HurricanX
12.08.2004, 13:45
Hacker Glossar
0-Day-Warez:
Als 0-Day-Warez wird Software bezeichnet, die an diesem Tag auf den Server zum Downloaden gespielt wurde. ( Meist auch am selben Tag gecrackt )
Anonymizer:
Wenn man eine Seite im Internet besucht, können jede Menge Daten über den Besucher festgestellt werden. Darunter sind zum Beispiel Browser, Betriebssystem und Provider. Unter anderem ist auch die IP-Nummer dabei, anhand dieser man zurückverfolgt werden kann. Sogenannte Anonymizer filtern solche Informationen heraus und setzen dafür andere ein. Somit kann man sich im Internet anonym bewegen.
Appz:
Dies ist der Ausdruck, der auf Warez-Seiten für Standardapplikationen gebraucht wird.
Attachment:
Unter Attachment versteht man einen Anhang, der mit einer E-Mail verschickt wird. Diese sind mit vorsicht zu genießen, da sie Viren enthalten können.
Authentifizierung:
Während der Authentifizierung wird die Identität des Benutzers oder des Servers sichergestellt.
Backdoor:
Backdoors sind sogenannte Hintertüren, die Programmierer meist zum Austesten eines Programmes eingebaut haben, um zum Beispiel nicht jedesmal sämtliche Passwörter eingeben zu müssen. So kann z.B. ein kleines Bild als versteckter Link zu einer Sicherheitsarea dienen.
Bouncer:
Diese Art von Software läuft meist auf einer Shell und ermöglicht dem Benutzer eine Verbindung ins IRC-Netz. Der Vorteil dabei ist, daß nicht die eigene IP-Adresse zum IRC-Server übermittelt wird, sondern die der entsprechenden Shell.
Broadcast Storms (Denial-of-Service Attacke):
Broadcast Storms richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird. An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das "Hängenbleiben" von umherirrenden IP-Paketen von vorneherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Buffer Overflow:
Stapelüberlauf. Dieser Angriff führt zu einem Fehler, der unter Umständen dazu ausgenutzt werden kann, beliebigen Code auf einem Fremdrechner auszuführen.
Chap:
Challenge Handshake Protocol, Authentifizierungsmethode für PPP mit verschlüsselten Passwörtern.
Coding:
Coding beteutet nichts anderes als programmieren
Cocke:
Das Programm erzeugt Errors, welche die Perfomance und den Plattenplatz belastet und schließlich den Computer zum Absturz bringt.
Cookie
Eine kleine Datei die auf ihrem Computer abgelegt wird und meist Daten über ihren Aufenthalt auf einer bestimmten Homepage enthalten ( Datum, Uhrzeit, Verweildauer auf welcher Seite etc.)
Courier:
Couriere sind Mitglieder von Hackerclubs oder Warez-Seiten, die dafür zuständig sind, daß sie die gehackte Software möglichst schnell in Umlauf bringen. Dies geschieht meist über einen schnellen Internetzugang ( Standleitung, oft Unis ) oder die Software wird über gebrannte CD´s verschickt.
Cracker:
Ein Cracker ist ein Hacker, der in fremden Systemen die Sicherheitsmechanismen überwindet. Der Begriff Cracker wurde Mitte der 80er Jahre eingeführt. Cracker erstellen meist kleine Programme, die von verschiedenen Programmen den Passwortschutz oder das Testzeitlimit außer Kraft setzen. So gibt es beispielsweise für verschiedene Softwarepakete, die normalerweise 30 Tage lang zu testen sind, einen Crack, mit dem die Zählfunktion für die benutzen Tage ausgeschaltet wird und somit das Programm für immer nutzbar gemacht wird.
Cracking:
Cracking nennt man das Überwinden von Sicherheitsvorkehrungen in einer Software oder das einbrechen in Computersystemen. Auf entsprechenden Hackerseiten findet man oft ganze Anleitungen (auch Tutz genannt) zum cracken von Programmen.
Denial-of-Service Attacke:
Diese Gruppe von Angriffsstrategien dient meist dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Dabei wird in der Regel der Aspekt ausgenutzt, daß die Ressourcen (Speicher, Rechenzeit, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Ein Denial of Service Attack versucht nun auf dem angegriffenen Rechner eine der Ressourcen zu überlasten, so daß der Rechner seinen regulären Aufgaben nicht mehr nachkommen kann und seine Clients nicht mehr bedienen kann. Denial-of-Service Attacken stellen eine wichtige Gruppe von Angriffen dar, da sie oft als Vorstufe zu einem wesentlich weiterreichenden Angriff dienen. Das Konzept dabei läßt sich recht einfach verstehen, wenn man zum Beispiel an Hijacking-Angriffe denkt: Erst wird ein Rechner ausgeschaltet und anschließend wird dessen Stelle im Netzwerk übernommen.
DHCP:
Dynamic Host Configuration Protoco, Methode zur automatischen Vergabe von statischen oder dynamischen IP-Adressen an Clients. Neben der IP-Adresse überträgt der DHCP-Server auch Angaben zu Gateway- und DNS-Adressen.
Distributed DoS
Eine Denial-of-Service Attacke, an dem sich mehrere Rechner beteiligen. Je nach Intensität ( also Bandbreite ) können solche verteile Attacken ganze Netzwerkknoten lahmlegen
DNS
Domain Name System, Protokoll zur Auflösung von Host-Namen in IP-Adressen. Die Datenbank für diese Umsetzung verwaltet ein DNS-Server. Statt dieser dynamischen Namensauflösung lässt sich in kleinen Netzen auch eine statische Umsetzung über die Datei "hosts" erreichen, in der alle im LAN beteiligten Rechner mit Name und IP-Adresse festgehalten sind.
Elite
Cracker, der aktuelle Software vertreibt, Gegenteil von Lamer. Hacker der sich in alle Systeme knacken kann ( auch l33t ( sprich "leet" ) genannt ). Oder ein profi Hacker.
Exploits
Ein Programm, daß eine Sicherheitslücke im Zielrechner ausnutzt, etwa um dem Angreifer Zugang zu dem System zu verschaffen.
Firewall
Eine Firewall stellt sich vor einen Server und überwacht jeglichen Datenverkehr, der zu bzw. von dem Server geschickt wird. So ist es möglich, bestimmte Internetadressen zu sperren, bzw. den Zugriff auf den Server nur bestimmen Leuten zu ermöglichen.
Gateway
Ein Gateway ist ein Rechner, der speziell für den Zweck vorgesehen ist, ausgehende Verbindungen zu handhaben. Auch wenn sie nicht über eine dedizierte Internetverbindung (also eine Standleitung) verfügen, gibt es keinen Grund, warum jeder Benutzer ein Modem haben sollte. Statt dessen kann man ein Gateway konfigurieren, das alle ausgehenden Verbindungen zentral verwaltet ( Rechner B und C können also auch das Modem von A benutzen ).
Hacker
Hacker haben Spaß am Umschreiben von Programmen. Ihr Ziel ist es, sich ständig zu verbessern und Zusammenhänge zu begreifen, die sich nicht auf Anhieb erschließen. Hacker reagieren empfindlich, wenn sie ausschließlich mit illegalen Aktionen in Verbindung gebracht werden. Hacker sehen sich gerne als Elite.
ICMP
Internet Control Message Protocol, erlaubt das versenden von Fehlermeldungen sowie Tesz- und anderen Informationspacketen. Es wird häufig zum Packeting missbraucht.
