Inhaltsverzeichnis
vorherige Seite nächste
Seite
2.2 Angriffsmöglichkeiten auf interne Daten
2.2.1 Allgemeine Angriffe auf Server
Ein Server, der einen Internetzugang hat, kann von außen angegriffen
werden, wenn er nicht ausreichend geschützt wird. Ein solcher Angriff
kann verheerende Auswirkungen haben. Wenn sich jemand Zugriff zu
einem Server verschafft hat, kann er Informationen mitlesen, die vertraulich
sein können. Außerdem kann er die Daten auf dem Server manipulieren,
löschen oder zerstören. Er hat jedoch auch die Möglichkeit
neue Daten hinzuzufügen. Dies sind aber nicht die einzigen möglichen
Folgen eines Angriffs.
2.2.2 Denial-of-Service-Attacks (DoS)
In letzter Zeit werden sogenannte Denial-of-Service-Attacks immer populärer.
Bei einer Denial-of-Service-Attack werden Dienste ohne Erlaubnis ausgeschaltet.
Bei einem Server ist es meist sogar das Lahmlegen des gesamten Systems.
Denial-of-Service-Attacks sind in der Regel leicht einzuleiten und es ist
schwierig, ein System gegen sie zu schützen. Im folgenden werden drei
Beispiele für solche Angriffe aufgeführt.
2.2.2.1 TCP-SYN-Flood
Ein Beispiel für eine Denial-of-Service-Attack ist die TCP-SYN-Flood.
Zur Erklärung sind zunächst einige Ausführungen zum Aufbau
von TCP-Verbindungen nötig.
Wenn ein System (der Client) versucht eine TCP-Verbindung mit einem
Server aufzubauen, tauschen der Server und der Client eine Reihe von Informationen
aus (Handshake-Protokoll). Der Client sendet zunächst eine SYN-Message
an den Server. Der Server reagiert darauf mit einer SYN-ACK-Message und
erwartet eine ACK-Message von dem Client zum endgültigen Verbindungsaufbau.
Nach Erhalt der ACK-Message wird die Verbindung zwischen Client und Server
aufgebaut und die Daten können übertragen werden. Dieser Prozeß
ist für alle Verbindungen, die auf TCP basieren nötig. Die folgende
Graphik stellt noch einmal den Austausch der Messages während des
Handshake-Protokolls dar:
Abb. 2-1: Austausch von SYN-ACK-Messages beim Verbindungsaufbau
Bei einem TCP-SYN-Flood-Angriff wird diese Initialisierung nie vollständig
ausgeführt. Der Angreifer sendet eine Vielzahl von SYN-Messages mit
nicht existierenden IP-Adressen. Dadurch erreichen die SYN-ACK-Messages
des Servers kein Ziel und der Server wartet auf Antwort. In der Regel akzeptieren
Server fünf bis zehn solcher 'halboffenen' Verbindungen und nehmen
danach keine neuen Verbindun-gen mehr an. Damit sind Server, auf die ein
TCP-SYN-Flood-Angriff gestartet wurde, für andere Teilnehmer nicht
mehr erreichbar.
2.2.2.2 Ping-of-Death
Das Internet Control Message Protocol (ICMP) ist ein Protokoll der Transportebene.
Es dient vor allem dem Austausch von Status- und Fehlermeldungen. Ping
(Packet Internet Groper) ist ein Programm, das ICMP-Pakete versendet. Die
wichtigste Anwendung des Ping Programms ist die Überprüfung,
ob eine Verbindung zwischen zwei Rechnern besteht. Ein Rechner sendet ein
ECHO REQUEST an den Zielrechner und dieser reagiert darauf mit einem ECHO
RESPONSE, wenn er in Betrieb ist. Die größte zugelassene Größe
eines ICMP-Paketes sind 65535 Bytes, wovon mindestens 20 Bytes IP-Header-Informationen
sind. Die restlichen Bytes sind zusätzliche Informationen und sonstige
Daten. Ein Ping-of-Death ist ein mit dem Ping-Programm gesendetes ICMP-Paket,
das größer als 65535 Bytes ist. Ein Rechner reagiert je nach
Betriebssystem unterschiedlich auf solche Pings-of-Death. Häufige
Reaktionen sind Systemabstürze oder erneutes Booten des Rechners.
2.2.2.3 DNS-Spoofing
DNS-Spoofing basiert auf Manipulationen des Domain Name Service (DNS).
Den DNS kann man sich wie ein Telefonbuch für Rechneradressen im Internet
vorstellen. Er ordnet Servernamen, wie z.B. www.uni-karlsruhe.de, ihre
IP-Adressen zu. Der DNS ist jedoch schlecht gegen Manipulationen gesichert.
Ein Internetnutzer gibt in der Regel zunächst den Namen des Servers
an, mit dem er verbunden werden möchte. Mit der Funktion GETHOSTBYNAME
wird der DNS kontaktiert, um die zugehörige IP-Adresse zu ermitteln.
Der DNS kommuniziert nicht über das TCP, sondern über das UDP
(User Datagram Protocol), was die Eingriffe erleichtert. Die Namen, die
einer IP-Adresse zugeordnet werden, kann jeder für seinen Server selbst
bestimmen. Ein Angreifer kann daher für die IP-Adresse seines Servers
den Namen eines schon existierenden Servers mit einer anderen IP-Adresse
definieren. Dadurch kann ein Rechner eine Verbindung mit dem Server des
Angreifers anstatt des gewünschten aufbauen und so falsche Informationen
erhalten. Es haben sich bereits mehrere verschiedene Arten des DNS-Spoofings
entwickelt.
Inhaltsverzeichnis vorherige
Seite nächste Seite