DDoS Angriffe mit Beteiligung von Systemen aus dem Münchner Wissenschaftsnetz

[TUM-IT-Newsletter]

Liebe Kollegen,

das LRZ beobachtet derzeit vermehrt Denial of Service (DoS und DDoS) Angriffe unter Beteiligung von Systemen aus dem Münchner Wissenschaftsnetz (MWN).

Die Angreifer senden dabei (sehr kleine) Pakete mit SNMP-Anfragen, einem geratenen Passwort und einer gefälschten Absenderadresse (die Adresse des Opfers) an Systeme im MWN, die dann mit sehr großen Paketen an das Opfer antworten. Durch den sehr hohen Verstärkungsfaktor wird das Opfer sehr schnell mit sehr großen Verkehrsvolumina geflutet. Das LRZ hat diesbezüglich auch schon externe Beschwerden von Opfern bekommen.

Häufig sind bei diesen Angriffen Netzwerkdrucker beteiligt, bei denen im Auslieferungszustand SNMP aktiviert und als Passwort "public" (vor-)eingestellt ist.

Wir diskutieren derzeit den SNMP-Zugang aus dem Internet (am X-WiN Übergang) zu sperren, um diese Angriffe zu beschränken und möchten Sie schon einmal vorab informieren. Sollte es weitere Angriffe geben, würden wir ggf. die Sperre auch am Wochenende aktivieren.

Wir können natürlich bei einer benötigten und begründeten Nutzung des SNMP-Protokolls auch von außerhalb des MWN bestimmte Adressen von diesen Sperren ausnehmen. Dies setzt natürlich voraus, dass ein sicheres SNMP-Passwort verwendet wird. Entsprechende Bedarfe müssten Sie uns dann mitteilen.

Diese Information finden Sie im WWW unter  http://www.lrz-muenchen.de/services/netz/aktuell/ali4565/


Mit freundlichen Grüßen
Albert Lauchner
 --
Dipl. Phys. Albert Lauchner, Leiter IT-Management
Technische Universität München, IT-Servicezentrum
Karlstr. 45, 80333 München
Tel: +49 89 289 22256, Mobil: +49 162 2957204, www.itsz.tum.de<http://www.itsz.tum.de/>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20130419/91568781/attachment.htm>