FrEe
31.10.2005, 20:12
"DoS Attacken auf Netzwerkscanner,Sniffer und IDS(Intrusion Detection)".
* Trace einer TCP/IP-Verbindung
* gespoofte SYN-Packte
* falsche CRCs(2)
Man könnte ja denken dass IDS,Scanner und Sniffer nicht angreifbar sind , doch dem ist nicht so, sie sind ebenfalls durch DoS-Attacks
ausser Kraft zu setzen.Grund: Sniffer sitzen auf dem Kernel des OS und sind deswegen auch abhängig von ihm.
Sniffer müssen einen eigenen TCP/IP Stack besitzen das ihnen ja sonst kein Trace einer Netzwerkverbindung zwischen zwei Rechnern
gelingen würde.
Darum sind die meisten Scanner nicht einsetzbar, da sie auf der Spurenverfolgung einer Verbindung sind und nicht noch andere
überwachen können.
Um dieses zu tun müssten sie die Arbeit aller TCP/IP-Stacks im Netzwerk verrichten und das ist ziemlich rechenintensiev (nicht machbar).
So können sie nicht den ganzen Traffic überwachen.
Wenn ein Angreifer also einen dynamischen Angriff startet kann er sich nur auf ein Rechnerpaar beziehen; ebenso verhält es sich bei
IDS-Systemen (Intrusion Detection).
Sniffer und Netzwerkscanner, die auf einem Server einen bestimmten Port überwachen, kann man ganz einfach lahmlegen:
Bevor er sich zB. via Telnet über den Port 23 einloggt sendet er ein gespooftes SYN-Paket. Falls ein Sniffer aktiv ist, wird er diese
Pakete dieses gespooften Rechners mit dem Zielport 23 lauschen.
So kann man sich einloggen ohne das der Sniffer das Passwort scannen kann.
Später wenn der TCP/IP-Stack die Verbindung wegen Timeouts beendet wird der Sniffer wieder aktiv.
Wieterhin "schaut" der Sniffer nicht in die Verbindung hinein , wie die beobachteten Rechner. Er bewertet die Packete nach IP-Paketlänge
und TCP-Paketlänge (bestimmte Angaben), bewertet die Packete also nach einem Standartschema.
Bei Änderung der Länge des TCP-Headers(1) und der Einschleusung von falschen CRCs ist er nicht mehr in der Lage den Inhalt der Packete
korrekt zu interpretieren. Der Sniffer überprüft die TCP-Prüfsummen nicht, die Kernel der überwachten Rechner hingegen werden diese Packete
verwerfen und die Übertagung ausführen.
Sehr erfolgreich gegen Sniffer sind "Spielchen" mit fragmentierten IP-Paketen (keine Erkennung durch Sniffer).
Grund für Ausfälle von TCP/IP-Stacks können auch defekte Netzwerkarten sein, die kaputte Packete erzeugen.
Viele OS verkraften diese Pakete nicht und schmieren ab.
################################################## #########################
Viel Spass beim Ausprobieren !
Copyright 2002 by cU13QU
################################################## #########################
Anhang
(1) Datenpakete mit extravaganten TCP-Headern
Diese Angriffsmethode ist sehr simple. Der Angreifer schickt einem der Netzserver des zu
attackierenden Netzes einen unbekannten Paketheader. Der Server interpretiert diesen
Header falsch, und wird so zu unvorhergesehenen Reaktionen verleitet. In Folge dieser
Reaktionen ist es dem Angreifer dann möglich in das System einzudringen.
(2) Prüfsummen
(3) TCP/IP
Das Transmission Control Protocol / Internet Protocol ist ein weitverbreiteter Standard für die
Verbindung von Rechnern vieler verschiedener Hersteller. Die verschiedenen Implementierungen der
Protokolle der TCP/IP-Familie sind untereinander kompatibel, so daß Daten und Dienste von Rechnern
verschiedener Hersteller gemeinsam genutzt werden können.
Die Entwicklung von TCP/IP wurde vom amerikanischen Verteidigungsministerium (Department of
Defense/DoD) bzw. dessen Forschungsbereich Defense Advanced Research Projects Agency (DARPA)
in Auftrag gegeben, um für ihr ARPANET ein verläßliches Kommunikationsprotokoll zu bekommen.
