beebright - Fotolia

F

Können BGP-Anycast-Adressen für DDoS-Angriffe genutzt werden?

BGP Anycasts werden verwendet, um Netze effizienter zu managen und um ihre Verfügbarkeit zu erhöhen. Sie bieten aber auch Angriffsflächen für Hacker.

This Content Component encountered an error

Was bedeutet BGP Anycast? Kann es ähnlich wie BGP Hijacking für bösartige Zwecke wie zum Beispiel DDoS-Attacken (Distributed Denial of Service) genutzt werden?

Anycast-Adressen werden verwendet, um einen nächsten erreichbaren Netzwerkknoten anzusprechen. Die Pakete werden dabei von einer einzelnen Quelle aus zum nächsten Knoten in einer Gruppe passender Knoten gesendet. Um diese Adressierungsart zu nutzen, wird das Border Gateway Protocol (BGP) verwendet.

BGP Anycast wird genutzt, um die Verfügbarkeit in Netzen zu erhöhen. Pakete werden dabei an den nächstgelegenen erreichbaren Netzwerkknoten geschickt. Fällt dieser aus, übernimmt automatisch der nächste Knoten.

Für große Unternehmen ist es nicht ungewöhnlich, zwei oder mehr ISPs (Internet Service Provider) zu nutzen. Die ISPs wiederum verbinden sich mit anderen Netzwerkanbietern. In beiden Fällen müssen die Netzwerk-Administratoren sicherstellen, dass die BGP Anycasts korrekt konfiguriert wurden. Eine korrekte Konfiguration ermöglicht es einem Netzwerk-Administrator, einen dazwischen liegenden Router zu verwenden, um Pakete an den mit der kürzesten Route erreichbaren Knoten weiterzuleiten. Der wichtigste Grund für dieses „legitime Hijacking“ ist der Wunsch, den Datenverkehr zu optimieren.

Risiko fehlerhafte Konfigurationen

Fehlerhafte Konfigurationen können das Netzwerk jedoch für Hacker öffnen, die dann ebenfalls BGP Hijacks durchführen können. Diese sind vergleichbar mit DDoS-Angriffen. Zum Beispiel kann ein Hacker einen bösartigen Netzwerk-Host einrichten, der sich als Anycast-Server für ein virtuelles Netzwerk ausgibt. Damit kann er einen Dienst blockieren, indem er DDoS-Attacken gegen den nächsten Knoten durchführt. Das kann beispielsweise durch das Umleiten einer großen Menge bösartigen Traffics zu einer bestimmten Zieladresse erfolgen. Der Hacker hat dann aber keine Kontrolle darüber, welcher Knoten als nächster Zielpunkt fungiert.

Um zumindest ein wenig Kontrolle über die Knoten in einer Empfangsgruppe zu erhalten, kann der Hacker eine Anycast-Adresse anpingen, um die Unicast-Adresse des nächsten Knotens zu erhalten. Das funktioniert allerdings nur unter IPv6. Anschließend kann er einzelne Knoten angreifen und so die Adressierung per BGP Anycast umgehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie BGP-Hijacking erkannt und verhindert werden kann

Kostenloser E-Guide: So können Unternehmen der DDoS-Bedrohung begegnen

Wie funktionieren DDoS-Amplification-Attacken per CLDAP-Protokoll?

So können Unternehmen ihre DDoS-Anfälligkeit reduzieren

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

This Content Component encountered an error

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

This Content Component encountered an error

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close