IP-Spoofing: Bittorrent schließt DRDoS-Schwachstelle

Für die jüngst veröffentlichte DRDoS-Schwachstelle hat Bittorrent bereits einen Patch bereitgestellt. Anwender sollten ihre Software beizeiten aktualisieren. Ganz schließen lässt sich die Lücke aber nicht.

31. August 2015 um 18:35 Uhr / Jörg Thoma

2 Kommentare News folgen (öffnet im neuen Fenster)

Bittorrent hat DRDoS-Schwachstelle durch einen Patch nahezu ummöglich gemacht. (Bild: Bittorrent) — Bittorrent hat DRDoS-Schwachstelle durch einen Patch nahezu ummöglich gemacht. Bild: Bittorrent

Offenbar in Absprache mit den Entdeckern hat Bittorrent bereits Anfang August die DRDoS-Schwachstelle im Bittorrent-Protokoll geschlossen. Das teilte das Unternehmen in einem jetzt veröffentlichten Blogpost mit(öffnet im neuen Fenster) . Es gibt bereits Updates für diverse Clients, die möglichst bald eingespielt werden sollten, falls das nicht automatisch geschehen ist. Dadurch werden Distributed-Reflected-Denial-of-Service-Angriffe (DRDoS) zwar deutlich erschwert, ganz verhindern lassen sie sich aber nicht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

ERP Consultant MS Dynamics 365 Business Central (m/w/d) bitformer GmbH, Braunschweig,Recklinghausen,Home Office (öffnet im neuen Fenster)

Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Einkäufer - IT Hard- und Software (w/m/d) DFS Deutsche Flugsicherung GmbH, Langen (öffnet im neuen Fenster)

Digitalisierungsmanager (m/w/d) Jüdische Gemeinde Chabad Berlin e.V, Berlin (öffnet im neuen Fenster)

SAP Application Manager - PP / QM / MM mit Schwerpunkt S/4HANA (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Produktmanager*in Digitale Produkte Brückner Servtec GmbH, Siegsdorf (öffnet im neuen Fenster)

Stellenbewerterin / Stellenbewerter (w/m/d) im Organisationsreferat des BSI Bundesamt für Sicherheit in der Informationstechnik, Bonn (öffnet im neuen Fenster)

Stellvertretende Fachbereichsleitung (m/w/d) mit Schwerpunkt Technik (Informatiker, Wirtschaftsinformatiker (m/w/d) o. ä.) Kreisausschuss des Hochtaunuskreises, Bad Homburg v. d. Höhe (öffnet im neuen Fenster)

In den Bittorrent-Clients uTorrrent 3.4.4.40911(öffnet im neuen Fenster) , Bittorrent 7.9.5(öffnet im neuen Fenster) 40912 sowie Bittorrent Sync 2.1.3(öffnet im neuen Fenster) wurde ein Patch eingepflegt, der die kürzlich veröffentlichten DRDoS-Angriffe erschweren soll. Alle nutzen die Bibliothek libµTP, in der sich die Schwachstelle befand. Sie stellt das uTorrent-Transport-Protokoll bereit, über das solche Angriffe möglich waren. Denn dieses Protokoll setzt auf das User Datagram Protocol (UDP), das selbst keine Mechanismen gegen das Fälschen einer IP-Adresse besitzt - das sogenannte IP-Spoofing.

Fehlerhafte Clients verstärken den Angriff

Ein Angreifer kann seine eigene IP-Adresse gegen die des Angriffsziels austauschen. Dadurch werden andere Clients, durch die die Datenpakete zu dem angegriffenen Server laufen, unwillkürlich als Zwischenstation genutzt. Wegen der gefälschten IP-Adresse ist das Risiko, entdeckt zu werden, für den Angreifer relativ gering. Weil die weitergeleiteten Datenpakete 120-mal so groß sein können wie das ursprüngliche Datenpaket, kann ein Angriff noch zusätzlich verstärkt werden. Das Verhältnis zwischen dem ursprünglichen und dem weitergeleiteten Paket nennt sich Bandwidth Amplification Factor (BAF).

Die Bibliothek LibµTP wurde zunächst dahingehend verändert, dass der Angreifer nicht mehr eine beliebige Nummer in das ACK-Paket (Acknowledgement, Bestätigung) einfügen darf. Dadurch muss der Angreifer künftig eine legitime Bestätigungsnummer erraten, was den Angriff über viele Clients deutlich erschwert. Weil der Client die gefälschten Pakete wegwirft, reduziert sich auch das BAF. Ein Angreifer kann also weiterhin über einen Client eine gefälschte Verbindung zu einem Server aufbauen, die Reparaturen sorgen aber dafür, dass solche Attacken nahezu wirkungslos bleiben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)