Abo
  • Services:

IP-Spoofing: Bittorrent schließt DRDoS-Schwachstelle

Für die jüngst veröffentlichte DRDoS-Schwachstelle hat Bittorrent bereits einen Patch bereitgestellt. Anwender sollten ihre Software beizeiten aktualisieren. Ganz schließen lässt sich die Lücke aber nicht.

Artikel veröffentlicht am ,
Bittorrent hat DRDoS-Schwachstelle durch einen Patch nahezu ummöglich gemacht.
Bittorrent hat DRDoS-Schwachstelle durch einen Patch nahezu ummöglich gemacht. (Bild: Bittorrent)

Offenbar in Absprache mit den Entdeckern hat Bittorrent bereits Anfang August die DRDoS-Schwachstelle im Bittorrent-Protokoll geschlossen. Das teilte das Unternehmen in einem jetzt veröffentlichten Blogpost mit. Es gibt bereits Updates für diverse Clients, die möglichst bald eingespielt werden sollten, falls das nicht automatisch geschehen ist. Dadurch werden Distributed-Reflected-Denial-of-Service-Angriffe (DRDoS) zwar deutlich erschwert, ganz verhindern lassen sie sich aber nicht.

Stellenmarkt
  1. Abel Mobilfunk GmbH & Co.KG, Engelsberg, Rödermark
  2. Sparkasse Herford, Herford

In den Bittorrent-Clients uTorrrent 3.4.4.40911, Bittorrent 7.9.5 40912 sowie Bittorrent Sync 2.1.3 wurde ein Patch eingepflegt, der die kürzlich veröffentlichten DRDoS-Angriffe erschweren soll. Alle nutzen die Bibliothek libµTP, in der sich die Schwachstelle befand. Sie stellt das uTorrent-Transport-Protokoll bereit, über das solche Angriffe möglich waren. Denn dieses Protokoll setzt auf das User Datagram Protocol (UDP), das selbst keine Mechanismen gegen das Fälschen einer IP-Adresse besitzt - das sogenannte IP-Spoofing.

Fehlerhafte Clients verstärken den Angriff

Ein Angreifer kann seine eigene IP-Adresse gegen die des Angriffsziels austauschen. Dadurch werden andere Clients, durch die die Datenpakete zu dem angegriffenen Server laufen, unwillkürlich als Zwischenstation genutzt. Wegen der gefälschten IP-Adresse ist das Risiko, entdeckt zu werden, für den Angreifer relativ gering. Weil die weitergeleiteten Datenpakete 120-mal so groß sein können wie das ursprüngliche Datenpaket, kann ein Angriff noch zusätzlich verstärkt werden. Das Verhältnis zwischen dem ursprünglichen und dem weitergeleiteten Paket nennt sich Bandwidth Amplification Factor (BAF).

Die Bibliothek LibµTP wurde zunächst dahingehend verändert, dass der Angreifer nicht mehr eine beliebige Nummer in das ACK-Paket (Acknowledgement, Bestätigung) einfügen darf. Dadurch muss der Angreifer künftig eine legitime Bestätigungsnummer erraten, was den Angriff über viele Clients deutlich erschwert. Weil der Client die gefälschten Pakete wegwirft, reduziert sich auch das BAF. Ein Angreifer kann also weiterhin über einen Client eine gefälschte Verbindung zu einem Server aufbauen, die Reparaturen sorgen aber dafür, dass solche Attacken nahezu wirkungslos bleiben.

Auch andere Clients nutzen LibµTP, etwa Mainline oder Vuze. Mit der Veröffentlichung der Gegenmaßnahmen in dem Blogpost sollen andere Entwickler die Möglichkeit erhalten, selbst Reparaturen einzupflegen.



Anzeige
Hardware-Angebote
  1. jetzt bei Apple.de bestellbar
  2. ab 349€
  3. für 147,99€ statt 259,94€
  4. 229,90€ + 5,99€ Versand

Me.MyBase 01. Sep 2015

genau daran musste ich auch denken... Doktor-DOS... ;) wir sind alt... :(


Folgen Sie uns
       


Kabellose Bluetooth-Ohrstöpsel - Test

Wir haben vier komplett kabellose Bluetooth-Ohrstöpsel getestet. Mit dabei sind Apples Airpods, Boses Soundsport Free, Ankers Zolo Liberty Plus sowie Googles Pixel Buds. Dabei bewerteten wir die Klangqualität, den Tragekomfort und die Akkulaufzeit sowie den allgemeinen Umgang mit den Stöpseln.

Kabellose Bluetooth-Ohrstöpsel - Test Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

    •  /