Incomming - Verzeichnis
So wird ein Verzeichnis auf einem FTP-Server genannt, in dem jeder Lese- und Schreibzugriff hat. Solche Verzeichnisse sind häufig auf Servern von Unversitäten vorhanden. Diese wird dann sehr häufig von Crackern ausgenutzt, um illegale Raupkopien zu verteilen.
IP-Adresse
Unter einer IP-Adresse versteht man eine nur einmal vergebene eindeutige Anschrift eines Computers. Bei Servern ist diese statisch, d.h. sie verändert sich niemals und bleibt immer exakt gleich. Bei Anwendern die sich erst über eine Telefonleitung ins Internet einwählen müssen ist sie variabel und ändert sich bei jedem Einwählen ( es gibt übrigens etwa 255^4 = 4.228.250.625 IP-Adressen beim aktuellen V4 Standard ).
Private IP-Adressen innerhalb eines LAN´s sind im Internet nicht gültig und in folgende Klassen aufgeteilt:
Class A-Net: 10.0.0.0
Class B-Net: 172.16.0.0 bis 173.31.0.0
Class C-Net: 192.168.0.0 bis 192.168.266.0
IP-Masking
Beim IP-Masking wird nur Zugriff auf einen Server erlaubt, wenn man über eine bestimmte statische IP verfügt oder von einer dieser weitergeleitet wurde. Alle weiteren werden blockiert und erhalten keinen Zugriff auf den Server.
IP-Masquerading
Beim Ip-Masquerading werden mehrere private IP-Adressen auf eine einzige öffentliche Adresse umgesetzt.
IP-Pakete
Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen.
Iso
Gecracktes Programm. Im Gegensatz zum Rip ist hier der vollständige und komplette Lieferumfang der Orginalversion beibehalten.
Land Attacke (Denial-of-Service Attacke)
Bei dieser Attacke wird ein Paket mit gleichem Absender- und Empfängerport erstellt und an einen offenen Port des Zielrechners geschickt. Dies kann das System lahmlegen ( funktioniert bei fast allen Betriebssystemen ).
Lamer
In der Warez-Szene ist unter einem Lamer ein Anwender zu verstehen, der alte Warez weiterleitet. Alt bedeutet in diesem Zusammenhang meist älter als drei bis fünf Tage. Lamer laden auf Warez-FTP´s oft Shareware auf, um die Rate umgehen zu können.
Large Packet-Attacks
Siehe Ping of Death
Larval Stage
Als Larval Stage bezeichnen Hacker eine Phase, in der sie sich auf nichts anderes als auf das Umschreiben von Programmen beschränken. (Anmerkung für Eingeweihte: ob dieser Begriff besonders oft in Filmen benutzt wird sei mal dahingestellt ;-)
Leecher
Als Leecher werden die Anwender bezeichnet, die sich der Warez bedienen, ohne eine Gegenleistung dafür zu erbringen. Wer auf einem umfangreichen Download nur wenige Uploads folgen läßt, wird als Leecher bezeichnet. Leecher sind in der Szene nicht sehr beliebt, da durch sie die Verbreitung der Warez gebremst wird.
Logische Bomben
Eine Logische Bombe ist ein spezielles Trojanisches Pferd, daß sich nicht sofort beim ersten Start aktiviert. Es ist möglich eine gewisse Zeit ganz normal mit dem Programm zu arbeiten. Die zerstörerischen Funktionen werden erst aufgerufen, wenn ein bestimmtes Ereignis eintritt. Dies kann dann z.B. ein bestimmtes Datum oder der hundertste Aufruf des Programmes, etc. sein.
MAC-Adresse
Hardware-Adresse einer Netzwerkkarte. Sie ist für jeden Adapter fest auf der Karte gespeichert und weltweit eindeutig. Alle logischen Adressierungsarten im Netz ( etwa über IP-Adressen ) müssen immer auf die MAC-Adresse umgesetzt werden.
Mail-Bombing (Denial-of-Service Attacke)
Einer der ältesten Denial of Service-Attacks ist das inzwischen "klassische" Mail-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombadiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer:
Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, daß sie die Email-Adresse des Opfers gleich mehrmals als BCC-Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von BCC-Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Mail-Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muß sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Message Flooding (Denial-of-Service Attack)
Dies ist die primitivste Art des Angriffs auf einen Rechner. Dabei wird nur ein Brute-Force Angriff durchgeführt, bei dem (sinnlose) Nachrichten in einer so großen Zahl an einen Rechner gesendet werden, so daß er durch die Flut dieser Nachrichten nicht mehr dazu kommt die Nachrichten seiner Clients zu behandeln. Ein gutes Beispiel für solche Nachrichten sind Ping-Anfragen (echo-request). Wird ein Rechner durch eine große Zahl an solchen Nachrichten bombadiert, so kann dies dazu führen, daß er einen Großteil seiner Rechenzeit damit verbringt die entsprechenden Antworten (echo-replies) zu verschicken. Dies kann dazu führen, daß der Rechner nicht mehr in der Lage ist die Anfragen seiner Clients zu bearbeiten und somit quasi ausgeschaltet ist.
Netzklassen
IP-Adressen sind in die fünf Netzklassen A bis E unterteilt. Dies dient einer effizienteren Verwendung der IP-Adressen durch die Festlegung der in jeder Klasse adressierbaren Hosts. Durch die Subnetzmaske wird bestimmt, welcher Teil einer IP-Adresse die Netzwerkadresse ( netid ) und welcher die Host-Adresse ( hostid ) darstellt: die Bits einer IP-Adresse, die zur netid gehören, kennzeichnet die Subnetzmaske mit dem Wert 1, diejenigen Bits, die zur hostid gehören, mit dem Wert 0.
Class A-Netze: 1.0.0.0 bis 126.255.255.255, Subnetzmaske: 255.0.0.0 - jeweils 16 Millionen Hosts
Class B-Netze: 128.0.0.0 bis 192.255.255.255, Subnetzmaske: 255.255.0.0 - jeweil 65.025 Hosts
Class C-Netze: 192.0.0.0 bis 223.255.255.0, Subnetzmaske: 255.255.255.0 - jeweils 254 Hosts
Class D-Netze: 223.255.255.255+, Multicast-Netze
Class E-Netze: Zur Zeit nicht benutzt
Nukes bzw. Out of Band-Packets (Denial-of-Service Attacke)
Nahezu schon legendäre Denial of Service-Attacks sind die sogenannten Nukes. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme ( ungepatchte Versionen von Windows und Linux ) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, daß ein entsprechend ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
Out-of-Band-Packets (Denial-of-Service Attacke):
Siehe Nukes
Packeting:
Eine Attacke auf einen Rechner, bei der Massenhaft ICMP-Pakete an die IP-Adressee des Opfers geschickt werden.
Patch:
Ein Patch ist in der Cracker-Szene meist ein kleines Programm, welches Orginalprogramme so verändert, daß sie keinen Kopierschutz mehr hat. Weiterhin kann auch aus einer Trial -Version ( z.B. ein Programm das nach Ablauf von 30 Tagen nicht funktioniert ) ein Vollversion gemacht werden oder eine Seriennummer umgangen werden..
Phreaking:
Unter Phreaking versteht man das Knacken von Telefonsystemen. Durch Phreaking wird es möglich, umsonst oder auf Kosten anderer zu telefonieren.
Ping-AT-Attacks (Denial-of-Service Attacke):
Der amerikanische Modemhersteller Hayes hat Ende der 70er Jahre eine einheitliche, zeilenorientierte und offene Befehlsprache für Modems entwickelt, die sogenannten AT-Befehle. Anhand dieser AT-Befehle ist es möglich, jedes Modem anzusprechen, in welches diese Sprache implementiert ist. Inzwischen sind in allen modernen Modems die AT-Befehlssprache implementiert, so daß Modems von Betriebssystemen und Programmen meist universell angesprochen werden können.
