Angriffe

An das Internet angeschlossene Computer sind einer Vielzahl von Angriffen ausgesetzt, die verschiedene Absichten verfolgen. Manche Angriffe versuchen den Zielrechner zu beschäftigen, daß dieser keinen anderen Aufgaben mehr nachgehen kann, und somit für andere Computer im Netzwerk unerreichbar ist. Andere haben das Ziel, auf dem angegriffenen Computer Lese- und Schreibrechte zu erhalten, um Daten zu stehlen, manipulieren oder zu löschen. Wieder Andere sammeln lediglich Informationen über das Zielsystem, die sich später bei weiteren Angriffen vorteilhaft auswirken können.

In diesem Kapitel sollen Techniken und häufig auftretende, bekannte Angriffe kurz vorgestellt werden.

Spoofing

Beim IP-Spoofing wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält eine falsche Identität. Es gibt keinen verläßlichen Schutz gegen IP-Spoofing. Man kann sich nie sicher sein, ob ein Paket das ist, was es vorgibt zu sein.

Ein gefälschtes Paket läßt sich dadurch leicht in ein geschütztes lokales Netz einschleusen.

IP-Spoofing wird beispielsweise von Angreifern verwendet werden, um von sich abzulenken, und einem Anderen den Angriff anzulasten.

Außer dem IP-Spoofing gibt es noch weitere Arten von Spoofing, nämlich

DNS- und Web-Spoofing. Auf diese soll jedoch hier nicht näher eingegangen werden.

Source routed traffic

Normalerweise wird der Weg (die Route), die ein IP-Paket zurücklegt, um von Punkt A nach Punkt B zu gelangen, durch die Router zwischen den beiden Endpunkten festgelegt. Das Paket gibt lediglich das gewünschte Ziel vor, nicht welchen Weg es gehen will.

Es ist möglich, Informationen über die Route, die das Paket gehen will, im Paket zu speichern. Die Router werten diese Informationen aus und leiten das Paket entsprechend weiter.

Hiermit lassen sich von einem Angreifer Pakete generieren, die vorgeben aus dem eigenen lokalen Netz (hinter der Firewall) zu stammen. Liegt das Ziel innerhalb des lokalen Netzes wird die Firewall diese Pakete auch dorthin senden. Dem Angreifer wäre es dadurch gelungen, die Firewall zu umgehen. Source routed traffic sollte deshalb grundsätzlich nicht zugelassen werden. Anmerkung: Source routed traffic läßt sich schon auf Kernelebene deaktivieren.

Denial of Service Angriffe

Denial of Service (DoS) Angriffe binden Systemressourcen des Zielrechners. Dies kann im schlimmsten Fall dazu führen, daß das System nicht mehr erreichbar ist. DoS Angriffe lassen sich in Floods (binden Bandbreite, nutzen Rechenzeit des Ziels) und Disconnects unterteilen.

Flooding

Beim Flooding (Fluten) wird das Ziel mit Unmengen von ICMP- (gewöhnlich) oder auch UDP-Paketen beschossen (überflutet). Die Folgen gehen bis zur Unerreichbarkeit des Ziels, da dieses vollständig mit der Bearbeitung der Pakete ausgelastet ist.

Bsp. Ping Flooding: Das Ziel wird mit Ping-Paketen (ICMP Message Type 8) beschossen und wird damit ausgelastet, die Ping-Pakete mit Echo-Reply-Paketen (ICMP Message Type 0) zu beantworten.

Bsp. Identification Flooding (Inetd): Dieser Angriff ähnelt einem gewöhnlichen ICMP Flood, es werden aber zusätzlich Informationen von TCP Port 113 angefordert. Dieser Angriff verbraucht mehr Rechenzeit als ein gewöhnlicher ICMP Flood, da die Antwort generiert werden muß.