Ziel war die Definition und Implementierung einer Protokollfamilie. Das Ergebnis ist heute unter dem
Namen TCP/IP bekannt.
TCP/IP wurde danach das Standardprotokoll auf dem DARPA Internet, einer Reihe von Netzwerken, zu
denen unter anderen ARPANET, Military Network/MILNET, National Science Foundation
Network/NFSnet und diverse Universitäts-, Forschungs- und weitere Militärnetzwerke gehörten.
Dieses erste größere internetwork, wie im TCP/IP Sprachgebrauch ein mehrere Netzwerke verbindendes
Netzwerk heißt, ist heute unter dem Namen Internet bekannt und umfaßt tausende Netzwerke mit
zusammen einigen millionen Rechnern.
Mittlerweile ist TCP/IP bei fast jedem Rechner- oder Betriebssystemhersteller im Angebot und stellt
dadurch einen Quasi-Standard bei den Netzwerkprotokollen dar.
Unter TCP/IP versteht man im Allgemeinen folgende Protokolle:
Das Internetprotokoll (IP) ist ein Protokoll auf der Vermittlungsschicht des OSI-Modells und
kümmert sich um die Datenübertragung zwischen den Hostrechnern.
Das Transport Control Protokoll (TCP) liegt auf der Transportschicht und Überträgt Daten
zwischen den Anwendungen.
Das User Datagram Protocol (UDP) ist ein weiteres Protokoll auf der Transportschicht . Es
überträgt ebenfalls Daten zwischen den Anwendungen, ist aber weniger komplex als das
TCP-Protokoll.
Das Internet Control Message Protocol (ICMP) überträgt Netzwerkfehlermeldungen und ist bei der
Fehlerauswertung innerhalb der Netzwerksoftware hilfreich
(4) IP-Protokoll
Die Vermittlungsschicht ist das "Herz" jedes auf TCP/IP basierenden Netzwerkes. Die
Vermittlungsschicht entscheidet wie die Daten verpackt und über das TCP/IP-Netzwerk verschickt
werden. Für diese Aufgabe benützt die Vermittlungsschicht das IP-Protokoll. Darum wird die
Vermittlungsschicht in der Literatur häufig als IP-Schicht bezeichnet.Folgende Grafik zeigt die
Zusammenhänge zwischen den einzelnen Schichten:
Das Internet Protocol ist für den Transport von Daten über mehrere Netzwerke hinweg zuständig. Das
Internet Protocol nimmt Datensegmente vom TCP oder UDP entgegen und packt diese in Pakete ein, die
Datagramme genannt werden. Für jedes dieser Datagramme wird dann ein Leitweg zum Ziel bestimmt.
Datagramme werden dann durch ein internetwork, bestehend aus vielen Netzwerken, die durch Gateways
verbunden sind, geschickt, bis sie ihr Ziel erreichen.
Das IP stellt einen Adressierungsmechanismus zur Verfügung, welcher die Wegewahl zwischen
Netzwerken ermöglicht. Jedes Datagramm besteht aus einem Datenteil und einem Header, der sowohl
Quell- als auch Zieladresse beinhaltet. Mit dieser Information kann jeder Rechner ein Datagramm
entweder direkt oder über eine Reihe von Gateways zu seinem Ziel senden.
Um möglichst viele Netzwerke mit ihren unterschiedlichen Paketlängen zu unterstützen, kann das IP
Datagramme auf ihrem Weg zum Ziel in kleinere Datagramme unterteilen. Dieses Verfahren heißt
Fragmentierung und wird erst am Zielrechner durch das Zusammenfügen eines fragmentierten
Datagramms rückgängig gemacht.
Das IP ist ein unzuverlässiges Protokoll, da es lediglich für jedes Datagram den Weg zum Ziel bestimmt
und es absendet. Es wird jedoch keine Überprüfung des Empfang vorgenommen, so daß Datagramme
durchaus verloren gehen können. Diese Aufgabe wird in der Transportschicht vom TCP übernommen.
Wird jedoch das UDP in der Transportschicht verwendet, ist die Empfangsbestätigung vom
Anwendungsprotokoll zu leisten.
Das IP gehört zu den verbindungslosen Protokollen, da jedes einzelne Datagramm mit der vollständigen
Adreßinformation versehen, separat auf den Weg geschickt wird.