Ist ein Modem offline, befindet es sich prinzipiell im Kommandomodus, d.h. es kann über AT-Befehle angesprochen werden. Geht es dagegen online, wechselt es in den Übertragungsmodus und ist in dieser Zeit nicht über AT-Befehle ansprechbar, es sei denn, man übergibt dem Modem drei Escape-Zeichen (im Fachjargon mit "+++" gekennzeichnet), die das Modem als Befehl zum Umschalten in den Kommandomodus interpretiert. Aus Sicherheitsgründen muß zwischen diesem Umschaltkommando in den Kommandomodus und dem ersten AT-Befehl mindestens eine Pause von 1 Sekunde vorhanden sein. Leider verzichten einige Modemhersteller aus patentrechtlichen Gründen auf diese Pause, so daß bei diesen Modellen der Umschaltbefehl in den Kommandomodus und ein kompletter AT-Befehl direkt hintereinander ohne Zeitverzug eingegeben werden können. Und genau darauf beruht der folgende Angriff:
Ein Absender schickt an einen Empfänger über das Internet ein spezielles Ping-Paket, das z.B. die Sequenz "+++ATH0" (Umschalten in den Kommandomodus und Beenden der Verbindung) enthält. Laut Ping-Protokoll antwortet der Rechner des Empfängers auf die Ping-Anfrage mit der Spiegelung des Paketes. Kennt das Modem nun keine Pause zwischen dem Umschalten in den Kommandomodus und dem ersten AT-Befehl, wird es den Paketinhalt des Antwort-Pings als abzuarbeitende Sequenz interpretieren und die Verbindung beenden.
Ping Flooding (Denial-of-Service Attacke):
Das Ping Flooding gehört zu den Denial-of-Service Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein angepingter Host quittiert hierzu einen Ping mit einer echoartigen Antwort, einem sogenannten "Pong".
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombadiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping of Death bzw. Large Packet-Attacks (Denial-of-Servie Attacke):
Ein weiterer, besonders hinterhältiger Veteran der Denial of Service-Attacks sind die Large Packet-Attacks, unter Insidern Ping of Death genannt (obwohl die Attacke nichts mit dem eigentlichen Ping-Programm zu tun hat).
Die Wirkungsweise von Large Packet-Attacks ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB (65.535 Bytes) große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Plugin:
Ein Plugin ist ein kleines Zusatzprogramm zu einem Anwendungsprogramm, mit dem dieses um zusätzliche Funktionen erweitert wird.
Port-Scanner:
Im Internet hat jeder Dienst seinen eigenen Port, so steht zum Beispiel für HTTP der Port 80 und für FTP der Port 21. Diese Ports können fast immer frei belegt werden. Oft dienen solche Ports auch für spezielle Admin-Programme, mit denen man den Server betreuen kann. Mit einem Port-Scanner kann man nun herausfinden welche Ports vom Zielrechner zur Zeit belegt bzw. offen sind.
PPP:
Point-to-Point Protocol, Kommunikationsmethode für TCP/IP zwischen zwei Partnern, die meist über eine DFÜ-Verbindung zum Einsatz kommt. In der Regel benutzen Internet-Provider PPP für die Einwahlzugänge.
Proxy:
Ein Proxy übernimmt als Stellvertreter für Clients die Kommunikation mit Servern in einem anderen Netz ( auch dem Internet ). Im unterschied zur Firewall ändert er aber die Datenpakete - er schickt sie unter der eigenen Adresse und dem passenden Port ins Internet und leitet die Antwort dann an die entsprechenden Clients zurück. Die Client-Anwendungen müssen zur Benutzung eines Proxy umkonfiguriert werden, sodass sie alle Anforderungen an ihn richten. Außerdem muß der Proxy den jeweiligen Dienst unterstützen.
Rate:
Auf FTP-Servern wird oft eine bestimmte Rate beim Downloaden der Daten gefordert. Das heißt, wenn man beispielsweise ein Programm mit 5 MB herunter lädt, muß man dafür auf dem Server ein Programm mit z.B. 3 MB hinaufladen. Dies entspräche einem Verhältnis von 5:3. Damit wird garantiert, daß ständig neue Programme in Umlauf gebracht werden.
Redirektor:
Wenn eine Internetverbindung über einen Redirektor hergestellt wird, dann wird eine Anfrage auf einen anderen Server umgeleitet. Hacker und Cracker benutzen häufig diese Redirektoren, um ihre wahre Homepage versteckt zu halten.
Remailer:
Mit Hilfe eines Remailers kann man anonyme Emails verschicken, die auch keine Provider-Kennung mehr enthalten.
Request:
Einige Cracker bieten auf ihren FTP-Servern ein Request-Verzeichnis an, in dem jeder gesuchte Software eintragen kann. Wenig später wird diese meist von irgendjemandem, der diese Software hat, hinaufgeladen. Oft werden auch nur kleine Patches zum cracken von Programmen wie Spielen oder ähnlichem gesucht.
Rip:
Gecracktes Programm. Voll funktionsfähig doch weitaus kleiner als die Orginalversion, da viele nicht unbedingt für das Programm notwendige Teile aus Speicherplatzgründen weggelassen wurden (wie z.B. Sound).
RFC:
Request for Comments (Anfrage zur Kommentierung). In den RFC's stehen eine ganze Menge Informationen wie zum Beispiel das FTP-Protokoll funkioniert, wie IP's aufgebaut sind usw. Also alles mögliche an Informationen zu allem rund ums Internet und den dazugehörigen Standards und Protokollen.
Zum einem findet man eine recht umfangreiche Sammlung unter: http://www.ietf.org/rfc.html. Du kannst aber auch RFC's per Mail anfordern. Dazu schreibst du eine E-Mail an: NIS-INFO@NIS.NSF.NET. Die Subject-Zeile läßt du leer und als erste Text-Zeile der Mail schreibst du: send rfcnnnn.txt (nnnn steht für die Nummer des RFC's, z.B. RFC0001.txt). Unter dieser Adresse kannst du dir auch einen kompletten Index der RFC-Bibliothek bestellen, dazu mußt du nur "rfc-index" in die Subject- Zeile eintragen. Per FTP bekommst du die RFC´s auch:
NISC.JVNC.NET
Login: anonymous
Passwort: Deine E-mail-Adresse.
Die RFC's liegen dort im Verzeichnis rfc/rfcnnnn (nnnn wieder die Nummer des RFC's)
Beispiele für interessante RFC's
RFC1945 - Beschreibung des HTTP/1.0 - Standards
RFC2068 - Beschreibung des HTTP/1.1 - Standards
RFC0781 - Spezifikation des Internet Protocols (IP)
Routing:
Vermittlung von Datenpaketen zwischen zwei unterschiedlichen IP-Teilnetzen. Router können über spezielle Protokolle die besten Wege zur Weiterleitung der Daten selbstständig miteinander aushandeln. Ein Datenpaket, daß nicht für das lokale Subnetz des sendenden Clients bestimmt ist, wird in den nächstgelegenen Router weitergeleitet. Kennt dieser die Zieladresse, schickt er das Paket direkt weiter. Ansonsten wird es so lange an andere Rechner durchgeschoben, bis es eine Maschine erreicht, die im gleichen Subnetz wie der angesprochene Zielrechner liegt.
