Kategorie:Netzwerk/Angriffe: Unterschied zwischen den Versionen
Zeile 19: | Zeile 19: | ||
* Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports. | * Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports. | ||
== ARP-Spoofing == | |||
* Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. | * Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. | ||
* Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. | * Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. |
Version vom 1. März 2023, 00:57 Uhr
topic kurze Beschreibung
Beschreibung
Sniffing
- Beim klassischen Ethernet mit Thin- oder Thickwire genau so wie bei Netzen, die Hubs verwenden, war das Abhören des gesamten Netzwerkverkehrs noch vergleichsweise einfach.
- Switches galten zunächst als wesentlich sicherer.
- Es gibt jedoch Methoden, um auch in geswitchten Netzen den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:
MAC-Flooding
- Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt.
- Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist.
- In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.
- Gegenmaßnahmen
- Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert.
- Als weitere Sicherheitsmaßnahme kann bei den meisten „Managed Switches“ für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden.
- Protokolldateneinheiten (hier: Frames) mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken (Port Security).
MAC-Spoofing
- Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender.
- Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
- Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports.
ARP-Spoofing
- Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird.
- Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen.
- Diese wird mittels ARP erfragt (ARP-Request Broadcast).
- Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.
- Hierbei handelt es sich nicht um einen Fehler des Switches.
- Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen.
- Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Nachrichten verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen „Managed Layer-3-Switch“ so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.
TCP Syn Flooding/ Land Attack
- DoS-Landangriff
- Angreifer sendet ein TCP SYN-Spoofed-Paket, bei dem Quell- und Ziel-IPs und -Ports identisch eingestellt sind
- Wenn die Zielmaschine versucht zu antworten, tritt sie in eine Schleife ein
- sendet wiederholt Antworten an sich selbst
- was schließlich zum Absturz der betroffenen Maschine führt
SYN/FIN-Scan-Technik
- Ein Angreifer kann TCP/IP-Pakete mit den Kennzeichen SYN und FIN tcp/ip an ein Zielsystem senden, das sich über alle Ports erstreckt, um offene TCP/IP-Ports für weitere Angriffe zu finden.
- Das Zielsystem legt Pakete ab, die für offene Ports bestimmt sind, und sendet RST/ACK-Pakete für geschlossene Ports zurück.
- Der Angreifer kann Informationen aus den Systemantworten sammeln.
- Der SYN/FIN-Scan wird für das Scannen von Ports anstelle des SYN-Scans verwendet, bei dem einige ältere IDS-Systeme übergeben werden.
- Ein entfernter Angreifer kann ein Zielnetzwerk vor dem Start eines Angriffs auf bekannte Schwachstellen überprüfen.
# nmap -sF -T4 <ziel> # nmap -sS -T4 <ziel>
- FIN-Scan (-sF)
- Setzt nur das TCP-FIN-Bit
XMAS-Scan
In der Informationstechnologie ist ein Christbaumpaket ein Paket mit jeder einzelnen Option, die für das verwendete Protokoll festgelegt ist.
- Der Begriff leitet sich von einem phantasievollen Bild jedes kleinen Optionsbits in einem Header ab, das durch eine unterschiedlich gefärbte Glühbirne repräsentiert wird, die alle eingeschaltet sind, "das Paket wird wie ein Weihnachtsbaum beleuchtet".
Bei der Verwendung als Teil des Scannens eines Systems hat der TCP-Header eines Weihnachtsbaumpakets die Kennzeichen
- FIN
- URG
- PSH
# nmap -sX -T4 scanme.nmap.org
- Xmas-Scan (-sX)
- Setzt nur das TCP-FIN-Bit.
- Setzt die FIN-, PSH- und URG-Flags und beleuchtet das Paket wie einen Weihnachtsbaum (engl. Xmas).
NULL Scan Attack
Während der TCP-Verbindung und der Datenübertragung werden die Felder auf 0 gesetzt.
Pakete mit allen Steuerfeldern, die auf 0 gesetzt sind, werden als illegale Pakete betrachtet.
# nmap -sN "scanme.nmap.org" ("scanme.nmap.org"<----Ziel----> ohne " ")
- Erklärung
- Setzt keinerlei Bit (der TCP-Flag-Header ist 0).