* Trace einer TCP/IP-Verbindung
* gespoofte SYN-Packte
* falsche CRCs(2)
Man könnte ja denken dass IDS,Scanner und Sniffer nicht angreifbar sind , doch dem ist nicht so, sie sind ebenfalls durch DoS-Attacks
ausser Kraft zu setzen.Grund: Sniffer sitzen auf dem Kernel des OS und sind deswegen auch abhängig von ihm.
Sniffer müssen einen eigenen TCP/IP Stack besitzen das ihnen ja sonst kein Trace einer Netzwerkverbindung zwischen zwei Rechnern
gelingen würde.
Darum sind die meisten Scanner nicht einsetzbar, da sie auf der Spurenverfolgung einer Verbindung sind und nicht noch andere
überwachen können.
Um dieses zu tun müssten sie die Arbeit aller TCP/IP-Stacks im Netzwerk verrichten und das ist ziemlich rechenintensiev (nicht machbar).
So können sie nicht den ganzen Traffic überwachen.
Wenn ein Angreifer also einen dynamischen Angriff startet kann er sich nur auf ein Rechnerpaar beziehen; ebenso verhält es sich bei
IDS-Systemen (Intrusion Detection).
Sniffer und Netzwerkscanner, die auf einem Server einen bestimmten Port überwachen, kann man ganz einfach lahmlegen:
Bevor er sich zB. via Telnet über den Port 23 einloggt sendet er ein gespooftes SYN-Paket. Falls ein Sniffer aktiv ist, wird er diese
Pakete dieses gespooften Rechners mit dem Zielport 23 lauschen.
So kann man sich einloggen ohne das der Sniffer das Passwort scannen kann.
Später wenn der TCP/IP-Stack die Verbindung wegen Timeouts beendet wird der Sniffer wieder aktiv.
Wieterhin "schaut" der Sniffer nicht in die Verbindung hinein , wie die beobachteten Rechner. Er bewertet die Packete nach IP-Paketlänge
und TCP-Paketlänge (bestimmte Angaben), bewertet die Packete also nach einem Standartschema.
Bei Änderung der Länge des TCP-Headers(1) und der Einschleusung von falschen CRCs ist er nicht mehr in der Lage den Inhalt der Packete
korrekt zu interpretieren. Der Sniffer überprüft die TCP-Prüfsummen nicht, die Kernel der überwachten Rechner hingegen werden diese Packete
verwerfen und die Übertagung ausführen.
Sehr erfolgreich gegen Sniffer sind "Spielchen" mit fragmentierten IP-Paketen (keine Erkennung durch Sniffer).
Grund für Ausfälle von TCP/IP-Stacks können auch defekte Netzwerkarten sein, die kaputte Packete erzeugen.
Viele OS verkraften diese Pakete nicht und schmieren ab.
################################################## #########################
Viel Spass beim Ausprobieren !
Copyright 2002 by cU13QU
################################################## #########################
Anhang
(1) Datenpakete mit extravaganten TCP-Headern
Diese Angriffsmethode ist sehr simple. Der Angreifer schickt einem der Netzserver des zu
attackierenden Netzes einen unbekannten Paketheader. Der Server interpretiert diesen
Header falsch, und wird so zu unvorhergesehenen Reaktionen verleitet. In Folge dieser
Reaktionen ist es dem Angreifer dann möglich in das System einzudringen.
(2) Prüfsummen
(3) TCP/IP
Das Transmission Control Protocol / Internet Protocol ist ein weitverbreiteter Standard für die
Verbindung von Rechnern vieler verschiedener Hersteller. Die verschiedenen Implementierungen der
Protokolle der TCP/IP-Familie sind untereinander kompatibel, so daß Daten und Dienste von Rechnern
verschiedener Hersteller gemeinsam genutzt werden können.
Die Entwicklung von TCP/IP wurde vom amerikanischen Verteidigungsministerium (Department of
Defense/DoD) bzw. dessen Forschungsbereich Defense Advanced Research Projects Agency (DARPA)
in Auftrag gegeben, um für ihr ARPANET ein verläßliches Kommunikationsprotokoll zu bekommen.
