Att genom att skicka speciell trafik försätta utrustning ur funktion för behöriga användare, har historiskt sett begränsats av att angreppen ofta, men inte alltid, också är mycket bandbreddskrävande. Nu varnar Clavister för en ny typ av attack som med ett verktyg kan genomföras med mycket begränsade resurser. Verktyget heter Sockstress och har ett antal olika attacker implementerade som kan krascha nätverksutrustning och operativsystem i datorer.
Grovt går det att indela tjänstenekningsattacker i två typer. Antingen genom att skicka stora mängder trafik eller de som utnyttjar sårbarheter. Verktyget Clavister varnar för fungerar alltså på det sistnämnda sättet. I princip all typ av nätverksuppkopplad utrustning som använder TCP/IP kan kraschas, exempelvis operativsystem, nätverkstutrustning och applikationer.
Stefan Pettersson, säkerhetsexpert på konsultföretaget High Performance Systems, deltog på konferensen då Sockstress presenterades för omkring ett år sedan. Han berättar att bristen ligger i själva TCP.
- Det fundamentala problemet med TCP, som Sockstress, Nkiller2 och vissa andra attackverktyg utnyttjar, är att en angripare tillåts binda upp resurser hos motparten efter att TCP-kopplingen är upprättad, säger Stefan Pettersson till TechWorld Säkerhet.
Clavister produktchef Andreas Åsander, menar att Sockstress kan ställa till det rejält för företagen och är därför nöjd med att man nu skyddar mot angreppsmetoden.
- Clavister Security Gateway har traditionellt överträffat de flesta andra säkerhetsprodukter på marknaden, särskilt när det gäller DoS-attacker. Därför var det angeläget med denna utvärdering av Sockstress med tanke på dess potentiellt förödande effekter. Det var högst tillfredställande att se med vilken lätthet vår TCP-stack lyckades värja sig mot attackerna, säger Andreas Åsander.
Enligt Stefan Pettersson är verktyget dock hypat, och han berättar för TechWorld Säkerhet att det också finns andra verktyg med vilket man kan åstadkomma liknande effekt. Han säger vidare att han inte känner till att det med hjälp av verktyget skett något större antal attacker, även om risken potentiellt finns.
För att skydda sig mot Sockstress och även andra angrepp ger Stefan Pettersson rådet att begränsa antalet kopplingar som varje IP-adress och IP-nät tillåts ha till en viss server.
- Rör det sig om exempelvis en webbserver som kan hantera tusen samtida kopplingar så kan man i brandväggen begränsa detta till exempelvis tio samtida kopplingar per IP-adress, och femtio kopplingar per nät.
Detta skyddar visserligen inte mot botnätattacker, där de angripande datorerna oftast finns utspridda i flera IP-nät, men vid dessa attacker så brukar spelet så att säga vara kört ändå. I allmänhet finns det då tillräckliga resurser utan att behöva utnyttja sårbarheter på det sätt som Sockstress gör.
