Fehler im Web-Protokoll

"Kaputtes" HTTP ermöglicht neuartige DoS-Attacke

Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Ein Team um den Wong Onn Chee, CTO bei Resolvo Systems, hat eine neue verheerende Form der DDoS-Attacken (Distributed Denial of Service) entdeckt, die durch einen Fehler in HTTP ermöglicht wird. Das grundlegende Web-Protokoll ist "kaputt" und setzt alle Web-Dienste einem Risiko aus, so Onn Chee gegenüber dem Security-Portal Dark Reading. Demnach sind DDoS-Attacken mithilfe schädlicher Online-Games möglich, ohne erst Computer mit Malware zu infizieren.
DDoS-Attacken durch Fehler in Web-Protokoll HTTP
DDoS-Attacken durch Fehler in Web-Protokoll HTTP
Foto:

Ein Team um den Wong Onn Chee, CTO bei Resolvo Systems, hat eine neue verheerende Form der DDoS-Attacken (Distributed Denial of Service) entdeckt, die durch einen Fehler in HTTP ermöglicht wird. Das grundlegende Web-Protokoll ist "kaputt" und setzt alle Web-Dienste einem Risiko aus, so Onn Chee gegenüber dem Security-Portal Dark Reading. Demnach sind DDoS-Attacken mithilfe schädlicher Online-Games möglich, ohne erst Computer mit Malware zu infizieren.

"Es sieht definitiv aus, als hätten die Forscher eine interessante neue Methode entdeckt", meint Eddy Willems, Security Evangelist bei G Data. Denn die Attacke erfolgt auf einem anderen Layer der Netzwerkarchitektur, als bei DDoS-Angriffen bislang üblich. "Das könnte Attacken gefährlicher machen", so der Experte. Daher ist er auf technische Details gespannt.

Umfassende Angriffsmethode

Onn Chee zufolge kann die neue Attacke jedes System mit Web-Interface überlasten und somit aus dem Netz schießen. "Man denke an SSL, VPN und andere kritische Systeme, auf die mit dem Browser zugegriffen wird", so der Forscher. Nötig ist nur die Möglichkeit, eine HTTP-Verbindungsanfrage vom Typ POST zu stellen, bei der vom Client beliebige Datenmengen an einen Server geschickt werden können. Genau das macht sich der neuartige DDoS-Angriff nämlich zunutze.

Zuerst wird ein völlig legitim aussehender Header übertragen, ehe extrem langsam die restlichen Daten folgen. Dadurch werden Verbindung und Server-Ressourcen massiv beansprucht. Einige 10.000 derartige langsame HTTP-POST-Anfragen reichen laut Onn Chee aus, um einen Server binnen Minuten aus dem Netz zu werfen. Für Angreifer sei die Methode attraktiv, da sie auf dem Application-Layer arbeitet und von legitimem HTTP-Verkehr praktisch nicht zu unterscheiden ist. Damit hebt sich der Ansatz von bisherigen DDoS-Attacken ab, die im Normalfall über den Transport-Layer abgewickelt werden.

Details folgen

Wie gefährlich der neue Ansatz wirklich ist, ist laut Willems noch schwer einzuschätzen. "Es könnten bereits passende Gegenmaßnahmen geben, die das Forscherteam einfach nicht kennt", sagt er. Aufschluss darüber erhofft er sich für nächste Woche. Dann präsentieren Onn Chee und Kollegen genauere Details zur Angriffsmethode im Rahmen der Konferenz OWASP AppSecDC 2010 . Dort will das Team auch vorführen, wie sie über ein Online-Spiel ein "agentloses" Botnetz für die neuartige DDoS-Attacke aufziehen können. (pte/rw)

Zur Startseite