Was ist ein Teardrop-Angriff?

Bei einem Denial-of-Service (DoS)-Teardrop-Angriff sendet ein Client ein fehlerhaftes Informationspaket an einen Computer und nutzt den Fehler aus, der beim erneuten Zusammensetzen des Pakets auftritt, was zu einer Verschlechterung der Serverleistung führt.

Ein Teardrop-Angriff ist eine Art Denial-of-Service-Angriff (DoS). Dabei handelt es sich um einen Angriff, bei dem versucht wird, eine Computerressource unzugänglich zu machen, indem ein Netzwerk oder Server mit Anfragen und Daten überflutet wird. Der Angreifer sendet fragmentierte Pakete an den Zielserver. In einigen Fällen, in denen eine TCP/IP-Sicherheitslücke vorliegt, ist der Server nicht in der Lage, das Paket wieder zusammenzusetzen, was zu einer Überlastung führt.

Viele Organisationen verlassen sich immer noch auf ältere, veraltete oder ungepatchte Betriebssysteme, um Legacy-Anwendungen auszuführen, die sie noch benötigen. Solche Organisationen sind anfällig für Teardrop-Angriffe, die unternehmenskritische Anwendungen lahmlegen könnten.

TCP/IP-Implementierungen unterscheiden sich leicht von Plattform zu Plattform. Einige Betriebssysteme – insbesondere ältere Versionen von Windows und Linux – enthalten einen TCP/IP-Fragmentierungs-Reassemblierungsfehler. Teardrop-Angriffe zielen darauf ab, diese Schwäche auszunutzen. Bei einem Teardrop-Angriff sendet der Client ein absichtlich fragmentiertes Informationspaket an ein Zielgerät. Da sich die Pakete überlappen, tritt ein Fehler auf, wenn das Gerät versucht, das Paket wieder zusammenzusetzen. Der Angriff nutzt diesen Fehler aus, um einen schwerwiegenden Absturz des Betriebssystems oder der Anwendung zu verursachen, die das Paket verarbeitet.

Standardmäßig schützen die BIG-IP Application Delivery Services von F5 vor Teardrop-Angriffen, indem sie die Frame-Ausrichtung eingehender Pakete prüfen und falsch formatierte Pakete verwerfen. Teardrop-Pakete werden daher verworfen und der Angriff wird verhindert, bevor die Pakete das geschützte Netzwerk erreichen können.