- SYN Paket mit einem Quellport weniger als 1024
Der Angreifer sendet das illegale Paket mit dem Feld TCP SYN, das auf 1 gesetzt ist, und Quellport weniger als 1024.
Blat Attack
- Angreifer sendet das illegale Paket mit Quellport und Ziel.
- Port auf 04 gleich und sein URG-Feld auf 1 gesetzt, ähnlich dem Land
- Angriff wird die Systemleistung des angegriffenen Hosts reduziert, da die
- Der Host versucht zyklisch, eine Verbindung mit dem Angreifer aufzubauen.
Ping Flooding
- Ping-Flooding ist eine DoS-Attacke
- Es ist ein gezielter Angriff mit dem die Systemperformance von Servern stark beeinträchtigt wird oder der Server abstürzen kann.
- Das Ping-Flooding arbeitet wie das Ping-Pong-Verfahren.
Beim Ping-Flooding werden die Server mit unzähligen ICMP-Echo-Requests bombardiert.
- Durch die hohe Pingzahl sinkt das Antwortverhalten des Servers und die Netzverbindung wird stark belastet.
Besonders erfolgreich sind Ping-Attacken, wenn dem Angreifer eine hohe oder höhere Bandbreite zur Verfügung steht als dem Attackierten.
- Bei ICMP-Datenpaketen belasten die Datenpakete mit den ICMP Echo-Antworten die Bandbreite, wodurch das System abstürzen kann.
Beim Ping Strangeness sendet der Benutzer einen Request als Echo-Request-Paket an eine bestimmte IP-Adresse.
- Ist die Zieladresse aktiv, sendet sie ein Reply in einem ICMP-Paket an die anfragende Station.
- Anhand des Zeitstempels des Echo-Reply kann die Round-Trip-Zeit ermittelt werden.
- Bei ungewöhnlichen Mustern der Reply-Datenpakete sollte diese genauer untersucht werden, da es sich um DoS-Attacken handeln könnte.
- Eine Variante des Ping-Flooding ist die Smurf-Attacke, die auf die Broadcast-Adresse eines Netzwerks zielt.
SYN/SYN-ACK Flooding
- Ein SYN-Flood ist eine Form der Denial-of-Service-Attacke auf Computersysteme
- Der Angreifer verwendet eine gefälschte IP-Adresse, um TCP-Anfragepakete an die Server.
- Nach Erhalt der Abfragepakete antwortet der Server mit SYN-ACK-Pakete.
- Da die IP-Adresse gefälscht ist, erfolgt keine Antwort.
- Der Server sendet weiterhin SYN-ACK-Pakete.
- Wenn der Angreifer überfließende gefälschte Anforderungspakete sendet, wird die Netzwerkressource sein.
- Böswillig beschäftigt und die Anfragen der Clients werden abgelehnt.
- Gegenmaßnahmen
- SYN-Cookies-Mechanismus
- RST-Cookies
- Eine Echtzeitanalyse des Angriffs durch eine intelligente Firewall, welche verdächtige Angriffsmuster automatisch erkennt.
- Proxy Server
- Recyceln der ältesten halb-offenen TCP Verbindung
- SYN Cache
WinNuke Attack
- Nur mit Win95 funktioniert es, indem es ein Paket mit "Out of Band"-Daten an den Port 139 des Zielhosts sendet.
- Zunächst einmal ist Port 139 der NetIOS-Port (siehe rfc1700 für Portzuweisungen) und akzeptiert keine Pakete, es sei denn, das Flag OOB ist im eingehenden Paket gesetzt.
- Der OOB steht für Out Of Band.
- Wenn Ihre Maschine dieses Paket akzeptiert, verursacht es einen Absturz Ihres Computers und hinterlässt Ihnen nichts anderes als einen blauen Bildschirm (wenn Sie zuvor Windows verwendet haben, haben Sie diesen blauen Bildschirm wahrscheinlich schon oft gesehen).
- Da das Programm, das die Pakete annimmt, nicht weiß, wie man mit Out Of Band-Daten angemessen umgeht, tut es das, was jedes gute Microsoft-Programm tut. Es stürzt ab.