Service Overloading (Denial-of-Service Attack):
Einen ähnlichen Weg wie beim Message Flooding, gehen die s.g. Service Overloading Attacks. Allerdings werden hier gezielt Services angesprochen, die einen Großteil der Rechnerressourcen aufzehren können. Dabei ist hier nicht die Menge der Nachrichten ausschlaggebend, sondern es kann hier unter Umständen sogar eine einzige Nachricht genügen. Bekannte Dienste (services), die für einen solchen Angriff anfällig sind, sind z.B. der Finger-Dienst, der auf den meisten Rechnern zur Verfügung steht. Aber auch speziellere Dienste, wie etwa ein Datenbankserver, die nicht genügend gesichert sind, kommen als Angriffspunkte in Frage. Bei einem Datenbanksystem kann eine entsprechend formulierte Abfrage (etwa ein Join über mehrere Tabellen) die Systemresourcen bis an die Grenzen belasten.
Smurf-Attack (Denial-of-Service Attacke):
Der Angreifer generiert dabei eine große Anzahl von ICMP Echo Paketen (Ping) mit der Broadcast Adresse eines möglichst großen Netzwerkes. Jedes dieser Pakete hat dabei als Absenderadresse die IP-Adresse eines zu störenden Hosts. Da es sich um Broadcast Adressen handelt, empfängt im Zielnetzwerk jeder Host die Pakete und würde es mit einem ICMP Echo Paket an die gefälschte Absenderadresse beantworten. Somit ist es möglich, in einem Ethernet mit 100 Hosts aus 50 Paketen 50.000 zu erzeugen.
Der Angriff setzt voraus, daß alle unterwegs passierten Router die Broadcast-Pakete routen und der Router im Zielnetzwerk die Pakete auf zum Beispiel Ethernetadressen umsetzen (IP-Adresse 10.255.255.255 -->für Ethernet FF:FF:FF:FF:FF:FF).
Sniffer:
Sniffer hören den gesamten Datenverkehr ab, der über die angeschlossene Netzwerkkarte geht. So können beispielsweise bestimmte Passwörter oder Informationen herausgefiltert werden. Wobei dieser Name "Sniffer" Urheberrechtlich geschützt ist.
Spoofing:
Darunter versteht man das Vortäuschen eines falschen Absenders von IP-Paketen ( = IP-Spoofing ). Es lassen sich auch Internetnamen spoofen, was dann DNS-Spoofing genannt wird. Wenn ein kompletter Internet-Bereich über einen Zwischenrechner umgeleitet wird, nennt man dies dann Web-Spoofing.
SSL:
Im Internet wird eine sichere Verbindung meist mit Hilfe des SSL-Prottokolls aufgebaut. In einer solchen Verbindung werden alle Daten verschlüsselt übertragen, somit haben es Hacker sehr schwer solche Daten abzuhören. SSL steht für Secure Sockets Layer.
Syn-Attacks (Denial-of-Service Attacke):
Dieser Typ einer Denial-of-Service Attacke, ist die wohl hinterhältigste überhaupt. Hier wird das Drei-Wege-Handshaking von TCP benutzt, um sog. halboffene Verbindungen herzustellen. Da TCP ein sicheres Übertragungsprotokoll ist gibt es Mechanismen, um eine Verbindung zu synchronisieren. Dies wird über das Drei-Wege-Handshaking von TCP erledigt.
Dabei gibt es, wie der Name schon ahnen läßt, drei Schritte, die durchgeführt werden:
1) Der Client sendet eine Synchronisationsnachricht (SYN) an den Server
2) Der Server antwortet mit einem entsprechenden Acknoledgment (ACK/SYN)
3) Darauf sendet der Client sein Acknoledgement (ACK) an den Server
Mit diesen drei Schritten ist das Handshaking abgeschlossen. Nach Schritt 2 befindet sich auf dem Server ein Eintrag für die Verbindung, der bestehen bleiben muß, bis der Client seine Antwort gesendet hat. Eine Verbindung in diesem Stadium nennt man halboffen.
Ein SYN-Attack nutzt nun die Tatsache aus, daß der Server die halboffenen Verbindungen speichern muß, bis er eine Antwort darauf erhält. Wird diese Antwort allerdings nie gesendet, so muß der Server die halboffene Verbindung trotzdem im Speicher behalten. Tatsächlich hört das Opfer erst nach einiger Zeit auf, auf die Bestätigung zu warten, wodurch natürlich recht schnell die gesamte Bandbreite des Rechners "aufgebraucht" ist.
In den Implementierungen von diesem Protokoll wird in der Regel eine Query benutzt, die einen gewissen endlichen Speicher für die halboffenen Verbindungen zur Verfügung stellt. Erstellt nun ein Angreifer eine größere Menge dieser halboffenen Verbindungen, so ist abzusehen, daß der Speicher der Query irgendwann zu Ende ist. An dieser Stelle ist es dem Server nun nicht mehr möglich eine weitere TCP-Verbindung aufzubauen. Er kann somit nicht mehr auf Anfragen seiner Clients reagieren. Im schlimmsten Falle kann es sogar dazu führen, daß der Serverrechner durch den Überlauf der Query abstürzt, wodurch er dann völlig lahmgelegt wäre. Weiterhin tritt bei manchen fehlerhaften TCP-Implementierungen der Fehler auf, daß bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschickt wird, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Teardrop:
In diesem Verfahren wird ein Rechner durch Überlagern von IP-Paketen zum Absturz gebracht.
Tracen:
Tracen bedeutet, die IP zurückverfolgen.
Trojanische Pferde:
Ein Trojanisches Pferd ist ein Programm, welches vorgibt, ein nützliches Programm zu sein, jedoch erst beim Aufruf sein wahres Gesicht zeigt und meist mit dem zerstörerischen Werk beginnt. Trojanische Pferde haben normalerweise nicht die Möglichkeit, sich selbst zu vermehren. Zeitweise gab es im Internet viele Trojanische Pferde, z.B. getarnt als neueste Packerversion. Viele Anwender haben dann solche Programme heruntergeladen. Als sie diese dann starteten, stellte sich heraus, daß es in Wirklichkeit ein Trojanisches Pferd war, daß zum Beispiel die Festplatte löschte oder anderes anstellte. Auch kann es sein, daß der Packer tatsächlich dann das Programm ist, welches man haben wollte. Jedoch ist der Packer, dann aber nicht das einzige Programm welches ausgeführt wird :-(.
Viren:
Ein Computervirus ist ein Programm, daß die Fahigkeit besitzt, sich selbständig an andere Dateien, meist ausführbaren Programmen anzuhängen. Viren vervielfältigen sich von selbst, was sie von den Trojanischen Pferden und den Logischen Bomben unterscheidet. Im Gegensatz zum Wurm benötigt ein Computervirus einen fremden Programmcode, den sogenannten Wirtscode, in den sich der Virus einnistet. Der Ablauf des Wirtscodes wird meist nicht geändert. Das befallene Programm dient lediglich als Transportmittel.
Warez:
Unter Warez versteht man geknackte Vollversionen von kommerziellen Programmen oder Sharewareprogrammen. Wenn auf einer Software ein Kopierschutz ist, wird dieser entfernt und dann die Software auf sogenannten Warez-Seiten vertrieben.
Wingate:
Eine besondere Art von Proxy, der auf Windows-Rechnern läuft.
Würmer:
Ein Wurm ist ein Computervirus, welches sich selbst vervielfältigt, sich dabei jedoch nicht an ein anderes Programm anhängt, sondern eine Kopie von sich selbst erstellt. Würmer können somit nicht Bestandteil anderer Programmabläufe werden und sind meist nur dann eine Gefahr, wenn man ein solches Programm aufruft.
