Was ist ein Teardrop-Angriff?

Bei einem Denial-of-Service (DoS)-Teardrop-Angriff sendet ein Client ein fehlerhaftes Informationspaket an einen Computer und nutzt den Fehler aus, der beim erneuten Zusammensetzen des Pakets auftritt, was zu einer Verschlechterung der Serverleistung führt.

Ein Teardrop-Angriff ist eine Form eines Denial-of-Service-Angriffs (DoS), bei dem ein Netzwerk oder Server durch Fluten mit Anfragen und Daten außer Betrieb gesetzt wird. Der Angreifer sendet fragmentierte Pakete an den Zielserver. Wenn eine TCP/IP-Sicherheitslücke besteht, kann der Server die Pakete nicht korrekt zusammensetzen, was zu einer Überlastung führt.

Viele Organisationen verlassen sich immer noch auf ältere, veraltete oder ungepatchte Betriebssysteme, um Legacy-Anwendungen auszuführen, die sie noch benötigen. Solche Organisationen sind anfällig für Teardrop-Angriffe, die unternehmenskritische Anwendungen lahmlegen könnten.

TCP/IP-Implementierungen unterscheiden sich leicht von Plattform zu Plattform. Einige Betriebssysteme – insbesondere ältere Versionen von Windows und Linux – enthalten einen TCP/IP-Fragmentierungs-Reassemblierungsfehler. Teardrop-Angriffe zielen darauf ab, diese Schwäche auszunutzen. Bei einem Teardrop-Angriff sendet der Client ein absichtlich fragmentiertes Informationspaket an ein Zielgerät. Da sich die Pakete überlappen, tritt ein Fehler auf, wenn das Gerät versucht, das Paket wieder zusammenzusetzen. Der Angriff nutzt diesen Fehler aus, um einen schwerwiegenden Absturz des Betriebssystems oder der Anwendung zu verursachen, die das Paket verarbeitet.

Standardmäßig schützen die BIG-IP Application Delivery Services von F5 vor Teardrop-Angriffen, indem sie die Frame-Ausrichtung eingehender Pakete prüfen und falsch formatierte Pakete verwerfen. Teardrop-Pakete werden daher verworfen und der Angriff wird verhindert, bevor die Pakete das geschützte Netzwerk erreichen können.