Attacken: Man-in-the-middle, DoS, Sniffing,Spoofing…

Attacken: Man-in-themiddle, DoS,
Sniffing,Spoofing…
Igor Lopar
Inhalt
Einleitung ................................................................................................................................................. 3
Denial of Service ...................................................................................................................................... 3
DDoS .................................................................................................................................................... 4
Sniffing: .................................................................................................................................................... 5
Man-in-the-Middle Attacke ..................................................................................................................... 5
IP Spoofing ............................................................................................................................................... 7
Seite 2 von 7
Einleitung
Angriffe auf Netzwerke gibt es, seit es das Internet gibt. Erschreckend ist allerdings das
Ausmaß, das mittlerweile erreicht ist. Maßgeblich dafür sind Programme und Anleitungen,
die im Internet leicht zu finden sind und die es praktisch jedem Laien ermöglichen, Viren,
Würmer und Trojaner zu erzeugen oder den „großen Hacker“ zu spielen. Die Achtung und
Aufmerksamkeit, die vor allem Kinder und Jugendliche als „coole Hacker“ bei gleichaltrigen
erhalten, trägt das Übrige dazu bei. Diese Angreifer, werden „Script Kiddies“ genannt, da sie
ohne eigenes Know how Angriffswerkzeuge, die im Internet (leicht) zu finden sind, benutzen,
um in fremde Systeme einzudringen.
Aber auch Angriffe mit schwer kriminellen, oder gar terroristischen Hintergrund nehmen
immer mehr zu.
Denial of Service
Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die
damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern
ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer
so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben
kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen. DoS-Attacken zielen in
der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen ab,
sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu
machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen
außerordentlich überbelastet.
Ping of Death:
Ping of Death sendet ein fragmentiertes IP- Paket, dessen Offset und Länge zusammen die
maximale IP- Paketgröße von 64k überschreiten. Dadurch kommt es bei einigen TCP/IP
Implementierungen zu einem Buffer Overflow. Da die heutigen Betriebssysteme und
Computer wesentlich leistungsstärker sind, gehört Ping of Death der Vergangenheit an.
SynFlood:
SynFlood sendet in kurzem Abstand viele TCP SYN Pakete, so dass das Zielsystem
dadurch überlastet ist bzw. keine TCP Verbindungen mehr entgegennehmen kann (Denial of
Service Attack).
SYN-Attacken beruhen auf einer ganz gewöhnlichen Eigenschaft des TCP: dem
Verbindungsaufbau. Das TCP ist im Internet immanent präsent, beinahe jeder nennenswerte
Dienst im WWW basiert darauf, insbesondere allgegenwärtige Protokolle wie HTTP (WebBrowsing), SMTP, POP3 und IMAP (alle E-Mail) setzen darauf auf. Das “Transmission
Control Protocol” gehört zu den verbindungsorientierten Protokollen, weil eben formal eine
Verbindung erst aufgebaut und nach Ende der Übertragung wieder regulär beendet werden
muss. Das unterscheidet TCP zum Beispiel von UDP (was hauptsächlich für
Multimediastreaming, etwa Online Spiele eingesetzt wird).
Ein aktiver Klient verbindet sich bei TCP mit einem passiven Dienst, die beiden tauschen ein
paar Informationen aus und dann gilt die Verbindung als hergestellt. Von da an können dann
Seite 3 von 7
beidseitig Daten ausgetauscht werden, vereinfacht die
Payload, der Inhalt des TCP-Pakets, den es zu transportieren
gilt (Webseiten, E-Mails, …).
Abbildung 1 3 Wege Handshake
DDoS
Ein Distributed Denial of Service ist eine DoS-Attacke, die von verschiedenen Systemen aus
gleichzeitig erfolgt. Die DDoS-Attacke wird zum gleichen Zeitpunkt von den verschiedenen
Computern ausgelöst und ist dadurch nur schwer zu orten und noch schwieriger zu
unterbinden. Die Koordination solcher DDoS-Attacken erfolgt zentral über so genannte
Handler, die gleichzeitig Hilfsprogramme aktivieren.
Da die eigentlichen Attacken über die Hilfsprogramme ablaufen, ist der Verursacher schwer
zu ermitteln.
„Unternehmen die ihr Geld mit dem Verkauf von Software verdienen, haben seit den Anfängen des
Internet das Problem dem unautorisierten Austausch ihrer Produkte Einhalt zu gebieten. Vorallem
auch im Bereich der 'Entertainment Software' im besonderen dem der Computerspiele waren und
sind die Anstrengungen groß, Systeme zu entwickeln welche der 'Softwarepiraterie' entgültig einen
Riegel vorschieben sollen. Etliche Versuche Schutzmechanismen auf Datenträgern zu realisieren
(SecuRom, etc.) haben nicht gefruchtet. Sei es dass entweder professionelle Cracker zu viel Ahnung
von der Materie haben oder Software bereits vor dem Aufspielen auf Datenträger ins Netz gelangt,
diese Art Software zu schützen scheint dem Untergang geweiht.
Spätestens seit dem Erfolg von reinen Onlinespielen wie etwa World of Warcraft, die das Problem
unrechtmäßiger Vervielfältigung durch die Bindung von Softwareprodukten an einen Account
umgehen, scheinen die Anstrengungen der gesamten Computerspielbranche in diese Richtung zu
gehen. Plattformen wie beispielsweise Steam machen es vor und andere Unternehmen ziehen nach.
