Jetzt auch mobil Kommentieren!

SegmentSmack: Linux hat jetzt seinen eigenen Ping of Death

Von Christian Kahle am 08.08.2018 12:25 Uhr
6 Kommentare
Zahlreiche Systeme, auf denen ein Linux-Kernel läuft, können derzeit mit einer ziemlich einfachen DoS-Attacke aus dem Netz geschossen werden. Die Schuld daran trägt ein Bug, der von Sicherheitsforschern "SegmentSmack" getauft wurde. Bis das Problem aus der Welt ist, wird es wohl noch einige Zeit dauern.

Betroffen von dem Fehler ist der Linux-Kernel in der Version 4.9, der aufgrund seines Long Term Support-Status' in einer riesigen Bandbreite von Systemen zum Einsatz kommt - das reicht von kleinen Embedded-Geräten bis hin zu großen Servern und Datenzentren. Entsprechend ist damit zu rechnen, dass eine komplette Aktualisierung aller betroffenen Systeme mit kommenden Patches seine Zeit brauchen oder sogar nie vollständig erfolgen wird.

Für gewöhnlich muss ein Angreifer für einen erfolgreichen DoS-Angriff auch selbst einiges an Kapazität investieren - aus diesem Grund werden Webseiten mit einer soliden Lastverteilung heute auch meist von Botnetzen aus zehntausenden Rechnern attackiert. Der SegmentSmack sorgt allerdings dafür, dass ein System bereits mit sehr geringem eigenen Aufwand außer Gefecht gesetzt werden kann.

Pro Core eine Verbindung

Im Fall von SegmentSmack werden hier speziell manipulierte TCP-Anfragen benötigt. Diese verursachen auf dem Zielsystem eine so hohe Prozessorlast, dass die CPU völlig überlastet ist und keine anderen Aufgaben mehr erledigen kann. Für einen Prozessorkern genügt hier eine Verbindung, über die gerade einmal 2000 Pakete pro Sekunde laufen - was ziemlich wenig ist.

Allerdings reicht es im Gegensatz zu anderen DoS-Angriffen nicht, die Netzwerkschnittstelle zu beschießen. Vielmehr müssen für den hier beschrieben Angriff wirklich aktive Verbindungen in beide Richtungen aufgebaut werden können, es ist also auch nicht möglich, die eigene IP-Adresse zu verschleiern. Und eine aktive Verbindung kann auch nur einen CPU-Kern auslasten. Erst die zweite wird dann von den zuständigen Algorithmen im Kernel auf den nächsten Core verlagert, so dass man bei den meisten Rechnern heute beispielsweise vier offene TCP-Verbindungen bräuchte, um eine Quadcore-CPU zu überlasten.
whatsapp
Jede Woche neu: Top-News per E-Mail
6 Kommentare lesen & antworten
Verwandte Themen
DoS-Attacken
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz