TU Wien:Security for Systems Engineering VU (Fankhauser)/Netzwerk-Security

Aus VoWi
Zur Navigation springen Zur Suche springen

Mögliche Angriffspunkte sind: - Physical Layer - IP - ICMP - UDP - TCP - Application Layer

ICMP Flooding[Bearbeiten | Quelltext bearbeiten]

Smurf-Attacke: DOS-Attacke, Angreifer sendet einen ICMP Echo-Request an die Broadcast-Adresse des Netzwerks; im Header steht als Absender das Opfer im Netzwerk; Der Router leitet die Broadcast-Anfrage an alle Komponenten im Netzwerk weiter, was zur Folge hat, dass diese dann alle gleichzeitig an das Opfer antworten

Inverse Mapping: Angreifer sendet Anfragen an beliebige Hosts im Netzwerk, manche sind nicht sichtbar und werden von Routern gefiltert, anhand der Reply-Message kann man darauf schließen, ob sie dahinter ein versteckter Host befindet oder nicht

Destination Unreachable: Angreifer sendet viele Destination-Unreachable-Pakete an Opfer -> dort werden viele Ressourcen verbraucht relativ zum Verkehr (BlackNurse attack)

Route Redirect: Angreifer sendet ICMP Redirect Message an Opfer -> gibt an, dass jeglicher zukünftiger Verkehr zu einem Ziel über bestimmtes System laufen muss

Ping of Death: DOS-Attacke, fehlerhaftes ICMP-Datenpaket wird gesendet, das bei den Clients einen Buffer-Overflow auslöst; Offset und Fragmentgröße werden so kombiniert, dass die maximale Byte-Anzahl überschritten wird; bei der Zusammensetzung solcher Pakete beim Client können interne Variablen überschrieben werden -> Buffer Overflow

IPv4[Bearbeiten | Quelltext bearbeiten]

127.0.0.1 = localhost unzuverlässig, verbindungslos

Address Spoofing: Fälschen des IP-Headers um anderen Absender vorzutäuschen (zb. bei IP-Authentifizierungen in Systemen)

Ping of Death (wie bei ICMP)

Fragment Overlap Attack (Teardrop): Überlappung von IP-Offsets von 2 oder mehr Fragmenten, Zusammenfügen am Server der Fragmente führt zu unerwünschten Verhalten (DOS, Absturz etc)

Tiny Fragment Attack: normalerweise darf nur das letzte Fragment kleiner als die Mindestgröße von Fragmenten sein, schickt man z.b.: als erstes Fragment ein kleineres, kommt es zu Denial of Service

DHCP[Bearbeiten | Quelltext bearbeiten]

Dynamic Host Configuration Protocoll = automatische Vergabe von IP-Adressen im Netzwerk

Race Conditions: Angreifer können Race Conditions ausnützen, um schneller als DHCP-Server zu sein und somit anderen Systemen IP-Adressen zuzuweisen -> Traffic mitlesen oder Host von Netzwerk-Kommunikation

Wurm mit eingebautem DHCP-Server: Es existieren Würmer, die sich übers Netzwerks mittels eines Tricks fortpflanzen; zuerst Finden eine DHCP-Servers, danach schauen welche IP-Adressen noch nicht vergeben wurden; Anfragen von Clients werden versucht VOR dem DHCP-Server zu beantworten und dann eine erhält der Client eine IP-Adresse der Angreifer (der DNS-Server der Angreifer wird dem Client zugewiesen); dadurch können Angreifer jegliche angefragte Adressen umgeleitet werden

UDP[Bearbeiten | Quelltext bearbeiten]

UDP-Packet-Storm: da kein Verbindungsaufbau erforderlich (wie bei TCP), können extrem viele Pakete an zb. die Broadcast-Adresse geschickt werden und ein DOS hervorgerufen werden (chargen, echo)

Amplification Attack: Angriff, bei denen mit wenig initialen Paketen viel Traffic erzeugt werden kann

TCP[Bearbeiten | Quelltext bearbeiten]

Low-Rate DoS: TCP-Verbindung aufbauen, anschließend nur wenig Daten schicken - nur so viel, dass TCP-Verbindung aufrechterhalten bleibt -> am Zielhost Ressourcen gebunden, Quellhost muss aber nicht viele Daten schicken

ACK senden (Flag für Bestätigung, dass vorherige SYN-Anfrage erfolgreich war) bevor Daten empfangen wurden

TCP Session Poisoning: Angreifer versuchen, Zustand einer TCP-Verbindung zu vergiften - z. B.FIN- oder RST-Pakete schicken, die Empfänger fälschlicherweise anzeigen, dass Absender TCP-Verbindung beenden möchte

TCP Session Hijacking: Zuerst Sniffing, damit alle notwendigen Informationen für den Angreifer bekannt sind (bei unverschlüsselten Protokollen wie HTTP, FTP etc sehr einfach, lediglich zugriff auf Physical Layer oder Man-In-The-Middle-Attack); danach baut Client Verbindung über TCP auf, bekommt eine Session vom Kommunikationspartner, Angreifer kommt in Besitz dieser und gibt sich als Client aus, versucht immer schneller zu antworten als der "echte" Client;

TCP Sequence Number Prediction: TCP Sequence Number erraten/auslesen -> in TCP-Verbindung einklinken und diese übernehmen

Christmas Tree Packet: Alle Flags eines TCP-Pakets werden gesetzt und es wird beobachtet wie der Host darauf antwortet, somit können Aussagen über das Betriebssystem getroffen werden

Land-Attacke: Es wird ein SYN-Paket erstellt, bei dem Source- und Destination-Adresse bzw -Port übereinstimmen. Das Opfer erhält das Packet und versucht dadurch ein SYN/ACK Paket an die Destination-Adresse zu schicken (sich selbst); dies endet in einem nie endenen Kreis, was zur Überlastung führt (TCP-Stack wird ausgelastet)

Vorbereitung für Angriffe auf Netzwerke[Bearbeiten | Quelltext bearbeiten]

- Host Scan - Port Scan - OS Detection - Vulnerability Scan Scanning ist oft auffällig, daher für Ablenkung sorgen!

Tool: nmap