0-Day-Warez:
Als 0-Day-Warez wird Software bezeichnet, die an diesem Tag auf den Server zum Downloaden gespielt wurde. ( Meist auch am selben Tag gecrackt )
Anonymizer:
Wenn man eine Seite im Internet besucht, können jede Menge Daten über den Besucher festgestellt werden. Darunter sind zum Beispiel Browser, Betriebssystem und Provider. Unter anderem ist auch die IP-Nummer dabei, anhand dieser man zurückverfolgt werden kann. Sogenannte Anonymizer filtern solche Informationen heraus und setzen dafür andere ein. Somit kann man sich im Internet anonym bewegen.
Appz:
Dies ist der Ausdruck, der auf Warez-Seiten für Standardapplikationen gebraucht wird.
Attachment:
Unter Attachment versteht man einen Anhang, der mit einer E-Mail verschickt wird. Diese sind mit vorsicht zu genießen, da sie Viren enthalten können.
Authentifizierung:
Während der Authentifizierung wird die Identität des Benutzers oder des Servers sichergestellt.
Backdoor:
Backdoors sind sogenannte Hintertüren, die Programmierer meist zum Austesten eines Programmes eingebaut haben, um zum Beispiel nicht jedesmal sämtliche Passwörter eingeben zu müssen. So kann z.B. ein kleines Bild als versteckter Link zu einer Sicherheitsarea dienen.
Bouncer:
Diese Art von Software läuft meist auf einer Shell und ermöglicht dem Benutzer eine Verbindung ins IRC-Netz. Der Vorteil dabei ist, daß nicht die eigene IP-Adresse zum IRC-Server übermittelt wird, sondern die der entsprechenden Shell.
Broadcast Storms (Denial-of-Service Attacke):
Broadcast Storms richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird. An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das "Hängenbleiben" von umherirrenden IP-Paketen von vorneherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Buffer Overflow:
Stapelüberlauf. Dieser Angriff führt zu einem Fehler, der unter Umständen dazu ausgenutzt werden kann, beliebigen Code auf einem Fremdrechner auszuführen.
Chap:
Challenge Handshake Protocol, Authentifizierungsmethode für PPP mit verschlüsselten Passwörtern.
Coding:
Coding beteutet nichts anderes als programmieren
Cocke:
Das Programm erzeugt Errors, welche die Perfomance und den Plattenplatz belastet und schließlich den Computer zum Absturz bringt.
Cookie
Eine kleine Datei die auf ihrem Computer abgelegt wird und meist Daten über ihren Aufenthalt auf einer bestimmten Homepage enthalten ( Datum, Uhrzeit, Verweildauer auf welcher Seite etc.)
Courier:
Couriere sind Mitglieder von Hackerclubs oder Warez-Seiten, die dafür zuständig sind, daß sie die gehackte Software möglichst schnell in Umlauf bringen. Dies geschieht meist über einen schnellen Internetzugang ( Standleitung, oft Unis ) oder die Software wird über gebrannte CD´s verschickt.
Cracker:
Ein Cracker ist ein Hacker, der in fremden Systemen die Sicherheitsmechanismen überwindet. Der Begriff Cracker wurde Mitte der 80er Jahre eingeführt. Cracker erstellen meist kleine Programme, die von verschiedenen Programmen den Passwortschutz oder das Testzeitlimit außer Kraft setzen. So gibt es beispielsweise für verschiedene Softwarepakete, die normalerweise 30 Tage lang zu testen sind, einen Crack, mit dem die Zählfunktion für die benutzen Tage ausgeschaltet wird und somit das Programm für immer nutzbar gemacht wird.
Cracking:
Cracking nennt man das Überwinden von Sicherheitsvorkehrungen in einer Software oder das einbrechen in Computersystemen. Auf entsprechenden Hackerseiten findet man oft ganze Anleitungen (auch Tutz genannt) zum cracken von Programmen.
Denial-of-Service Attacke:
Diese Gruppe von Angriffsstrategien dient meist dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Dabei wird in der Regel der Aspekt ausgenutzt, daß die Ressourcen (Speicher, Rechenzeit, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Ein Denial of Service Attack versucht nun auf dem angegriffenen Rechner eine der Ressourcen zu überlasten, so daß der Rechner seinen regulären Aufgaben nicht mehr nachkommen kann und seine Clients nicht mehr bedienen kann. Denial-of-Service Attacken stellen eine wichtige Gruppe von Angriffen dar, da sie oft als Vorstufe zu einem wesentlich weiterreichenden Angriff dienen. Das Konzept dabei läßt sich recht einfach verstehen, wenn man zum Beispiel an Hijacking-Angriffe denkt: Erst wird ein Rechner ausgeschaltet und anschließend wird dessen Stelle im Netzwerk übernommen.
DHCP:
Dynamic Host Configuration Protoco, Methode zur automatischen Vergabe von statischen oder dynamischen IP-Adressen an Clients. Neben der IP-Adresse überträgt der DHCP-Server auch Angaben zu Gateway- und DNS-Adressen.
Distributed DoS
Eine Denial-of-Service Attacke, an dem sich mehrere Rechner beteiligen. Je nach Intensität ( also Bandbreite ) können solche verteile Attacken ganze Netzwerkknoten lahmlegen
DNS
Domain Name System, Protokoll zur Auflösung von Host-Namen in IP-Adressen. Die Datenbank für diese Umsetzung verwaltet ein DNS-Server. Statt dieser dynamischen Namensauflösung lässt sich in kleinen Netzen auch eine statische Umsetzung über die Datei "hosts" erreichen, in der alle im LAN beteiligten Rechner mit Name und IP-Adresse festgehalten sind.
Elite
Cracker, der aktuelle Software vertreibt, Gegenteil von Lamer. Hacker der sich in alle Systeme knacken kann ( auch l33t ( sprich "leet" ) genannt ). Oder ein profi Hacker.
Exploits
Ein Programm, daß eine Sicherheitslücke im Zielrechner ausnutzt, etwa um dem Angreifer Zugang zu dem System zu verschaffen.
Firewall
Eine Firewall stellt sich vor einen Server und überwacht jeglichen Datenverkehr, der zu bzw. von dem Server geschickt wird. So ist es möglich, bestimmte Internetadressen zu sperren, bzw. den Zugriff auf den Server nur bestimmen Leuten zu ermöglichen.
Gateway
Ein Gateway ist ein Rechner, der speziell für den Zweck vorgesehen ist, ausgehende Verbindungen zu handhaben. Auch wenn sie nicht über eine dedizierte Internetverbindung (also eine Standleitung) verfügen, gibt es keinen Grund, warum jeder Benutzer ein Modem haben sollte. Statt dessen kann man ein Gateway konfigurieren, das alle ausgehenden Verbindungen zentral verwaltet ( Rechner B und C können also auch das Modem von A benutzen ).
Hacker
Hacker haben Spaß am Umschreiben von Programmen. Ihr Ziel ist es, sich ständig zu verbessern und Zusammenhänge zu begreifen, die sich nicht auf Anhieb erschließen. Hacker reagieren empfindlich, wenn sie ausschließlich mit illegalen Aktionen in Verbindung gebracht werden. Hacker sehen sich gerne als Elite.
ICMP
Internet Control Message Protocol, erlaubt das versenden von Fehlermeldungen sowie Tesz- und anderen Informationspacketen. Es wird häufig zum Packeting missbraucht.
