IT Solution Company
IT-Strategie IT-Knowledge
Translate this page into English X

5.2 Angriffsarten
Möglichkeiten der Signalerkennung
Um Angriffe erkennen zu können, muss man wissen wonach man suchen muss. Angreifer setzen häufig bestimmte Techniken ein, um Angriffe vorzubereiten. Diese Angriffe erfolgen nach bestimmten Mustern. Kennt man das Muster, Signatur genannt, des Angriffs ist eine Erkennung (Detection) des Angriffs möglich. Einige typische Auswirkungen, die einen Angriff kennzeichnen und deutliche Signaturen hinterlassen, sollen hier als Beispiele kurz vorgestellt werden. Viele dieser Signaturen können nur als Anzeichen für einen Angriff gewertet werden, wenn sie gehäuft oder in ungewöhnlichem Zusammenhang auftreten (ein Einlogversuch mit falschem Passwort ist sicher kein Angriff, bei mehreren hundert Versuchen, ist es eindeutig einer). In den folgenden Unterkapiteln werden einige der häufigsten Angriffsarten beschrieben.
TCP-Portscan
Ein TCP-Portscan ermöglicht es festzustellen, welche TCP-basierten Dienste ein Zielrechner anbietet. Ein TCP-Verbindungsaufbau geschieht normalerweise in drei Schritten:
    • Angreifer sendet SYN an zu testenden Port des Zielrechners
    • Zielsystem antwortet mit SYN/ACK
    • Angreifer sendet ACK an Zielsystem
Nun ist eine aktive Verbindung aufgebaut, die vom Zielsystem normalerweise protokolliert werden sollte, so dass sie leicht entdeckt werden kann. Verzichtet der Angreifer auf den dritten Schritt, weiss er trotzdem, dass dieser Dienst existiert. Der versuchte Verbindungsaufbau wird jedoch häufig nicht in die Log-Dateien übertragen. Programme wie Tcplog sind allerdings in der Lage, auch fehlgeschlagene Verbindungsaufbauten zu protokollieren. Werden häufige (fehlgeschlagene) Verbindungsaufbauten in relativ kurzer Zeit beobachtet, ist dies ein sicheres Zeichen für einen Angriff. Es gibt allerdings auch Portscans, die von Tcplog nicht erkannt werden.
UDP-Portscan
UDP ist ein verbindungsloses Protokoll und besitzt demnach keine Verbindungsaufbauprozedur, die Informationen über angebotene Dienste geben kann. Schickt der Angreifer jedoch UDP-Anfragen an einen inaktiven UDP-Port, so antwortet der Zielrechner mit "ICMP Port unreachable", so dass der Angreifer von den inaktiven auf die aktiven Ports schliessen kann. Die Vielzahl der Anfragen kann einem IDS als Signatur dienen.
Finger- und r-Dienste
Diese und einige weitere Dienste können Informationen über die Benutzer eines Systems liefern, die eventuell für einen Angriff genutzt werden können. Werden diese Dienste auffällig häufig benutzt, deutet dies auf einen bevorstehenden Angriff hin.
IP mit falschen Parametern
Diese Angriffsart wird häufig benutzt, um den Betrieb eines Rechners zu stören (Denial of Service). Die IP-Pakete sind allerdings an ihren falschen Parametern zu erkennen, so dass sie als eindeutige Signatur für einen Angriff dienen können. Beispielsweise stürzen viele Rechner aufgrund einer fehlerhaften Implementierung ab, wenn die Quell- und die Zieladresse sowie Quell- und Zielport übereinstimmen.
Überflutung
Dieser Angriff basiert darauf, einen Rechner oder Dienst dadurch auszuschalten, dass man ihn mit Daten "überflutet". Sendet man beispielsweise E-Mail in grossen Mengen an einen Rechner, so wird das Spool-Verzeichnis überlaufen und kann keine weiteren Daten entgegennehmen. Bei einigen Implementierungen kann es auch zu einem Totalabsturz des Rechners kommen. Diese Angriffsart funktioniert auch mit einigen anderen Diensten, als Indiz kann einem IDS der gehäufte Bedarf an Resourcen dienen.
Ist die Quelladresse eines SYN-Pakets (das normalerweise dem Verbindungsaufbau dient) unerreichbar, weil sie gefälscht ist, wird trotzdem Arbeitsspeicher für die gewünschte Verbindung reserviert. Wird die Anfrage in schneller Folge wiederholt, bindet der Angriff im Rechner zuviel Betriebsmittel und kann seine normalen Aufgaben nicht mehr im vollen Umfang bewältigen.
ICMP-Echo-Request
Ein ICMP-Echo-Request (ping) dient normalerweise dazu, die Erreichbarkeit bestimmter Rechner zu überprüfen. Übersteigen diese ICMP-Pakete eine bestimmte in der Spezifikation vorgesehene Maximalgrösse können sie aufgrund einer falschen Implementierung den Zielrechner zum Absturz bringen. Die ICMP-Echo-Request-Pakete können durch ein IDS analysiert werden, so dass auch dieser Angriff automatisch erkannt werden kann.
Mit ICMP-Echo-Requests ist es leicht möglich, die Netzinfrastruktur des Opfers zu untersuchen, indem man alle Netzadressen, die in dem Zielnetz vorkommen können, anspricht. Ping-Pakete an alle vorhandene und sogar an nicht vorhandene Rechner sind ein starkes Indiz für die Vorbereitung eines Angriffs.
Einkapselung/Tunneln
Fast jedes Transportprotokoll lässt es zu, dass in seinem Datenfeld bestimmte Daten untergebracht werden, die auf der Empfängerseite interpretiert werden können. So kann beispielsweise SMB über IP übertragen (getunnelt) werden. Natürlich kann auch IP in IP eingekapselt und so getunnelt werden. Firewalls überprüfen häufig die in Datenfeldern stehenden Informationen nicht. Bestimmte getunnelte Protokolle können jedoch durch Überwachung des Netzverkehrs aufgedeckt werden.
WWW-Spoofing
Der Betreiber eines WWW-Servers hat die Möglichkeit, als Angreifer dem Opfer ein Dokument mit ausschliesslich gefälschten URLs zuzuspielen. Der Benutzer kann diesen Angriff leicht entdecken, indem er die Statusanzeige des Browsers beobachtet. Auch ist es notwendig, dass der Benutzer die WWW-Seiten des Angreifers anwählt. Als Signatur können die für diesen Angriff notwendigen verlängerten URLs leicht von einer IDS entdeckt werden.

abc Information GmbH, Berlin *** Phone: +49 700-ITBROKER ** Impressum ** Contact
Host: IP: 34.239.150.167 User: Date: October 9, 2024, 10:54 am Agent: CCBot/2.0 (https://commoncrawl.org/faq/)