Auch der Spielepublisher Ubisoft hat mit Beginn des Monats seine eigene Lösung präsentiert. Diese
Lösung hört auf den Namen 'Ubisoft Game Launcher'. Ubisoft verspricht sich viel von diesem System
und viele Argumente für die Einführung des Game Launchers kann ich persönlich nachvollziehen.
Nun ist es jedoch so, dass der Dienst seit seiner Einführung immer wieder Schwächen zeigt und
teilweise nicht erreichbar ist. Dies hat zur Folge, dass viele Spieler die zwei neuesten (mit diesem
System überwachten) Spiele 'Assassins Creed II' und 'Silent Hunter V' für die Dauer von Minuten
bishin zu Tagen nicht spielen können.
Über die genauen Gründe für die immer wieder auftretenden Ausfälle läßt sich streiten. Offiziell
heißt es von Ubisoft, dass Hacker das System immer wieder attackieren. Vielleicht übt die Cracker- &
Tauschbörsencommunity auf diese Weise Rache an den Bemühungen des Unternehmens die
Softwarepiraterie einzudämmen.
Seite 4 von 7
Auf jeden Fall jedoch entsteht für Ubisoft ein Imageschaden der sich nicht so schnell abschätzen
lässt.“1
Sniffing:
Unter Sniffing versteht man das Abhören von Netzwerkverkehr während einer
Kommunikation. Das kann zur Netzwerkanalyse von Administratoren durchgeführt werden,
kann aber auch als Angriff ausgenutzt werden.
Ein Sniffer kennt den so genannten non-promiscuous mode und den Promiscuous Mode. Im
Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus
geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Frames
empfangen, sondern auch die nicht an ihn adressierten. Der Adressat eines Frames wird in
Ethernet-Netzwerken anhand der MAC-Adresse festgelegt.
Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann.
Werden die Computer mit Hubs verbunden, kann sämtlicher Traffic von den anderen Hosts
mitgeschnitten werden. Wird ein Switch verwendet, ist nur wenig oder gar kein Datenverkehr
zu sehen, der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem
Fall mehrere Möglichkeiten wie z. B. ARP-Spoofing, um trotzdem die Frames empfangen zu
können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.
Man-in-the-Middle Attacke
Bei der "Man in the Middle"-Attacke steht ein Angreifer zwischen zwei oder mehreren
kommunizierenden Computern. Dabei hat er die komplette Kontrolle über den
ausgetauschten Datenverkehr der jeweiligen Kommunikationsteilnehmer. Er kann die
versendeten Informationen abfangen und einsehen sowie diese manipuliert oder gar nicht an
den Adressaten weiterleiten, wobei dieser im Glauben gelassen wird, die Daten vom
1
http://tugll.tugraz.at/usab20/weblog/10244.html
Seite 5 von 7
ursprünglichen Absender zu empfangen.
Der Angreifer kann diese Sonderstellung auf unterschiedliche Weisen erreichen:



Der Angreifer verschafft sich die Kontrolle über einen Router, über den der
Datenverkehr abgewickelt wird. Mit dieser Methode ist eine Attacke im Internet und
im Ethernet möglich.
Der Angreifer modifiziert die ARP-Tabellen der anderen Computer und kann dadurch
den gesamten Datenverkehr durch seinen Rechner hindurch leiten. (Beim ARP
(Address Resolution Protocol) handelt es sich um ein Netzwerkprotokoll, das die
Zuordnung von Hardwareadressen (MAC-Adressen) zu Internetadressen ermöglicht).
Diese Angriffsweise funktioniert nur im LAN, jedoch kann damit auch der
Datenverkehr an Switches abgehört werden.
Angreifer und Opfer teilen sich im Netzwerk einen Bus. In einem Netzwerkbus
werden systembedingt alle Daten an alle Teilnehmer geschickt, jedoch
normalerweise nur vom tatsächlichen Empfänger verarbeitet und von den anderen
verworfen. In einem Ethernet mit Hub oder BNC-Verkabelung kann nun ein Angreifer
auch Daten, die ihm nicht zustehen, verarbeiten statt sie standardmäßig zu
verwerfen.
Seite 6 von 7
IP Spoofing
Adressen-Spoofing oder IP-Spoofing nennt man im Internet das Vortäuschen einer falschen
IP-Adresse zum Zwecke der Vorteilsnahme. Beim Angriff über das IP-Spoofing verwendet
der Angreifende die Netzwerkadresse eines autorisierten Benutzers und erhält dadurch den
Zugriff auf bestimmte Ressourcen eines Netzwerks oder eines Systems.
Gelingt es dem Angreifer beim Spoofing die Routingtabellen dahin gehend zu manipulieren,
dass die gespoofte Adresse bedient wird, wird er wie ein autorisierter Benutzer behandelt.
Gegenmaßnahmen gegen das IP-Spoofing zielen primär auf die Konfiguration der
Zugriffskontrolle ab. So lässt beispielsweise ein IP-Source-Guard nur die IP-Adressen zu, die
mittels DHCP-Snooping an einem bestimmten Port eingehen. Andere Methoden
konzentrieren sich auf bessere Authentifizierungen wie beim Einmalpasswort (OTP).
Seite 7 von 7