Incomming - Verzeichnis
So wird ein Verzeichnis auf einem FTP-Server genannt, in dem jeder Lese- und Schreibzugriff hat. Solche Verzeichnisse sind häufig auf Servern von Unversitäten vorhanden. Diese wird dann sehr häufig von Crackern ausgenutzt, um illegale Raupkopien zu verteilen.
IP-Adresse
Unter einer IP-Adresse versteht man eine nur einmal vergebene eindeutige Anschrift eines Computers. Bei Servern ist diese statisch, d.h. sie verändert sich niemals und bleibt immer exakt gleich. Bei Anwendern die sich erst über eine Telefonleitung ins Internet einwählen müssen ist sie variabel und ändert sich bei jedem Einwählen ( es gibt übrigens etwa 255^4 = 4.228.250.625 IP-Adressen beim aktuellen V4 Standard ).
Private IP-Adressen innerhalb eines LAN´s sind im Internet nicht gültig und in folgende Klassen aufgeteilt:
Class A-Net: 10.0.0.0
Class B-Net: 172.16.0.0 bis 173.31.0.0
Class C-Net: 192.168.0.0 bis 192.168.266.0
IP-Masking
Beim IP-Masking wird nur Zugriff auf einen Server erlaubt, wenn man über eine bestimmte statische IP verfügt oder von einer dieser weitergeleitet wurde. Alle weiteren werden blockiert und erhalten keinen Zugriff auf den Server.
IP-Masquerading
Beim Ip-Masquerading werden mehrere private IP-Adressen auf eine einzige öffentliche Adresse umgesetzt.
IP-Pakete
Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen.
Iso
Gecracktes Programm. Im Gegensatz zum Rip ist hier der vollständige und komplette Lieferumfang der Orginalversion beibehalten.
Land Attacke (Denial-of-Service Attacke)
Bei dieser Attacke wird ein Paket mit gleichem Absender- und Empfängerport erstellt und an einen offenen Port des Zielrechners geschickt. Dies kann das System lahmlegen ( funktioniert bei fast allen Betriebssystemen ).
Lamer
In der Warez-Szene ist unter einem Lamer ein Anwender zu verstehen, der alte Warez weiterleitet. Alt bedeutet in diesem Zusammenhang meist älter als drei bis fünf Tage. Lamer laden auf Warez-FTP´s oft Shareware auf, um die Rate umgehen zu können.
Large Packet-Attacks
Siehe Ping of Death
Larval Stage
Als Larval Stage bezeichnen Hacker eine Phase, in der sie sich auf nichts anderes als auf das Umschreiben von Programmen beschränken. (Anmerkung für Eingeweihte: ob dieser Begriff besonders oft in Filmen benutzt wird sei mal dahingestellt ;-)
Leecher
Als Leecher werden die Anwender bezeichnet, die sich der Warez bedienen, ohne eine Gegenleistung dafür zu erbringen. Wer auf einem umfangreichen Download nur wenige Uploads folgen läßt, wird als Leecher bezeichnet. Leecher sind in der Szene nicht sehr beliebt, da durch sie die Verbreitung der Warez gebremst wird.
Logische Bomben
Eine Logische Bombe ist ein spezielles Trojanisches Pferd, daß sich nicht sofort beim ersten Start aktiviert. Es ist möglich eine gewisse Zeit ganz normal mit dem Programm zu arbeiten. Die zerstörerischen Funktionen werden erst aufgerufen, wenn ein bestimmtes Ereignis eintritt. Dies kann dann z.B. ein bestimmtes Datum oder der hundertste Aufruf des Programmes, etc. sein.
MAC-Adresse
Hardware-Adresse einer Netzwerkkarte. Sie ist für jeden Adapter fest auf der Karte gespeichert und weltweit eindeutig. Alle logischen Adressierungsarten im Netz ( etwa über IP-Adressen ) müssen immer auf die MAC-Adresse umgesetzt werden.
Mail-Bombing (Denial-of-Service Attacke)
Einer der ältesten Denial of Service-Attacks ist das inzwischen "klassische" Mail-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombadiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer:
Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, daß sie die Email-Adresse des Opfers gleich mehrmals als BCC-Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von BCC-Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Mail-Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muß sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Message Flooding (Denial-of-Service Attack)
Dies ist die primitivste Art des Angriffs auf einen Rechner. Dabei wird nur ein Brute-Force Angriff durchgeführt, bei dem (sinnlose) Nachrichten in einer so großen Zahl an einen Rechner gesendet werden, so daß er durch die Flut dieser Nachrichten nicht mehr dazu kommt die Nachrichten seiner Clients zu behandeln. Ein gutes Beispiel für solche Nachrichten sind Ping-Anfragen (echo-request). Wird ein Rechner durch eine große Zahl an solchen Nachrichten bombadiert, so kann dies dazu führen, daß er einen Großteil seiner Rechenzeit damit verbringt die entsprechenden Antworten (echo-replies) zu verschicken. Dies kann dazu führen, daß der Rechner nicht mehr in der Lage ist die Anfragen seiner Clients zu bearbeiten und somit quasi ausgeschaltet ist.
Netzklassen
IP-Adressen sind in die fünf Netzklassen A bis E unterteilt. Dies dient einer effizienteren Verwendung der IP-Adressen durch die Festlegung der in jeder Klasse adressierbaren Hosts. Durch die Subnetzmaske wird bestimmt, welcher Teil einer IP-Adresse die Netzwerkadresse ( netid ) und welcher die Host-Adresse ( hostid ) darstellt: die Bits einer IP-Adresse, die zur netid gehören, kennzeichnet die Subnetzmaske mit dem Wert 1, diejenigen Bits, die zur hostid gehören, mit dem Wert 0.
Class A-Netze: 1.0.0.0 bis 126.255.255.255, Subnetzmaske: 255.0.0.0 - jeweils 16 Millionen Hosts
Class B-Netze: 128.0.0.0 bis 192.255.255.255, Subnetzmaske: 255.255.0.0 - jeweil 65.025 Hosts
Class C-Netze: 192.0.0.0 bis 223.255.255.0, Subnetzmaske: 255.255.255.0 - jeweils 254 Hosts
Class D-Netze: 223.255.255.255+, Multicast-Netze
Class E-Netze: Zur Zeit nicht benutzt
Nukes bzw. Out of Band-Packets (Denial-of-Service Attacke)
Nahezu schon legendäre Denial of Service-Attacks sind die sogenannten Nukes. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme ( ungepatchte Versionen von Windows und Linux ) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, daß ein entsprechend ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
Out-of-Band-Packets (Denial-of-Service Attacke):
Siehe Nukes
Packeting:
Eine Attacke auf einen Rechner, bei der Massenhaft ICMP-Pakete an die IP-Adressee des Opfers geschickt werden.
Patch:
Ein Patch ist in der Cracker-Szene meist ein kleines Programm, welches Orginalprogramme so verändert, daß sie keinen Kopierschutz mehr hat. Weiterhin kann auch aus einer Trial -Version ( z.B. ein Programm das nach Ablauf von 30 Tagen nicht funktioniert ) ein Vollversion gemacht werden oder eine Seriennummer umgangen werden..
Phreaking:
Unter Phreaking versteht man das Knacken von Telefonsystemen. Durch Phreaking wird es möglich, umsonst oder auf Kosten anderer zu telefonieren.
Ping-AT-Attacks (Denial-of-Service Attacke):
Der amerikanische Modemhersteller Hayes hat Ende der 70er Jahre eine einheitliche, zeilenorientierte und offene Befehlsprache für Modems entwickelt, die sogenannten AT-Befehle. Anhand dieser AT-Befehle ist es möglich, jedes Modem anzusprechen, in welches diese Sprache implementiert ist. Inzwischen sind in allen modernen Modems die AT-Befehlssprache implementiert, so daß Modems von Betriebssystemen und Programmen meist universell angesprochen werden können.
