nutzen verwundbare, öffentlich im Netz erreichbare Heim-Router, um die Quellport-Angaben ihrer DDoS-Pakete zu ändern.
Das ist möglich, weil viele Heimrouter bei UPnP-Port-Forwarding-Anfragen für die NAT-Überbrückung nicht prüfen, ob eine öffentlich erreichbare IP/Port-Kombination auf eine lokale IP/Port-Kombination im LAN umgebogen wird. Die Angreifer biegen stattdessen die Port-Angabe ihrer WAN-Pakete in einen anderen WAN-Port um. Für das Ziel der DDoS-Attacke sieht es dann so aus, als ob ein von Port 53 kommendes DNS-Paket in Wirklichkeit auf einem anderen Port seinen Ursprung hatte. Weil der Router nicht prüft, ob die Ziel-IP wirklich in seinem LAN ist, macht er sich zum unwissenden Komplizen der DDoS-Angreifer.
Kein Weg züruck
Normalerweise könnte das Opfer des Angriffs einfach alle von Port 53 kommenden Pakete blocken und sich so Platz zum Atmen in der Traffic-Flut verschaffen. Durch das UPnP Port Masking muss er nun aber auf aufwändigere Techniken wie Deep Packet Inspection zurückgreifen. Den Beobachtungen der Sicherheitsfirmen nach wird die neue Angriffstechnik immer häufiger eingesetzt. Da öffentlich erreichbare Router mit UPnP-Lücken wohl auch in Zukunft nicht so schnell aus dem Netz verschwinden werden, müssen sich Opfer von DDoS-Attacken Wohl oder Übel auf die neuen Tricks einstellen. (fab)
