Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden

1
Angriffsmethoden von Hackern
A. Verschiedene Angriffsmethoden
1. IP-Spoofing
Grundprinzip:
IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als
Absender-Adresse.
Zweck für den Hacker:
Er kann Access-Listen von Routern überlisten und sich so Zugang zu einem
geschützten Bereich (z. Bsp. Intranet einer Firma) verschaffen. In Access-Listen
sind IP-Adressen von Rechnern eingetragen, die vom Router akzeptiert werden,
d. h. die Zugang zum internen Bereich bekommen.
Bild 1
Funktionsweise (siehe Bild 1):
-
Der Hacker sendet ein SYN-Flag an den Rechner B, den er hacken will.
-
Damit er vom Router akzeptiert wird, täuscht er eine IP-Adresse als Absender
vor, die in der Access-Liste vom Router eingetragen ist, hier die IP von A.
Diese hat er z. Bsp. ausspioniert.
-
Gleichzeitig sorgt der Hacker dafür, dass der Host, dem die vorgetäuschte IP
zugeordnet ist, nicht reagieren kann. Er kann z. Bsp. eine IP von einem Host
verwenden, der gerade nicht aktiv ist oder einen aktiven lahm legen und
deaktivieren.
-
Der Router prüft die Absender-IP und lässt das SYN-Flag durch, weil die IP in
der Zugangsliste des Routers enthalten ist.
-
Der kontaktierte Rechner B bekommt das SYN-Flag. Aufgrund von
Handshake-Konventionen sendet B jetzt ein SYN-Acknowledge zurück, und
zwar an den Host, der die IP besitzt, die H als Absender mitgesendet hat, hier
an A (siehe Bild 2).
2
-
Dieser ist nicht aktiv, er ist vorher von H deaktiviert worden. Wäre er noch
aktiv, würde er erkennen, daß er kein SYN-Flag gesendet hat und würde an B
ein RESET senden. Damit wäre die Verbindung abgebrochen, H wäre
erfolglos. Das dies nicht passiert, wurde A vorher von H deaktiviert oder war
schon nicht aktiv.
Der Hacker H ist am Ziel, er hat eine Verbindung mit B aufgebaut und hat den
Router überlistet.
Bild 2
2. Denial of Service (DoS)
Grundprinzip:
Der Hacker deaktiviert gezielt einen Rechner, er läßt ihn abstürzen.
Zweck für den Hacker:
Der Hacker kann einen Host gezielt „ausschalten“.
2.1 Syn-Floading
SYN-Floading ist eine Variante von DoS. Der Hacker sendet nur SYN-Flags an
einen Host. Dies geschieht in einer Endlosschleife und mit hoher Frequenz. Der
Eingangspuffer des Empfängers läuft voll. Bei entsprechend hoher Senderate des
Hackers kann so der Empfänger „abgeschossen“ werden, ein Systemabsturz ist
die Folge.
2.2 Ping of Death
Ähnlich wie beim Sync-Floading wird auch hier ein Rechner deaktiviert. Der
Angreifer nutzt die Möglichkeit aus, durch Fragmentierung von IP-Paketen das
letzten Fragment größer als die maximal zulässige Größe für IP-Pakete von
65.535 Bytes zu machen. Dieses übergroße Ping-Paket erzeugt beim Empfänger
einen Überlauf des Puffers. Der Rechner stürzt ab.
2.3 Out of Band Attack
Hier versucht der Hacker auf einen Zielrechner mit einem Dienst auf Ports
zuzugreifen, die nicht für diesen Dienst reserviert sind und besonders sensibel
auf falsche Zugriffe reagieren. Er greift z. Bsp. mit TELNET auf den Windows-Port
3
139 zu. Dies kann unter bestimmten Voraussetzungen (schlechte
Programmierung) zur Folge haben, dass der Rechner abstürzt.
3. Smurf-Attack
Grundprinzip:
Hier wird eine offensichtliche Lücke von Routern ausgenutzt, um einen Rechner
zum Absturz zu bringen.
Im IP-C-Netz sind die Adressen 0 und 255 reserviert. Die 255 wird für BroadcastNachrichten verwendet. Sendet ein Rechner eine Nachricht an die IP
xxx.yyy.zzz.255 dann wird die Nachricht vom Router dieses C-Netzes an alle
Rechner dieses Netzes versendet.
Mit dieser Methode kann ein Rechner den genauen Standort eines anderen
Rechners im Netzwerk herausfinden, von dem er nur die IP-Adresse weiß. Er
stellt die Anfrage „broadcast“. Der angesprochene Rechner sendet ihm eine
Antwort zu, dadurch ist die Route bekannt.
Dieses Prinzip wird nur innerhalb des C-Netzes benutzt. Router können so
konfiguriert werden, daß sie Nachrichten, die von außerhalb des eigenen Netzes
„broadcast“ versendet werden, nicht an alle Teilnehmer des C-Netzes senden.
