Broadcast: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „z. B. “ durch „z. B. “ |
||
Zeile 91: | Zeile 91: | ||
; Denial-of-Service-Angriff | ; Denial-of-Service-Angriff | ||
Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch [[Denial of Service|Denial-of-Service]]-Angriffe (wie den [[Smurf-Angriff]] oder den [[Fraggle-Angriff]]) oder durch eine fehlerhafte [[Netzwerkkarte]] ausgelöst werden | Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch [[Denial of Service|Denial-of-Service]]-Angriffe (wie den [[Smurf-Angriff]] oder den [[Fraggle-Angriff]]) oder durch eine fehlerhafte [[Netzwerkkarte]] ausgelöst werden | ||
=== Maßnahmen === | === Maßnahmen === |
Version vom 20. Mai 2023, 02:02 Uhr
Broadcast - Rundsendung an alle Empfänger
Beschreibung
- Broadcast
- In Rechnernetzen eine Nachricht, bei der Datenpakete von einem Punkt aus an alle Teilnehmer eines Nachrichtennetzes übertragen werden
- In der Vermittlungstechnik ist ein Broadcast eine spezielle Form der Mehrpunktverbindung
- Ein Broadcast-Paket erreicht alle Teilnehmer eines lokalen Netzes
- ohne dass sie explizit als Empfänger angegeben sind.
- Daraus folgt, dass Broadcasts sich auf das eigene Netzsegment beschränken sollten, und nicht von Routern weitergeleitet werden.
- Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein Multicast-Verfahren.
- Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft.
- Broadcasts gibt es auf verschiedenen Schichten des OSI-Referenzmodells.
- Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen.
- So wird etwa ein IPv4-Broadcast als Ethernet-Broadcast an die MAC-Adresse
FF:FF:FF:FF:FF:FF
gesendet. - Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von Punkt-zu-Punkt-Verbindungen besteht, kann die Nachricht stattdessen mittels eines Flooding-Algorithmus gesendet werden.
Anwendungen
- Adressierung unbekannter Empfänger
- Ein Broadcast wird in einem Computernetz unter anderem verwendet, wenn die IP-Adresse des Empfängers der Nachricht noch unbekannt ist.
- Diese Technik kommt gemäß OSI-Modell in der Vermittlungsschicht zum Einsatz.
- Beispiele hierfür sind ARP, DHCP und Wake On LAN.
- Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann.
- Das Kommunikationsprotokoll SMB sucht per Broadcast Datei- und Druckerfreigaben im lokalen Netz.
IP-Broadcast
- Broadcasts in IPv4 werden über eine Gruppenadresse realisiert.
- Es werden verschiedene Formen von IP-Broadcasts unterschieden:
- Limited Broadcast
- Als Ziel wird die IP-Adresse
255.255.255.255
angegeben.
- Dieses Ziel liegt immer im eigenen lokalen Netz und wird direkt in einen Ethernet-Broadcast umgesetzt.
- Ein limited broadcast wird von einem Router nicht weitergeleitet.
- Directed Broadcast
- Das Ziel sind die Teilnehmer eines bestimmten Netzes.
- Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben.
- Die Adresse für einen directed broadcast in das Netz
192.168.0.0
mit der Netzmaske255.255.255.0
lautet somit:192.168.0.255
(CIDR-Notation:192.168.0.255/24
). - Ein directed broadcast wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt.
- Falls Quell- und Zielnetz identisch sind, entspricht dies einem limited broadcast.
- Oft wird dieser Spezialfall auch als local broadcast bezeichnet.
- Ein directed broadcast kann weiter differenziert betrachtet werden.
- Der Broadcast kann als subnet-directed broadcast, als all-subnets-directed broadcast oder als net-directed broadcast auftreten.
- Ein subnet-directed broadcast hat als Ziel ein festgelegtes Subnetz.
- Ein all-subnets-directed broadcast ist ein Broadcast in allen Subnetzen eines Netzes, und ein net-directed broadcast wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt).
- Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert.
- Router sollten directed broadcasts nicht weiterleiten.
- IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet.
Broadcast-Sturm
Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz
- Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
- Große Netzwerksegmente
- Viel Teilnehmer
- Große Broadcast-Domänen
- kann sich
- durch verschiedene Ursachen
- bei einem Broadcast-Sturm
- die Antwortzeit des Netzwerks
- durch einen Schneeballeffekt
- dramatisch erhöhen
Abgrenzung
- Routing-Schleifen
- Router, die auf Layer 3 des OSI-Modells arbeiten, leiten jedoch keine Layer-2-Broadcasts weiter, wie es Switches tun.
- Unzutreffende Annahme
Router leiten keine Layer-3-Broadcasts weiter
- Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
- Fehleinschätzung
Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen
- Auch Switches mit VLANs oder Layer-3-Funktionalitäten
- Broadcast werden nicht mit Broadcasts beantwortet
- Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
- In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat
Ursachen
- In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
- Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
- Denial-of-Service-Angriff
Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden
Maßnahmen
Option | Beschreibung |
---|---|
Schleifen zwischen Switches verwalten | |
In Metropol-Netzwerken | Ethernet Automatic Protection Switching (EAPS) |
Filterung von Broadcasts durch Layer-3-Geräte | Router |
Physikalische Segmentierung | einer Broadcast-Domäne durch Router oder Layer-3-Switches |
Logische Segmentierung | einer Broadcast-Domäne durch VLANs |
Router und Firewalls | können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren |
Sicherheit
- In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt.
- An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen.
- Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen.
- Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind.
- Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
- Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen.
- Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann.
- Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen.
- Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen.
- Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden.
- In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt.
- Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist.
- Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt.
- Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet.
- Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben.
- Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet.
- Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden.
- Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden.
- Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme.
- Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse).
- Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse.
Dokumentation
RFC
- RFC 826 – Ethernet Address Resolution Protocol (englisch)
- RFC 1812 – Requirements for IP Version 4 Routers (englisch)
- RFC 2644 – Changing the Default for Directed Broadcasts in Routers (englisch)
Man-Pages
Info-Pages
Links
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5