Ist ein Modem offline, befindet es sich prinzipiell im Kommandomodus, d.h. es kann über AT-Befehle angesprochen werden. Geht es dagegen online, wechselt es in den Übertragungsmodus und ist in dieser Zeit nicht über AT-Befehle ansprechbar, es sei denn, man übergibt dem Modem drei Escape-Zeichen (im Fachjargon mit "+++" gekennzeichnet), die das Modem als Befehl zum Umschalten in den Kommandomodus interpretiert. Aus Sicherheitsgründen muß zwischen diesem Umschaltkommando in den Kommandomodus und dem ersten AT-Befehl mindestens eine Pause von 1 Sekunde vorhanden sein. Leider verzichten einige Modemhersteller aus patentrechtlichen Gründen auf diese Pause, so daß bei diesen Modellen der Umschaltbefehl in den Kommandomodus und ein kompletter AT-Befehl direkt hintereinander ohne Zeitverzug eingegeben werden können. Und genau darauf beruht der folgende Angriff:
Ein Absender schickt an einen Empfänger über das Internet ein spezielles Ping-Paket, das z.B. die Sequenz "+++ATH0" (Umschalten in den Kommandomodus und Beenden der Verbindung) enthält. Laut Ping-Protokoll antwortet der Rechner des Empfängers auf die Ping-Anfrage mit der Spiegelung des Paketes. Kennt das Modem nun keine Pause zwischen dem Umschalten in den Kommandomodus und dem ersten AT-Befehl, wird es den Paketinhalt des Antwort-Pings als abzuarbeitende Sequenz interpretieren und die Verbindung beenden.
Ping Flooding (Denial-of-Service Attacke):
Das Ping Flooding gehört zu den Denial-of-Service Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein angepingter Host quittiert hierzu einen Ping mit einer echoartigen Antwort, einem sogenannten "Pong".
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombadiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping of Death bzw. Large Packet-Attacks (Denial-of-Servie Attacke):
Ein weiterer, besonders hinterhältiger Veteran der Denial of Service-Attacks sind die Large Packet-Attacks, unter Insidern Ping of Death genannt (obwohl die Attacke nichts mit dem eigentlichen Ping-Programm zu tun hat).
Die Wirkungsweise von Large Packet-Attacks ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB (65.535 Bytes) große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Plugin:
Ein Plugin ist ein kleines Zusatzprogramm zu einem Anwendungsprogramm, mit dem dieses um zusätzliche Funktionen erweitert wird.
Port-Scanner:
Im Internet hat jeder Dienst seinen eigenen Port, so steht zum Beispiel für HTTP der Port 80 und für FTP der Port 21. Diese Ports können fast immer frei belegt werden. Oft dienen solche Ports auch für spezielle Admin-Programme, mit denen man den Server betreuen kann. Mit einem Port-Scanner kann man nun herausfinden welche Ports vom Zielrechner zur Zeit belegt bzw. offen sind.
PPP:
Point-to-Point Protocol, Kommunikationsmethode für TCP/IP zwischen zwei Partnern, die meist über eine DFÜ-Verbindung zum Einsatz kommt. In der Regel benutzen Internet-Provider PPP für die Einwahlzugänge.
Proxy:
Ein Proxy übernimmt als Stellvertreter für Clients die Kommunikation mit Servern in einem anderen Netz ( auch dem Internet ). Im unterschied zur Firewall ändert er aber die Datenpakete - er schickt sie unter der eigenen Adresse und dem passenden Port ins Internet und leitet die Antwort dann an die entsprechenden Clients zurück. Die Client-Anwendungen müssen zur Benutzung eines Proxy umkonfiguriert werden, sodass sie alle Anforderungen an ihn richten. Außerdem muß der Proxy den jeweiligen Dienst unterstützen.
Rate:
Auf FTP-Servern wird oft eine bestimmte Rate beim Downloaden der Daten gefordert. Das heißt, wenn man beispielsweise ein Programm mit 5 MB herunter lädt, muß man dafür auf dem Server ein Programm mit z.B. 3 MB hinaufladen. Dies entspräche einem Verhältnis von 5:3. Damit wird garantiert, daß ständig neue Programme in Umlauf gebracht werden.
Redirektor:
Wenn eine Internetverbindung über einen Redirektor hergestellt wird, dann wird eine Anfrage auf einen anderen Server umgeleitet. Hacker und Cracker benutzen häufig diese Redirektoren, um ihre wahre Homepage versteckt zu halten.
Remailer:
Mit Hilfe eines Remailers kann man anonyme Emails verschicken, die auch keine Provider-Kennung mehr enthalten.
Request:
Einige Cracker bieten auf ihren FTP-Servern ein Request-Verzeichnis an, in dem jeder gesuchte Software eintragen kann. Wenig später wird diese meist von irgendjemandem, der diese Software hat, hinaufgeladen. Oft werden auch nur kleine Patches zum cracken von Programmen wie Spielen oder ähnlichem gesucht.
Rip:
Gecracktes Programm. Voll funktionsfähig doch weitaus kleiner als die Orginalversion, da viele nicht unbedingt für das Programm notwendige Teile aus Speicherplatzgründen weggelassen wurden (wie z.B. Sound).
RFC:
Request for Comments (Anfrage zur Kommentierung). In den RFC's stehen eine ganze Menge Informationen wie zum Beispiel das FTP-Protokoll funkioniert, wie IP's aufgebaut sind usw. Also alles mögliche an Informationen zu allem rund ums Internet und den dazugehörigen Standards und Protokollen.
Zum einem findet man eine recht umfangreiche Sammlung unter: http://www.ietf.org/rfc.html. Du kannst aber auch RFC's per Mail anfordern. Dazu schreibst du eine E-Mail an: NIS-INFO@NIS.NSF.NET. Die Subject-Zeile läßt du leer und als erste Text-Zeile der Mail schreibst du: send rfcnnnn.txt (nnnn steht für die Nummer des RFC's, z.B. RFC0001.txt). Unter dieser Adresse kannst du dir auch einen kompletten Index der RFC-Bibliothek bestellen, dazu mußt du nur "rfc-index" in die Subject- Zeile eintragen. Per FTP bekommst du die RFC´s auch:
NISC.JVNC.NET
Login: anonymous
Passwort: Deine E-mail-Adresse.
Die RFC's liegen dort im Verzeichnis rfc/rfcnnnn (nnnn wieder die Nummer des RFC's)
Beispiele für interessante RFC's
RFC1945 - Beschreibung des HTTP/1.0 - Standards
RFC2068 - Beschreibung des HTTP/1.1 - Standards
RFC0781 - Spezifikation des Internet Protocols (IP)
Routing:
Vermittlung von Datenpaketen zwischen zwei unterschiedlichen IP-Teilnetzen. Router können über spezielle Protokolle die besten Wege zur Weiterleitung der Daten selbstständig miteinander aushandeln. Ein Datenpaket, daß nicht für das lokale Subnetz des sendenden Clients bestimmt ist, wird in den nächstgelegenen Router weitergeleitet. Kennt dieser die Zieladresse, schickt er das Paket direkt weiter. Ansonsten wird es so lange an andere Rechner durchgeschoben, bis es eine Maschine erreicht, die im gleichen Subnetz wie der angesprochene Zielrechner liegt.
