Denial of Service/Typen

Aus Foxwiki
Version vom 21. April 2023, 20:31 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Beispiele für Denial-of-Service-Angriffe == ; Es gibt viele verschiedene Arten von DoS-Angriffstechniken * Nachfolgend finden Sie einige Beispiele dafür, wie ein DoS-Angriff ausgeführt werden kann, abhängig von der Anfälligkeit des Zielservers. * Einige von ihnen werden nicht mehr verwendet, weil ihre Schwachstellen beseitigt wurden, während andere weiterhin verwendet werden. === DoS-Angriff: ACK-Scan, SYN-Scan, FIN-Scan === Diese Scan-Techniken…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Beispiele für Denial-of-Service-Angriffe

Es gibt viele verschiedene Arten von DoS-Angriffstechniken
  • Nachfolgend finden Sie einige Beispiele dafür, wie ein DoS-Angriff ausgeführt werden kann, abhängig von der Anfälligkeit des Zielservers.
  • Einige von ihnen werden nicht mehr verwendet, weil ihre Schwachstellen beseitigt wurden, während andere weiterhin verwendet werden.

DoS-Angriff: ACK-Scan, SYN-Scan, FIN-Scan

Diese Scan-Techniken verwenden ähnliche Ansätze, um zu prüfen, ob die Ports des Angriffsziels offen sind und ausgenutzt werden können.

  • Sie werden sowohl zum Sammeln von Informationen als auch zur Verweigerung von Diensten eingesetzt.

Die ACK-Scan-Technik wird beispielsweise von Angreifern verwendet, um Informationen über die Firewall- oder Zugriffskontrolllisten-Konfiguration (ACL) des Ziels zu sammeln.

  • Es handelt sich dabei um einen Scan über ein Paket mit einem Bestätigungsflag (ACK), mit dem versucht wird, Hosts oder Ports zu identifizieren, die gefiltert sind oder nicht auf andere Weise gescannt werden können.
  • Angreifer beobachten die Antwort des Routers, um die Konfiguration zu verstehen.

Daraus lassen sich, insbesondere in Kombination mit einem SYN-Scan, Informationen über die Art der Firewall des Ziels, ihren Regelsatz und die Art der Pakete, die zum Host durchgelassen werden, ableiten. Gleichzeitig können die Angreifer beim Sammeln von Schwachstelleninformationen über einen Scan auch die offenen UDP/TCP-Ports eines Routers überfluten, um ihn zum Absturz zu bringen.

  • Indem sie einen Verbindungsversuch starten, aber die Antwort des Servers von offenen Ports nicht bestätigen, können Angreifer die Ports offen halten und den Server kontinuierlich mit neuen Anfragen überfluten (auch als SYN-Flood bekannt).

DoS-Angriff: Smurf

Bei einem Smurf-Angriff zielt die böswillige Partei auf ein Netzwerk ab, dessen Konfiguration es erlaubt, Pakete an alle Geräte (Hosts) im Netzwerk auf einmal zu senden.

  • Dies wird erreicht, indem ICMP-Pakete (Internet Control Message Protocol) an die IP-Broadcast-Adresse des Netzes gesendet werden, wodurch sie alle Computer erreichen.

Diese Pakete haben als Quelladresse die IP-Adresse des Ziels (d. h. die Quelladresse wird gefälscht).

  • Standardmäßig antworten die Geräte im Netz dann auf die Pakete mit der gefälschten Quelladresse.
  • Dadurch wird der Zielcomputer mit Datenverkehr überflutet und überlastet oder ganz abgeschaltet.

Es gibt nur wenige Unterschiede zwischen Smurf und dem so genannten ICMP-Flood oder Ping of Death.

DoS-Angriff: SYN-Flood

Ein SYN-Flood, auch als halboffener Angriff bekannt, ist eine Technik, die den Drei-Wege-Handshake des Transmission Control Protocol (TCP)/IP ausnutzt.