Ziel war die Definition und Implementierung einer Protokollfamilie. Das Ergebnis ist heute unter dem
Namen TCP/IP bekannt.
TCP/IP wurde danach das Standardprotokoll auf dem DARPA Internet, einer Reihe von Netzwerken, zu
denen unter anderen ARPANET, Military Network/MILNET, National Science Foundation
Network/NFSnet und diverse Universitäts-, Forschungs- und weitere Militärnetzwerke gehörten.
Dieses erste größere internetwork, wie im TCP/IP Sprachgebrauch ein mehrere Netzwerke verbindendes
Netzwerk heißt, ist heute unter dem Namen Internet bekannt und umfaßt tausende Netzwerke mit
zusammen einigen millionen Rechnern.
Mittlerweile ist TCP/IP bei fast jedem Rechner- oder Betriebssystemhersteller im Angebot und stellt
dadurch einen Quasi-Standard bei den Netzwerkprotokollen dar.
Unter TCP/IP versteht man im Allgemeinen folgende Protokolle:
Das Internetprotokoll (IP) ist ein Protokoll auf der Vermittlungsschicht des OSI-Modells und
kümmert sich um die Datenübertragung zwischen den Hostrechnern.
Das Transport Control Protokoll (TCP) liegt auf der Transportschicht und Überträgt Daten
zwischen den Anwendungen.
Das User Datagram Protocol (UDP) ist ein weiteres Protokoll auf der Transportschicht . Es
überträgt ebenfalls Daten zwischen den Anwendungen, ist aber weniger komplex als das
TCP-Protokoll.
Das Internet Control Message Protocol (ICMP) überträgt Netzwerkfehlermeldungen und ist bei der
Fehlerauswertung innerhalb der Netzwerksoftware hilfreich
(4) IP-Protokoll
Die Vermittlungsschicht ist das "Herz" jedes auf TCP/IP basierenden Netzwerkes. Die
Vermittlungsschicht entscheidet wie die Daten verpackt und über das TCP/IP-Netzwerk verschickt
werden. Für diese Aufgabe benützt die Vermittlungsschicht das IP-Protokoll. Darum wird die
Vermittlungsschicht in der Literatur häufig als IP-Schicht bezeichnet.Folgende Grafik zeigt die
Zusammenhänge zwischen den einzelnen Schichten:
Das Internet Protocol ist für den Transport von Daten über mehrere Netzwerke hinweg zuständig. Das
Internet Protocol nimmt Datensegmente vom TCP oder UDP entgegen und packt diese in Pakete ein, die
Datagramme genannt werden. Für jedes dieser Datagramme wird dann ein Leitweg zum Ziel bestimmt.
Datagramme werden dann durch ein internetwork, bestehend aus vielen Netzwerken, die durch Gateways
verbunden sind, geschickt, bis sie ihr Ziel erreichen.
Das IP stellt einen Adressierungsmechanismus zur Verfügung, welcher die Wegewahl zwischen
Netzwerken ermöglicht. Jedes Datagramm besteht aus einem Datenteil und einem Header, der sowohl
Quell- als auch Zieladresse beinhaltet. Mit dieser Information kann jeder Rechner ein Datagramm
entweder direkt oder über eine Reihe von Gateways zu seinem Ziel senden.
Um möglichst viele Netzwerke mit ihren unterschiedlichen Paketlängen zu unterstützen, kann das IP
Datagramme auf ihrem Weg zum Ziel in kleinere Datagramme unterteilen. Dieses Verfahren heißt
Fragmentierung und wird erst am Zielrechner durch das Zusammenfügen eines fragmentierten
Datagramms rückgängig gemacht.
Das IP ist ein unzuverlässiges Protokoll, da es lediglich für jedes Datagram den Weg zum Ziel bestimmt
und es absendet. Es wird jedoch keine Überprüfung des Empfang vorgenommen, so daß Datagramme
durchaus verloren gehen können. Diese Aufgabe wird in der Transportschicht vom TCP übernommen.
Wird jedoch das UDP in der Transportschicht verwendet, ist die Empfangsbestätigung vom
Anwendungsprotokoll zu leisten.
Das IP gehört zu den verbindungslosen Protokollen, da jedes einzelne Datagramm mit der vollständigen
Adreßinformation versehen, separat auf den Weg geschickt wird.