Suchen

Hacker nutzen Corona-Krise für Angriffe Radware: „UDP ist ein idealer Nährboden für Hacker“

Autor / Redakteur: Bernhard Lück / Dipl.-Ing. (FH) Andreas Donner

Über 70 Prozent der Hackerangriffe, die Radware im März 2020 bei seinen Kunden weltweit registriert hat, nutzten das User Datagram Protocol (UDP), so die Sicherheitsspezialisten. Solche Angriffe seien schwerer zu verteidigen, weil bösartiger Verkehr hierbei nicht leicht zu erkennen sei.

Firmen zum Thema

Die massive Einführung von Heimarbeit während der Corona-Krise sorgt für eine neue Flut von UDP-Daten. Hacker nutzen diese derzeit massiv aus.
Die massive Einführung von Heimarbeit während der Corona-Krise sorgt für eine neue Flut von UDP-Daten. Hacker nutzen diese derzeit massiv aus.
(Bild: © – oz – stock.adobe.com)

Laut Radware wird der Trend zu UDP stark durch die Entwicklungen während der Corona-Krise befördert. Die massive Einführung von Heimarbeit habe zu einer erheblichen Zunahme des UDP-Verkehrs geführt, da Uploads vom heimischen Arbeitsplatz ins Unternehmensnetz ober in Cloud-Umgebungen üblicherweise über UDP ablaufen. Der "COVID Internet Phenomena Spotlight Report" von Sandvine zeige dabei, dass allein im Zeitraum zwischen dem 1. Februar und dem 17. April der Upstream-Verkehr global um 121 Prozent gestiegen sei. Insgesamt sei der Internetverkehr im gleichen Zeitraum lediglich um etwa 40 Prozent gewachsen. Radware zufolge nutzen Hacker die neue Flut von UDP-Daten derzeit massiv aus, um ihre Angriffe zu verstecken und zu verschleiern.

„UDP ist ein Protokoll, das sich auf Geschwindigkeit und nicht auf Qualität konzentriert und daher sehr weit von den Konzepten der Netzwerksicherheit entfernt ist“, kommentiert Michael Tullius, Managing Director DACH bei Radware. „Es ist daher ein idealer Nährboden für Hacker, zumal es sich um ein verbindungsloses Protokoll handelt, über das sich UDP Floods leicht realisieren lassen.“

UDP Floods gehören nicht erst seit Corona zu den häufigsten DDoS-Angriffen. Der Angreifer sendet UDP-Pakete, in der Regel möglichst große, an ein einzelnes Ziel oder an zufällige Ports. Da an diesen Ports in der Regel keine Anwendung lauscht, sendet der angegriffene Server eine große Zahl von „ICMP-Destination-Unreachable“-Antworten, was ihn so überlasten kann, dass legitime Nutzer keinen Zugriff mehr erhalten. In den meisten Fällen würden die Angreifer zudem die Quell-IP-Adresse fälschen, was wegen der verbindungslosen Natur von UDP ohne Handshakes oder Sessions einfach zu bewerkstelligen sei. Dies habe zur Folge, dass die Unreachable-Meldungen nicht beim Hacker selbst, sondern bei einem unbeteiligten Dritten ankommen, dessen Server dadurch ebenfalls beeinträchtigt wird. Die Hauptabsicht einer UDP Flood bestehe darin, die Internetleitung zu saturieren. Eine solche Attacke beeinträchtige zudem die Netzwerk- und Sicherheitselemente auf dem Weg zum Zielserver und in der Regel vor allem die Firewalls.

Zur Verteidigung gegen UDP Floods empfiehlt Radware verhaltensbasierte Erkennungsmethoden, die auf Basis künstlicher Intelligenz zwischen legitimem und bösartigem Verkehr unterscheiden können. „Einfachere Lösungen, die einfach Rate Limits für UDP-Verkehr einführen, sind hier kaum geeignet“, so Tullius, „da ja gerade auch der legitime UDP-Verkehr stark ansteigt. Eine Lösung, die UDP ab einem bestimmten Volumen einfach blockt, würde zu einer erheblichen Anzahl von False Positives führen und die Produktivität der Mitarbeiter im Homeoffice massiv beeinträchtigen.“

(ID:46765851)