Barley

Gestern berichtete heise-online über Spekulationen-um-DoS-Schwachstelle-im-TCP-Protokoll

Eigentlich dürfte der Trick recht einfach sein.

TCP arbeitet verbindungsorientiert und versucht die Pakete gesichert auszuliefern. Dazu hält es die Daten in einem Puffer, der natürlich endlich ist. Der Empfänger bestätigt den Empfang eines Paketes und der Empfänger kann es löschen. IP schert sich jedoch nicht um die Auslieferung der Paket. Ist ein Router überlastet, verwirft er einfach die Pakete. Der Empfänger meldet den Empfang der Pakete. Ist stellt der Empfänger fest, dass die Pakete nicht angekommen sind, sendet er diese erneut. Dabei nimmt der Sender an, dass die Pakete verworfen wurden, weil ein Router überlastet ist. Damit er diesen Engpass nicht noch weiter erhöht, reduziert erhöht er die Zeit zwischen dem versenden zweier Pakete, nimmt also eine geringere Datenrate ein. Bis die Pakete "verlustfrei" über die Leitung fließen.

Dieses Problem ist alt bekannt.

In kurzen Worten: TCP führt alle Paketverluste auf Überlastung der Router zurück und senkt als Gegenmaßnahme die Datenrate

Wenn nun ein Angreifer hartnäckig behauptet, dass er Pakete nicht empfangen hat, dann sendet der Server diese immer wieder neu natürlich immer langsamer, Bis die Zeit zwischen zwei Paketen nahezu unendlich wird (oder das im Rechner darstellbare Maximum) und die Verbindung einfriert. Wenn man nun alle möglichen Verbindungen des Servers blockiert, dann friert er quasi ein.

Neu ist also wohl nur, dass jemand aus dieser Schwachstelle einen Angriff gebastelt hat.

Die Gegenmaßnahme müsste in der Firewall oder den Treibern erfolgen: Wenn die "Datenrate" einen minimalen Wert unterschreitet Verbindung durch den Server beenden.