Was ist ein Teardrop-Angriff und wie können Nutzer sich davor schützen?

Ein Teardrop-Angriff ist eine Form von DoS-Attacke (Denial-of-Service), bei dem der Server oder das Netzwerk des Opfers mit fragmentierten Datenpaketen regelrecht geflutet wird. Da es der Server nicht schafft, die Pakete wieder zusammenzusetzen, kommt es zu einer Überlastung, in deren Folge das System sozusagen den Dienst verweigert und sich abschaltet.

Teardrop-Angriffe nutzen in der Regel eine bestehende TCP/IP-Schwachstelle in Servern aus. Diese tritt bei der Fragmentierung und anschließenden Zusammensetzung von IP-Paketen auf. Den Angreifern gelingt es damit, herkömmliche Sicherheitskontrollen auf einem lokalen Server oder in einem Netzwerk zu umgehen. Da in vielen Unternehmen Systemsoftware häufig nicht gepatcht wird oder veraltet ist, können Teardrop-Angriffe diese Schwachstellen noch immer ausnutzen. So kommen Teardrop-Angriffe gehäuft bei Kommunalverwaltungen, Krankenhäusern und kleinen Banken vor, insbesondere wenn sie mit sehr alten Betriebssystemen (wie Windows 95 oder älter) arbeiten.

In diesem Leitfaden legen wir ausführlich dar, was Teardrop-Angriffe sind, wie sie funktionieren und wie Sie sich vor ihnen schützen können, damit Sie hoffentlich niemals einem solchen oder ähnlichen Angriff zum Opfer fallen.

Woher stammen Teardrop-Angriffe?

Stellen Sie sich vor, Sie gehen zu Hause (oder im Büro) ganz normal Ihrer Arbeit nach und plötzlich fährt sich Ihr Computer ohne jegliche Vorwarnung von selbst herunter. Oder Sie werden unvermittelt von Ihrem lokalen Netzwerk abgeschnitten und haben keinen Zugriff mehr auf die lokalen Daten, die Sie zum Arbeiten brauchen. So oder so ähnlich sieht ein Denial-of-Service- oder ein verteilter Denial-of-Service-Angriff aus.

DDoS-Attacken sind nicht nur ärgerlich, sondern auch potenziell gefährlich und kommen in den USA tatsächlich ziemlich häufig vor. Im September 2017 war Google (und ein großer Teil seiner digitalen Infrastruktur) sechs Monate lang Ziel dieser Angriffe, die mitunter einen Umfang von 2,54 Terabit pro Sekunde erreichten. GitHub geriet sowohl 2015 als auch 2018 ins Visier, und selbst AWS war 2020 von einem Angriff mit 2,3 Terabit pro Sekunde betroffen.

Sehr zum Leidwesen des durchschnittlichen Benutzers treten DDoS- und DoS-Attacken in ganz unterschiedlichen Formen auf. Denn seit ihrem ersten Auftreten haben sich diese Angriffe erheblich weiterentwickelt, wie so vieles in der Bedrohungslandschaft der letzten 20 Jahre. Und eine der am schwersten zu greifenden Form ist der Teardrop-Angriff. Mit seinem tröpfchenweisen Vorgehen, daher der Name, kann ein erfolgreicher Teardrop-Angriff Ihren Computer (oder das System, mit dem er verbunden ist) komplett abtöten.

Wie funktioniert ein Teardrop-Angriff?

Ein durchschnittliches digitales System ist darauf ausgelegt, eine bestimmte Menge an zeitgleich eingehenden Daten zu verarbeiten. Infolgedessen werden Daten oder Netzwerkverkehr oft in kleinere Teile oder Fragmente zerlegt, deren Versatz relativ zum Originalpaket im Fragment-Offset-Feld mit einer bestimmten Nummer gekennzeichnet wird. Anhand dieser Nummer werden die Fragmente im Normalfall wieder in der richtigen Reihenfolge zusammengesetzt.

Bei einem Teardrop-Angriff manipulieren Cyberkriminelle das Fragment-Offset-Feld derart, dass ein korrektes Zusammensetzen nicht mehr möglich ist. In der Folge sammeln sich im System große Mengen an beschädigten, fragmentierten Daten an, die keinen Sinn mehr ergeben. Deren Last wird irgendwann so übermächtig, dass das System ohne (angemessene) Vorwarnung abstürzt.

Beispiele für Teardrop-Angriffe

Im Laufe der Jahre gab es mehrere Angriffe auf große Systeme, die vielen in der Cybersicherheitsbranche tätigen Leuten bekannt sein dürften. Dazu gehören unter anderem (und die Beispiele sind keineswegs erschöpfend):

Windows NT und 95: In den späten 90er Jahren traten die ersten Teardrop-Angriffe bei Windows3.1x, NT und 95 auf, in deren Verlauf mit zahllosen Systemausfällen sich Microsoft genötigt sah, die Sicherheitslücke mit einem Patch zu schließen.
Systeme von Privatanwendern: Diese Angriffe trafen sowohl ältere Windows- als auch auf Linux-Systeme, hauptsächlich aber Windows 95 und Linux-Kernel vor 2.1.63.
Android/Rowhammer: Ein Angriff namens RAMpage, der an das Prinzip des Teardrop-Angriffs angelehnt ist, bedrohte jedes Android-Gerät, das zwischen 2012 und 2018 verkauft wurde.

Schutz vor Teardrop-Angriffen

Sie haben verschiedene Möglichkeiten, einen Teardrop-Angriff auf Ihr Netzwerk oder Ihr lokales System zu verhindern. Die folgenden Ratschläge zur Cybersicherheit gelten für eine Reihe verschiedener digitaler Bedrohungen und Malware, nicht nur für Teardrop-Angriffe.

Aktualisieren Sie Ihr Betriebssystem

Die erste Empfehlung lautet, Ihre gesamte Software und Ihr Betriebssystem zu aktualisieren und sicherzustellen, dass alle verfügbaren Sicherheits-Patches der jeweiligen Entwickler installiert sind. Wie bereits erwähnt, sind Systemschwachstellen das übliche Einfallstor für Teardrop-Angriffe, so dass Sie Ihren lokalen Rechner und das gesamte Netzwerk mit dieser Maßnahme sehr einfach, aber auch wirksam schützen können.

Sperrung von Ports

Wenn sich Ihre alte Software oder ihre älteren unternehmenskritischen Anwendungen nicht mehr patchen lassen, können Sie Teardrop-Angriffe verhindern, indem Sie die Ports 139 und 445 deaktivieren. Damit blockieren Sie potenziell gefährliche Servermeldungen in den Systemen, bei denen keine Sicherheits-Updates mehr vorgenommen werden können.

Aktivieren Sie Ihre Firewall

Eine der einfachsten Möglichkeiten, einen Teardrop-Angriff zu verhindern (und Ihren lokalen Rechner im Allgemeinen zu schützen), ist eine bewährte und umfassende Firewall oder Cybersicherheitslösung für Ihren Rechner oder Ihr Netzwerk. Wir empfehlen Ihnen die Installation unserer speziellen Sicherheitssoftware Kaspersky Premium mit ihrer unüberwindlichen Firewall, regelmäßigen Updates sowie kontinuierlicher Hilfe und Support.

FAQs – Häufig gestellte Fragen