Denial of Service

Neue DOS-Attacken gefährden Drahtlosnetze

16.06.2009
Von Katharina Friedmann 
Gegen die jüngste Kategorie von DOS-Angriffen (Denial of Service) auf Funknetze wirken Bedrohungen wie Spam, Malware und Phishing wie ein alter Hut.

Laut Sicherheitsexperten sind die neusten Bedrohungen für drahtlose Datennetze auf eine inhärente Schwäche in "Mobile IP" zurückzuführen. Das Protokoll nutzt Tunneling und komplexe Netztriangulation, um Mobilgeräten zu ermöglichen, sich frei von einem Netz ins andere zu bewegen. "Angesichts begrenzter Bandbreite und Akkulaufzeit von Endgeräten gilt es, vor allem mobile Netze auf DOS-Attacken (Denial of Service) hin zu überwachen", warnte Krishian Sabnani, Vice President Networking Research bei Bell Labs, kürzlich auf der Cyber Infrastructure Protection Conference am City College in New York. Die Bell Labs sind Teil der Forschungs- und Entwicklungseinheit von Alcatel-Lucent.

Dem Experten zufolge sind die neuartigen DOS-Angriffe auf Drahtlosnetze, die auf wiederholtem Herstellen und Abbrechen von Verbindungen basieren, leicht zu lancieren - und schwer zu erkennen. Hier fünf der von Sabnani beschriebenen Bedrohungsszenarien für Funknetze:

1. Signal-DOS

Dieser Angriff macht sich aktive mobile Sessions im Netz zunutze. Dabei werden kleine Datenmengen gesendet, um eine Sitzung erneut zu initiieren, nachdem sie beendet wurde. Die niedrigvolumige Attacke kann eine Überlastung des Radio Network Controller (RNC) hervorrufen, was wiederum zu einem Denial of Service für den Anschlussinhaber führt.

2. Akku-Belastung

Auch diese Attacke missbraucht aktive mobile Sessions im Netz. Dabei werden regelmäßig Datenpakete an ein Mobilgerät gesendet, um zu verhindern, dass es in den Schlafmodus fällt. Laut Sabnani genügt es bereits, alle zehn Sekunden 40 Bytes abzusetzen. Diese Attacke verschwendet Funkressourcen und leert mobile Akkus.

3. Peer-to-Peer-Applikationen

Nach Untersuchungen von Bell Labs beeinträchtigte ein Anschlussinhaber durch exzessive Nutzung von Peer-to-Peer-Websites die Leistung des 3G-Netzes eines nordamerikanischen Carriers. Indem er mit rund 5.000 eDonkey- und 37.000 Gnutella-Sites kommunizierte, verursachte er ein Upload-Volumen von 1 GB und ein Download-Volumen von 3,5 GB.

4. Schlecht funktionierende UMTS-Karte

Bei eben diesem Carrier kam es zudem zu DOS-Überlastungen, die auf eine schlecht funktionierende UMTS-Karte zurückzuführen waren. Nach Angaben von Bell Labs betrug der Aufwand für die Identifikation des dafür verantwortlichen Geräts mehrere Mann-Monate.

5. Exzessives Port-Scanning

Ferner wurden bei demselben Carrier erhebliche Funkkapazitäten durch Würmer und Port-Scans verschwendet. Laut Bell Labs zielten die Schädlinge auf die Ports 135, 137, 139, 1026 und 5900 ab.

Bell Labs' DOS-Analysen haben laut Sabnani eine neue Technik für 3G- und 4G-Drahtlos-Carrier hervorgebracht: Der "AWARE Detector" ist eine Packet-Inspection-Engine speziell für die Architektur und Protokolle von Funknetzen, die Alcatel-Lucent inzwischen als "9900 Wireless Network Guardian" anbietet.

"Wir haben auf Basis von Traffic-Profiling und statistischen Modellen Algorithmen entwickelt, die niedrigvolumige Wireless-DOS-Angriffe erkennen können", berichtet Sabnani. Das System soll Traffic erkennen und unschädlich machen, der eine Signalüberlastung des RNC oder Paging-Overloads provoziert beziehungsweise auf Seiten des Anschlussinhabers unnötig hohe Akkubelastung verursacht.