Telefon Denial of Service: Abwehr von TDoS-Angriffen
TDoS-Angriffe sind Attacken auf die Kommunikationssysteme von Unternehmen. Mit VoIP wird die Sprachinfrastruktur für klassische Attacken anfällig.
Es gibt einiges an Material über die Abwehr von DDoS-Attacken. Denial-of-Service-Angriffe auf Telefonsysteme (kurz TDoS) sind bislang allerdings weniger im Fokus gewesen. Was sind TDoS-Angriffe und wie können sich Unternehmen darauf vorbereiten?
In einem Satz: TDoS-Angriffe sind darauf ausgelegt, die Sprachkommunikation eines Unternehmens lahmzulegen oder signifikant zu stören. Oft geschieht dies, indem die Angreifer die Voice-Infrastruktur einer Firma mit Anrufen zu überfluten, so dass kaum Ressourcen für die legitime Nutzung übrigbleiben.
Bevor Voice over IP (VoIP) beliebt wurde, waren TDos-Angriffe tatsächlich relativ schwer durchzuführen. Das lag daran, dass die notwendigen Ressourcen, um hunderte oder tausende von Telefonanrufen durchzuführen, nur schwer zugänglich waren. Heutzutage, dank Unified Communication und einer weiten Verbreitung von Voice over IP, lassen sich TDoS-Angriffe selbst für Einzelpersonen relativ schnell und günstig ausführen.
VoIP-Server ähneln den früheren Telefonanlagen (PBX) und können nur eine begrenzte Anzahl an Telefonaten gleichzeitig verarbeiten. Ein VoIP-System nutzt das Transmission Control Protokoll (TCP), um Anrufe zu signalisieren. Die eigentliche Kommunikation erfolgt anschließend über User Datagram Protocol (UDP). Diese Methode spart Zeit und Ressourcen, lässt sich allerdings von Angreifern ausnutzen, die über eine moderate Kenntnis von TCP/IP verfügen.
Die meisten Angreifer zielen dabei auf den sogenannten Three-Way-Handshake, eine der fundamentalen Techniken von TCP. Gelingt so eine Manipulation, können sie den Server davon überzeugen, dass er mehr TCP-Verbindungen annimmt, als er eigentlich verwalten kann. Ein konkretes Beispiel: Der Angreifer initiiert die Kommunikation, indem er ein TCP-SYN-Datenpaket an den Server schickt. Dieser antwortet mit TCP SYN ACK und wartet auf den dritten Teil des Handshakes, das TCP-ACK-Paket. Der Angreifer schickt dieses Paket aber niemals ab, sondern initiiert eine neue Verbindung. Der Server behält die begonnene Verbindung allerdings im Zwischenspeicher - es ist leicht zu sehen, zu welchen Problemen es kommen kann.
Eine Gegenmaßnahme gegen solche Angriffe ist der Timeout des jeweiligen Servers. Dieses sollte so kurz wie möglich eingestellt sein, so dass eine Kommunikation gelöscht werden kann, die nicht korrekt vollendet wird. IP-Sperren helfen meist nicht, da die Angreifer oftmals mit gefälschten IP-Adressen arbeiten oder Botnets verwenden.