Zweck für den Hacker:
Der Hacker kann eine lückenhafte Konfigurierung des Routers ausnutzenwenn
der Router “broadcast“-Nachrichten von außen zuläßt.
Bild 3
Funktionsweise:
-
Der Hacker sendet von außerhalb einen Ping broadcast an die IP 255 in
einem C-Netz. Als Absender-IP trägt er die IP-Adresse eines Teilnehmers
innerhalb des entsprechenden C-Netzes ein.
-
Der Router läßt den broadcast-Ping von außerhalb zu.
4
-
Der Router sendet den Ping an alle Teilnehmer in seinem C-Netz weiter.
-
Alle Teilnehmer erhalten einen Ping, den sie beantworten.
-
Die Antworten bekommt alle der Teilnehmer, dessen IP der Hacker
eingegeben hat.
-
Der Empfänger der ganzen Antworten wird unter Umständen abgeschossen
durch die Antwortflut, die auf ihn hereinbricht.
4. Trojanische Pferde
Grundprinzip:
Trojanische Pferde sind getarnte Programme, die unbemerkt im Hintergrund aktiv
werden. Es werden „Hintertüren“ im System aufgemacht, über die dann
unbemerkt auf das gehackte System zugegriffen werden kann.
Zweck für den Hacker:
Der Hacker kann sich mit Hilfe dieser Programme Zugang zu fremden Rechnern
verschaffen. Er kann Daten auf dem fremden System ausspähen oder den
Rechner fernsteuern. Dadurch kann das ganze System manipuliert werden.
4.1 NETBUS
Mit Hilfe von diesem Trojaner ist das komplette gehackte System fernsteuerbar.
Dies geschieht über die festen Ports 12345 und 12346. Aufgrund der festen Ports
ist NETBUS relativ leicht zu entdecken und kann entfernt werden.
4.2 Back Orifice
Mit diesem Trojaner hat der Hacker die gleichen Möglichkeiten wie mit dem
NETBUS. Der Hauptunterschied ist die Möglichkeit, den Port frei zu wählen, über
den er den gehackten Rechner fernsteuert und ausspäht. Dadurch ist er sehr
schwer zu entdecken. Back Orifice läßt sich auch nur sehr schwer wieder vom
System entfernen.
5. Portscan
Bei einem Portscan wird ein System nach angreifbaren Schwachstellen
durchsucht. Dazu werden alle Ports oder Verbindungsstellen durch Ausprobieren
getestet, ob sie von außen erreichbar und somit offen für einen Angriff sind.
Hierzu versucht der scannende Rechner zu jedem Port des zu scannenden
Rechners eine vollständige Verbindung aufzubauen. Wenn dies funktioniert, ist
der entsprechende Port erreichbar und ein möglicher Angriffspunkt.
Bei einem Portscan kann noch nicht von einem Hackerangriff gesprochen
werden.
5
B. Schutz durch Firewalls
Eine Firewall schützt das interne Netz vor externen Netzen. Sie reguliert den
Datenverkehr zwischen den Netzwerken, innerhalb des internen Netzes hat sie
keine Sicherheitsaufgaben. Bei der Realisierung werden verschiedene Konzepte
verwendet.
1 Paketfilternder Router
Die einfachste Ausführung einer Firewall ist ein Router, auf dem verschiedene
Paketfilter konfiguriert werden. Diese Filter kontrollieren den Zugang mit Hilfe von
Portnummer, Absender- und Zieladresse. Dieses Verfahren ist standardmäßig auf
gängigen IP-Routern implementiert.
Dieses Verfahren ist sehr einfach und dadurch kostengünstig, jedoch ohne
weitere Maßnahmen auch sehr unsicher. Schon durch ein einfaches Fälschen der
IP-Absenderadresse kann ein solcher Router überlistet werden.
2 Bastion Host
Hier wird ein Firewallsystem zwischen zwei paketfilternde Router geschalten. Der
externe Router erlaubt nur IP-Verkehr zwischen Internet und Bastion Host, der
interne erlaubt nur IP-Verkehr zwischen internem Netz und Bastion Host. Diese
Methode stellt einen effektiven Schutz gegen Angriffe von aussen dar.
Bild 4
Dieses Verfahren ist sehr kostspielig. Es werden zwei Router und ein
Firewallsystem benötigt. Der Konfigurationsaufwand ist auch relativ hoch.
3 Firewall Server
Ein Firewall-Server stellt eine effiziente und administrierbare Lösung dar. Ein
Firewall-Server vereint folgende Funktionen:
- Interner Firewall-Router
- Externer Firewall-Router
- Bastion-Host
- Internet Application Server
6
Bild 5
Dieses Konzept stellt eine akzeptable Komplettlösung zum Anschluss einer Firma
an das Internet dar. Es enthält Server für alle wichtigen Internetdienste. Es wird
eine hohe Sicherheitsstufe erreicht durch Verwendung mehrerer Filtermethoden
und Zugriffssteuerungen.