DDoS Angriffe mit Beteiligung von Systemen aus dem Muenchner Wissenschaftsnetz

[LRZ aktuell]

Das LRZ beobachtet derzeit vermehrt Denial of Service (DoS und DDoS)
 Angriffe unter Beteiligung von Systemen aus dem Muenchner
 Wissenschaftsnetz (MWN).
 
 Die Angreifer senden dabei (sehr kleine) Pakete mit SNMP-Anfragen,
 einem geratenen Passwort und einer gefaelschten Absenderadresse (die
 Adresse des Opfers) an Systeme im MWN, die dann mit sehr grossen
 Paketen an das Opfer antworten. Durch den sehr hohen
 Verstaerkungsfaktor wird das Opfer sehr schnell mit sehr grossen
 Verkehrsvolumina geflutet. Das LRZ hat diesbezueglich auch schon
 externe Beschwerden von Opfern bekommen.
 
 Haeufig sind bei diesen Angriffen Netzwerkdrucker beteiligt, bei denen
 im Auslieferungszustand SNMP aktiviert und als Passwort "public" (vor-)
 eingestellt ist.
 
 Wir diskutieren derzeit den SNMP-Zugang aus dem Internet (am X-WiN
 Uebergang) zu sperren, um diese Angriffe zu beschraenken und moechten
 Sie schon einmal vorab informieren. Sollte es weitere Angriffe geben,
 wuerden wir ggf. die Sperre auch am Wochenende aktivieren.
 
 Wir koennen natuerlich bei einer benoetigten und begruendeten Nutzung
 des SNMP-Protokolls auch von ausserhalb des MWN bestimmte Adressen von
 diesen Sperren ausnehmen. Dies setzt natuerlich voraus, dass ein
 sicheres SNMP-Passwort verwendet wird. Entsprechende Bedarfe muessten
 Sie uns dann mitteilen.
 


 Diese Information finden Sie im WWW unter
 http://www.lrz-muenchen.de/services/netz/aktuell/ali4565/

 Helmut Reiser