Ping of Death
Der "Ping of Death" ist ein veralteter Denial-of-Service (DoS)-Angriff, der moderne Maschinen nicht betrifft.
- Ursprünglich wurde Mitte der 90er Jahre ein Fehler im TCP/IP-Framework vieler Betriebssysteme entdeckt, bei dem das Senden eines großen Pakets (größer als die maximal zulässige Größe von 65.535 Byte) an eine Zielmaschine dazu führen würde, dass es stark instabil wird, abstürzt oder neu startet.
Dieser Angriff wurde ermöglicht, weil ein so großes Paket auf der Empfangsmaschine wieder zusammengesetzt werden musste.
- Wenn Paketfragmente zu einem Paket zusammengebaut wurden, das größer als die maximal zulässige Größe von 65.535 Byte auf dem Zielcomputer ist, kam es zu einem Pufferüberlauf, der zu Instabilität, Absturz oder Neustart des Zielcomputers führte.
Smurf Attack
- Smurf gehört zu den DoS-Attacken auf ein Netzwerk, die mit Pings arbeiten.
- Bei der Smurf-Attacke sendet der Angreifer ein oder mehrere ICMP-Datenpakete, Internet Control Message Protocol (ICMP), an die Broadcast-Adresse des Netzwerks.
- Smurf-Attacken gehören zur Gruppe der Broadcast Storms, arbeiten aber auf eine etwas andere Weise.
- Bei einem Smurf Angriff sendet der Angreifer sehr viele ICMP-Pakete (z.B. Ping-Anfragen) an die Broadcast-Adresse eines Netzwerks, so dass dieses Paket von jedem Rechner innerhalb des Netzwerks empfangen wird.
- Der Angreifer tarnt sich jedoch nicht mit seiner eigenen oder einer nicht-existenten Adresse, sondern mit der Adresse des eigentlichen Opfers.
- Die ICMP-Anfragen werden nun um die Anzahl der Rechner im Netzwerk vervielfacht; das Netzwerk dient quasi als Sprungbrett.
- Ist das Netz korrekt konfiguriert, werden die ICMP-Antworten am Router des Netzwerks abgeblockt und gelangen nicht bis zum Rechner des Opfers.
- Erlaubt das Netz jedoch solche ICMP-Broadcasts gegen aussen, werden die multiplizierten ICMP-Antworten an das Opfer weitergeleitet.
- Dadurch können Angreifer mit geringer Leitungskapazität (Modem, BA-ISDN) Opfer mit breitbandigen Anschlüssen mit ICMP-Paketen überfluten.
- Die ICMP-Antworten belegen die gesamte Leitungskapazität und die reguläre Datenkommunikation wird unterbunden.
- Sehr häufig brechen auch die Server unter diesem Ansturm zusammen und müssen vorübergehend vom Netz getrennt werden.
- Die Angreifer selbst sind nur sehr schwer zu identifizieren, da sie sich als das Opfer tarnen (IP-Spoofing).
- Die einzige sichere Abwehr ist, die Administratoren der als Sprungbrett dienenden Netzwerke über ihr Sicherheitsloch zu informieren und zu überzeugen, ihre Netze korrekt zu konfigurieren, um das Nach-Aussen-Leiten von Broadcastpings (ICMP) zu unterbinden.
Siehe auch
Links
Projekt
Weblinks
- https://www.itwissen.info/Smurf-Attacke-smurf-attack.html
- https://www.computerweekly.com/de/ratgeber/TCP-Port-Scanning-Das-sollten-Sie-ueber-die-unterschiedlichen-Techniken-wissen
- https://nmap.org/book/scan-methods-null-fin-xmas-scan.html
- https://security.radware.com/ddos-knowledge-center/ddospedia/land-attack/#collapseTwo1
- https://www.computec.ch/archiv/dokumente/denial_of_service/ddos_attacken_tutorial.pdf
Einzelnachweise
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5
Seiten in der Kategorie „Netzwerk/Angriffe“
Folgende 4 Seiten sind in dieser Kategorie, von 4 insgesamt.