Bsp. TCP SYN Flooding: Das SYN Flooding macht sich dem gewöhnlichen dreistufigen TCP Verbindungsaufbau zunutze. Das Ziel wird mit gespooften IP-Paketen beschossen, die eine Verbindung zu einem TCP basierten Dienst (z.B HTTP) aufbauen wollen. Es wird ein Paket mit gesetztem SYN Flag gesendet. Das Ziel beantwortet dieses Paket mit einer Nachricht, die SYN- und ACK-Flag gesetzt hat. Da die IP-Adresse gespooft ist, kommt es nie zu einer Antwort mit gesetztem ACK-Flag des Angreifers. Die TCP Verbindung bleibt in Ihrem halb geöffneten Zustand und verbraucht Systemressourcen, bis es zu einem Timeout der Verbindung kommt. Da neue Pakete schneller eintreffen, als alte Verbindungen durch den Timeout beendet werden, sind nach kurzer Zeit sämtliche Ressourcen des Ziels belegt. Es können keine weiteren Verbindungen beantwortet werden. Das Ziel ist damit ausgeschaltet.

Bsp. SMTP Session Hijacking: Hier wird der Mailserver des Ziels mit Mails überflutet, bis dieser für andere Computer nicht mehr erreichbar ist.

Portscanning

Beim Portscanning werden die Ports des Ziels auf vorhandene Dienste geprüft. Dadurch erhält der Angreifer Informationen über mögliche Angriffspunkte auf dem Zielsystem. Portscans dienen der Informationsgewinnung, verbrauchen aber auch Systemressourcen. Sie sind damit ein weiterer DoS Angriff, wenn auch weniger effizient wie andere DoS Formen. Portscans gehen häufig wirklichen Angriffen voraus. Portscans beschränken sich häufig auf einige wenige, ausgesuchte Zielports, auf denen verbreitete Netzwerkdienste laufen. Diese Dienste haben in der Vergangenheit oft Schwachstellen in der Sicherheit aufgezeigt und sind ein idealer Ausgangspunkt für Angriffe. Portscanning gilt trotz dieser für die Informationsgewinnung wichtigen Funktion als klassischer DoS Angriff, da eine entsprechende Anzahl an Scans gleichzeitig den Zielrechner blockieren kann.

Disconnects

Durch Disconnects wird der Zugriff auf den eigenen Computer oder auf andere Rechner im Netzwerk verhindert. Bsp. ICMP Destination Unreachable: Bei diesem DoS Angriff wird ein gespooftes Destination-Unreachable-Paket (ICMP Message Type 3) an das Ziel gesendet. Das Ziel erhält die Nachricht, daß der Quellrechner nicht mehr erreichbar ist und beendet alle Verbindungen mit diesem Computer.

Hacks und Exploits

Ein Hack ist eine Anwendung oder ein Paket, welches Schwächen in einem Betriebssystem, einer Anwendung oder einem Protokoll ausbeutet (engl.: to exploit). Die Folgen reichen vom Absturz des Ziels über Datendiebstahl bis zum vollständigen Datenverlust.

Bsp. Boink: Der Boink Hack ähnelt anderen Hacks, wie Bonk, Teardrop oder New Tear. Durch ungültige Paketfragmente, die nicht mehr korrekt zusammengefügt werden können, wird das Ziel zum Absturz gebracht.

Bsp. Land: Beim Land Hack versucht ein gefälschtes, angeblich vom Ziel stammendes Paket eine Verbindung zum Ziel aufzubauen. Das Ziel versucht mit sich selber eine Verbindung aufzubauen und stürzt ab.

Bsp. Winnuke: Winnuke nutzt einen Fehler im TCP/IP Stack der bekannten Windows Versionen (Win3.x, Win9x, WinNT 3.51, WinNT 4) aus. Spezielle Daten (out of bound data) werden an TCP Port 139 des Ziels geschickt. Als Folge davon stürzt das TCP/IP Protokoll ab und der Computer muß neu gebootet werden, will man die Funktionalität des Protokolls wieder herstellen.