Sie sind hier: Sicherheit im Internet / Netzwerk-Grundwissen / Netzwerkangriffe
21.11.2008 : 10:54 : +0100



Werbung

Das könnte Sie
auch interessieren:

Testen Sie Ihre Firewall
Verstellte Startseite

Aktuelle Diskussionen in unserem Forum:


Netzwerkangriffe

SYN-Flood-Attacke

Eine SYN-Flood-Attacke ist ein typisches Beispiel für einen DoS-Angriff (DoS steht für "Denial of Service", also eine "Dienstverweigerung" und zielt darauf ab, einen Rechner dahin zu bringen, dass er nicht mehr wunschgemäß arbeitet. Ein Webserver würde also keine Seiten mehr an den Surfer liefern). SYN-Flood nutzt ein Designproblem des IP-Protokollstacks des Servers aus.

Wie im Bereich TCP/IP zu lesen, wird eine TCP-Verbindung aufgebaut, indem ein Drei-Wege-Handshake durchgeführt wird. Der Server speichert dazu in einer internen Tabelle alle (noch nicht vollständig aufgebauten) Verbindungen, bei denen er das erste Paket mit einem SYN/ACK beantwortet hat. Er wartet also nur noch auf das abschließende ACK des Client.

Der SYN-Flood-Angreifer erzeugt so viele SYN-Anfragen an den Server mit gefälschten und/oder nicht existierenden Absenderadressen, dass dessen Tabelle voll läuft. Diese sinnlosen Einträge bleiben bis zu einem Timeout in der Tabelle stehen. So lange diese Tabelle voll ist, kann der Server keine neuen Verbindungen mehr annehmen. Wenn es der Angreifer schafft, die Tabelle voll zu halten, arbeitet der Server faktisch nicht mehr, da fast keine echten Verbindungen mehr aufgebaut werden können.

Es gibt mittlerweile Mittel und Wege, SYN-Flood-Angriffe in den Griff zu bekommen. Ein bekanntes Gegenmittel sind die "SYN-Cookies". Ein Server, der mit Hilfe dieser SYN-Cookies arbeitet, speichert keine Clients in der Tabelle mehr, sondern schickt den Clients als Antwort auf ihre Anfrage ein speziell formatiertes SYN/ACK-Paket. Da ein echter Client  den Cookie wieder zurückschicken wird, kann der Server allein aus den Cookie-Daten feststellen, dass er von dem Client zuvor ein SYN-Paket erhalten hat und die Verbindung aufbauen. Im Falle eines Flood-Angriffes würde kein Client das Paket zurückschicken. Das Speichern der Clients in einer Tabelle kann also entfallen. SYN-Cookies sind in den meisten Betriebssystemen verfügbar, wenn auch nicht in allen grundsätzlich aktiviert.

Land-Attack

Diese Attacke nutzt Fehler in der Protokollimplementierung aus.

Ein Angreifer schickt - wie bei der SYN-Flood-Attacke - ein SYN-Paket mit gefälschtem Absender an einen Server. Hier ist aber der Absender so gefälscht, daß der Server als Absender eingetragen wurde. Der Server antwortet also mit einem SYN/ACK auf sein vermeintlich eigenes Paket. Von manchen Systemen wurde dieses SYN/ACK dann vom Protokollstack als erstes SYN gewertet was dazu führte, daß der hierauf wieder ein SYN/ACK an sich selbst schickte. Nach kurzer Zeit war der Server nur noch mit sich selbst beschäftigt und er arbeitete damit nicht mehr wie gewünscht.

Vergleichbar wäre das mit einem Tischtennisspieler, der von einem anderen einen Ball zugespielt bekommt und diesen dann nur noch zwischen seiner linken und seiner rechten Hand hin- und herspielt. Für ein sinnvolles Spiel mit einem anderen Spieler hat er dann keine Hand mehr frei.

Diese Attacke wird von den meisten Betriebssystemen mittlerweile abgefangen.

Ping of Death

Hier wurde ein anderer Fehler im Netzwerkstack des angegriffenen Rechners ausgenutzt. Wenn man einem Rechner einen Ping schickte, der größer als 64 kbyte war, so blieben manche Rechner (teilweise auch Router) einfach stehen oder stürzten ab.

Dies kam daher, dass ICMP-Pakete dieser Größe normalerweise nicht vorkommen und der Protokollstack darauf nicht vorbereitet war.

Normalerweise kann man Pings dieser Größe mit Bordmitteln nicht erzeugen, in einigen Windows-Varianten hatte man jedoch die Möglichkeit, die gewünsche Paketgröße anzugeben. In den neueren Windowsvarianten besteht diese Möglichkeit nicht mehr. Auch reagieren die "Ziele" bei weitem nicht mehr so empfindlich.

Smurf-Attacke

Bei diesem Angriff sendet der Angreifer mit gefälschter Absender-Adresse eine ganze Serie von Pings an die Broadcast-Adresse eines Netzwerks. Jeder Rechner hinter dieser Broadcast-Adresse sendet eine Antwort an die gefälschte Absender-Adresse. Das Opfer des Angriffs ist somit der tatsächliche Inhaber der gefälschten Absender-Adresse. Dessen Netzwerkverbindung wird unter der Last der eingehenden Datenflut zusammenbrechen.

DDoS - Distributed Denial of Service

Hierbei führt der Angreifer die Attacke nicht unmittelbar von seinem eigenen System aus durch. Vielmehr benutzt er eine Vielzahl anderer Systeme, die er zuvor "gehackt" und mit Hilfe von Backdoors ("Hintertüren") fernsteuerbar gemacht hat. Diese sogenannten "Zombies" führen dann mit einer der oben beschriebenen Techniken den eigentlichen Angriff auf das Zielsystem durch. DDoS-Attacken sind besonders wirkungsvoll und äußerst schwer zurückzuverfolgen. Die letzten großen Angriffe auf Server - auch auf unsere - waren allesamt DDoS-Angriffe.