  • Bei einer SYN-Flood sendet ein Angreifer wiederholt Verbindungsanfragen, d.h. SYN-Pakete (Synchronisierungspakete), an alle Ports eines Servers.
  • Normalerweise antwortet ein Server dann mit Paketen, die die Synchronisierung bestätigen (SYN/ACK), von jedem Port, der gerade offen ist.
  • Wenn ein Port geschlossen ist, antwortet er mit einem Reset-Paket (RST).

Normalerweise antwortet ein Client während des Handshakes auf das SYN/ACK-Paket mit einem acknowledged (ACK)-Paket.

  • Damit bestätigt er, dass er das SYN/ACK-Paket des Servers erhalten hat, und die Kommunikation zwischen ihnen kann beginnen.

Bei einer SYN-Flut verwenden die Angreifer jedoch gefälschte IP-Adressen, um die ersten SYN-Pakete zu senden.

  • Infolgedessen erhält der Server nie eine Antwort auf seine SYN/ACK-Pakete, und seine Ports bleiben offen (belegt) und können nicht zurückgesetzt werden (daher der Name „halboffen“).
  • Bevor der Verbindungsversuch abbricht, werden weitere SYN-Pakete an diese Ports gesendet, was den Server veranlasst, sie offen zu halten und zu versuchen, eine Verbindung herzustellen.

Dies liegt daran, dass die Ports mit diesen Anfragen gesättigt sind, was zu einem Denial-of-Service-Angriff führt.

DoS-Angriff: Teardrop

Der Teardrop-Angriff nutzt eine Schwachstelle aus, die bei älteren Betriebssystemen und TCP/IP-Implementierungen auftritt.

  • Wenn Pakete zu groß für Zwischensysteme wie Router sind, erlaubt die IP-Spezifikation die Fragmentierung von Paketen.
  • Anschließend werden die Fragmente wieder zusammengesetzt.

In vielen älteren Systemen ist jedoch ein Fehler in der TCP/IP-Fragmentierung und -Zusammensetzung zu finden.

  • Der Fehler besteht darin, dass sie Pakete, deren Offset-Felder sich überschneiden, nicht wieder zusammensetzen können.
  • Angreifer nutzen diesen Fehler bei einem Teardrop-Angriff aus, indem sie Pakete mit überlappenden und übergroßen Nutzdaten senden, so dass das empfangende System sie nicht mehr zusammensetzen kann und schließlich abstürzt.

DoS-Angriff: ARP-Angriff

Bei dieser Technik, die auch als ARP-Spoofing-Angriff bekannt ist, werden ARP-Nachrichten (Address Resolution Protocol) über ein Netzwerk gesendet, um die MAC-Adresse des Angreifers mit der IP-Adresse des Ziels (Server oder Gateway, z.B. ein Router) zu verbinden. Wenn dies erfolgreich ausgeführt wird, wird der Datenverkehr, der eigentlich zum Ziel führen sollte, stattdessen vom Angreifer empfangen, was zu einer Dienstverweigerung führt.

  • Diese Art von Angriff kann nur in lokalen Netzen durchgeführt werden, die ARS verwenden.

DoS-Angriff: Fraggle-Angriff

Der Fraggle-Angriff, der auch als UDP-Flood bekannt ist, verwendet denselben Ansatz wie der Smurf-Angriff, indem er eine Schwachstelle ausnutzt, die mit dem Senden von Datenverkehr an die IP-Broadcast-Adresse des Ziels (z.B. eines Routers) verbunden ist.

  • Der Hauptunterschied besteht darin, dass anstelle von ICMP UDP-Datenverkehr (User Datagram Protocol) verwendet wird, um einen Router oder Server zu überfluten.

Der Effekt ist, dass die IP-Adresse der Quelle der Anfrage gefälscht wird und dann der Verkehr aus dem Netzwerk zurück zum Router geleitet wird, wodurch dieser überflutet wird. Sowohl der Fraggle- als auch der Smurf-Angriff sind weitgehend verschwunden, da Router Pakete, die an ihre Broadcast-Adresse gesendet werden, nicht mehr weiterleiten.