| DoS-aanvallen (Denial-of-Service) maken misbruik van het stateful karakter van doelsystemen om hun bronnen te overweldigen, waardoor legitieme gebruikers er geen toegang toe krijgen. Stateful systemen onderhouden verbindingen en wijzen bronnen toe op basis van de status van die verbindingen. Aanvallers maken hier misbruik van door een groot aantal onvolledige of resource-intensieve verbindingen te creëren, deze bronnen te verbruiken en ze niet meer beschikbaar te maken voor legitiem verkeer. Hier ziet u hoe:
* Verbinding overstromen: Stateful systemen, zoals webservers of firewalls, onderhouden doorgaans een verbindingstabel. Elke vermelding vertegenwoordigt een actieve verbinding en verbruikt geheugen. Een DoS-aanval kan deze tabel overspoelen door een enorm aantal TCP-verbindingsverzoeken te initiëren, maar de drieweg-handshake niet te voltooien. De server bewaart deze halfopen verbindingen in de tabel en legt bronnen vast totdat er een time-out optreedt. Dit wordt vaak een SYN-overstromingsaanval genoemd.
* Uitputting van hulpbronnen door staatsonderhoud: Naast alleen verbindingen houden sommige protocollen en applicaties statusinformatie bij die bronnen verbruikt. Een webserver kan bijvoorbeeld gebruikerssessies in de cache opslaan of gegevens verwerken op basis van eerdere interacties. Een geavanceerde DoS-aanval kan hiervan misbruik maken door veel sessies of verzoeken te creëren die aanzienlijke stateful verwerking vereisen, waardoor het geheugen of de CPU van de server wordt uitgeput.
* Statful Protocol-functies benutten: Sommige protocollen omvatten inherent stateful interacties. Bepaalde functies in protocollen zoals HTTP kunnen bijvoorbeeld worden gemanipuleerd. Een aanvaller kan herhaaldelijk grote verzoeken verzenden, waardoor er een achterstand ontstaat in de verwerkingswachtrij van de server, die bronnen verbruikt en legitieme verzoeken vertraagt of blokkeert.
* Stateful Inspection-firewalls: Zelfs beveiligingsapparaten die zijn ontworpen om te beschermen tegen aanvallen kunnen het slachtoffer worden. Een voldoende grote aanval kan de capaciteit van een stateful inspection firewall overweldigen om verbindingen te volgen en pakketten te verwerken, wat uiteindelijk kan leiden tot een Denial of Service voor het hele netwerk erachter.
In essentie gaat het bij een stateful DoS-aanval niet alleen om het verzenden van een grote hoeveelheid pakketten; het gaat over het strategisch exploiteren van het hulpbronnenbeheer van het doelwit, gekoppeld aan het behouden van de verbindingsstatus en andere stateful aspecten van zijn activiteiten. De aanvaller maakt gebruik van de behoefte van het systeem om deze statussen te beheren en te volgen om zijn bronnen te verbruiken, waardoor service aan legitieme gebruikers wordt ontzegd. De effectiviteit van dergelijke aanvallen hangt af van het vermogen van het doelwit om staatsinformatie te verwerken en zijn vermogen om zich tegen dergelijke overstromingen te verdedigen. |
