BitTorrent-Protokolle kennen die meisten vom Download von Musik oder aktuellen Kinohits. Einige davon nutzen die Bibliothek libuTP, die es ermöglicht, Überlastungen des Netzwerks zu erkennen und den Verkehr dann automatisch zu drosseln.

Jetzt stellten Forscher allerdings fest, dass bei der Implementierung des Umgangs mit eingehenden Anfragen eine Schwäche im Code Angreifern die Möglichkeit gibt, diese BitTorrent-Clients ohne deren Wissen als Reflektoren für starke DRDoS-Attacken zu missbrauchen.

In DRDoS (Distributed Reflective Denial of Service)-Angriffen wird der Verkehr nicht direkt an das Opfer geleitet, sondern der Angreifer schickt ihn erst an sogenannte Verstärker, die ihn dann zum Ziel weiterleiten. Werden genug Reflektoren eingesetzt, verdrängen die darüber geleiteten Anfragen nach einer Weile die regulären, und der angesprochene Zielserver wirkt wie offline.

Angreifer können die Quelladresse in einem UDP (User Datagram Protocol) -Paket manipulieren und so einem Reflektor vortäuschen, er habe eine Verbindungsanfrage von dem Server, der angegriffen werden soll.

Der Reflektor schickt dann eine Bestätigung der Verbindung (ACK) an den Zielserver. Normalerweise würde er erst dann weitere Daten senden, wenn das nächste Paket die eben gesendete ACK-Nummer enthält, die nur der wirkliche Zielserver kennen kann.

Durch die Schwachstelle in der libuTP-Bibliothek nahm der Reflektor bisher aber jede beliebige Bestätigungsnummer an. So konnten die Angreifer ihn einfach dazu veranlassen, Daten an den Zielserver zu schicken, ohne dass der danach gefragt hätte.

Nach der Änderung der Software geht der Reflektor erst dann in einen verbundenen Zustand über, wenn die richtige ACK-Nummer zurückgeliefert wird. Ein Angreifer kann damit jetzt nicht genug Werte erraten kann, um einen starken Angriff durchzuführen.