Service Overloading (Denial-of-Service Attack):
Einen ähnlichen Weg wie beim Message Flooding, gehen die s.g. Service Overloading Attacks. Allerdings werden hier gezielt Services angesprochen, die einen Großteil der Rechnerressourcen aufzehren können. Dabei ist hier nicht die Menge der Nachrichten ausschlaggebend, sondern es kann hier unter Umständen sogar eine einzige Nachricht genügen. Bekannte Dienste (services), die für einen solchen Angriff anfällig sind, sind z.B. der Finger-Dienst, der auf den meisten Rechnern zur Verfügung steht. Aber auch speziellere Dienste, wie etwa ein Datenbankserver, die nicht genügend gesichert sind, kommen als Angriffspunkte in Frage. Bei einem Datenbanksystem kann eine entsprechend formulierte Abfrage (etwa ein Join über mehrere Tabellen) die Systemresourcen bis an die Grenzen belasten.
Smurf-Attack (Denial-of-Service Attacke):
Der Angreifer generiert dabei eine große Anzahl von ICMP Echo Paketen (Ping) mit der Broadcast Adresse eines möglichst großen Netzwerkes. Jedes dieser Pakete hat dabei als Absenderadresse die IP-Adresse eines zu störenden Hosts. Da es sich um Broadcast Adressen handelt, empfängt im Zielnetzwerk jeder Host die Pakete und würde es mit einem ICMP Echo Paket an die gefälschte Absenderadresse beantworten. Somit ist es möglich, in einem Ethernet mit 100 Hosts aus 50 Paketen 50.000 zu erzeugen.
Der Angriff setzt voraus, daß alle unterwegs passierten Router die Broadcast-Pakete routen und der Router im Zielnetzwerk die Pakete auf zum Beispiel Ethernetadressen umsetzen (IP-Adresse 10.255.255.255 -->für Ethernet FF:FF:FF:FF:FF:FF).
Sniffer:
Sniffer hören den gesamten Datenverkehr ab, der über die angeschlossene Netzwerkkarte geht. So können beispielsweise bestimmte Passwörter oder Informationen herausgefiltert werden. Wobei dieser Name "Sniffer" Urheberrechtlich geschützt ist.
Spoofing:
Darunter versteht man das Vortäuschen eines falschen Absenders von IP-Paketen ( = IP-Spoofing ). Es lassen sich auch Internetnamen spoofen, was dann DNS-Spoofing genannt wird. Wenn ein kompletter Internet-Bereich über einen Zwischenrechner umgeleitet wird, nennt man dies dann Web-Spoofing.
SSL:
Im Internet wird eine sichere Verbindung meist mit Hilfe des SSL-Prottokolls aufgebaut. In einer solchen Verbindung werden alle Daten verschlüsselt übertragen, somit haben es Hacker sehr schwer solche Daten abzuhören. SSL steht für Secure Sockets Layer.
Syn-Attacks (Denial-of-Service Attacke):
Dieser Typ einer Denial-of-Service Attacke, ist die wohl hinterhältigste überhaupt. Hier wird das Drei-Wege-Handshaking von TCP benutzt, um sog. halboffene Verbindungen herzustellen. Da TCP ein sicheres Übertragungsprotokoll ist gibt es Mechanismen, um eine Verbindung zu synchronisieren. Dies wird über das Drei-Wege-Handshaking von TCP erledigt.
Dabei gibt es, wie der Name schon ahnen läßt, drei Schritte, die durchgeführt werden:
1) Der Client sendet eine Synchronisationsnachricht (SYN) an den Server
2) Der Server antwortet mit einem entsprechenden Acknoledgment (ACK/SYN)
3) Darauf sendet der Client sein Acknoledgement (ACK) an den Server
Mit diesen drei Schritten ist das Handshaking abgeschlossen. Nach Schritt 2 befindet sich auf dem Server ein Eintrag für die Verbindung, der bestehen bleiben muß, bis der Client seine Antwort gesendet hat. Eine Verbindung in diesem Stadium nennt man halboffen.
Ein SYN-Attack nutzt nun die Tatsache aus, daß der Server die halboffenen Verbindungen speichern muß, bis er eine Antwort darauf erhält. Wird diese Antwort allerdings nie gesendet, so muß der Server die halboffene Verbindung trotzdem im Speicher behalten. Tatsächlich hört das Opfer erst nach einiger Zeit auf, auf die Bestätigung zu warten, wodurch natürlich recht schnell die gesamte Bandbreite des Rechners "aufgebraucht" ist.
In den Implementierungen von diesem Protokoll wird in der Regel eine Query benutzt, die einen gewissen endlichen Speicher für die halboffenen Verbindungen zur Verfügung stellt. Erstellt nun ein Angreifer eine größere Menge dieser halboffenen Verbindungen, so ist abzusehen, daß der Speicher der Query irgendwann zu Ende ist. An dieser Stelle ist es dem Server nun nicht mehr möglich eine weitere TCP-Verbindung aufzubauen. Er kann somit nicht mehr auf Anfragen seiner Clients reagieren. Im schlimmsten Falle kann es sogar dazu führen, daß der Serverrechner durch den Überlauf der Query abstürzt, wodurch er dann völlig lahmgelegt wäre. Weiterhin tritt bei manchen fehlerhaften TCP-Implementierungen der Fehler auf, daß bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschickt wird, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Teardrop:
In diesem Verfahren wird ein Rechner durch Überlagern von IP-Paketen zum Absturz gebracht.
Tracen:
Tracen bedeutet, die IP zurückverfolgen.
Trojanische Pferde:
Ein Trojanisches Pferd ist ein Programm, welches vorgibt, ein nützliches Programm zu sein, jedoch erst beim Aufruf sein wahres Gesicht zeigt und meist mit dem zerstörerischen Werk beginnt. Trojanische Pferde haben normalerweise nicht die Möglichkeit, sich selbst zu vermehren. Zeitweise gab es im Internet viele Trojanische Pferde, z.B. getarnt als neueste Packerversion. Viele Anwender haben dann solche Programme heruntergeladen. Als sie diese dann starteten, stellte sich heraus, daß es in Wirklichkeit ein Trojanisches Pferd war, daß zum Beispiel die Festplatte löschte oder anderes anstellte. Auch kann es sein, daß der Packer tatsächlich dann das Programm ist, welches man haben wollte. Jedoch ist der Packer, dann aber nicht das einzige Programm welches ausgeführt wird :-(.
Viren:
Ein Computervirus ist ein Programm, daß die Fahigkeit besitzt, sich selbständig an andere Dateien, meist ausführbaren Programmen anzuhängen. Viren vervielfältigen sich von selbst, was sie von den Trojanischen Pferden und den Logischen Bomben unterscheidet. Im Gegensatz zum Wurm benötigt ein Computervirus einen fremden Programmcode, den sogenannten Wirtscode, in den sich der Virus einnistet. Der Ablauf des Wirtscodes wird meist nicht geändert. Das befallene Programm dient lediglich als Transportmittel.
Warez:
Unter Warez versteht man geknackte Vollversionen von kommerziellen Programmen oder Sharewareprogrammen. Wenn auf einer Software ein Kopierschutz ist, wird dieser entfernt und dann die Software auf sogenannten Warez-Seiten vertrieben.
Wingate:
Eine besondere Art von Proxy, der auf Windows-Rechnern läuft.
Würmer:
Ein Wurm ist ein Computervirus, welches sich selbst vervielfältigt, sich dabei jedoch nicht an ein anderes Programm anhängt, sondern eine Kopie von sich selbst erstellt. Würmer können somit nicht Bestandteil anderer Programmabläufe werden und sind meist nur dann eine Gefahr, wenn man ein solches Programm aufruft.