1

Angriffsmethoden von Hackern

A. Verschiedene Angriffsmethoden 1. IP-Spoofing Grundprinzip: IP-Spoofing bedeutet das Vortuschen einer bestimmten IP-Adresse als Absender-Adresse. Zweck fr den Hacker: Er kann Access-Listen von Routern berlisten und sich so Zugang zu einem geschtzten Bereich (z. Bsp. Intranet einer Firma) verschaffen. In Access-Listen sind IP-Adressen von Rechnern eingetragen, die vom Router akzeptiert werden, d. h. die Zugang zum internen Bereich bekommen.

Bild 1

Funktionsweise (siehe Bild 1): - Der Hacker sendet ein SYN-Flag an den Rechner B, den er hacken will. - Damit er vom Router akzeptiert wird, tuscht er eine IP-Adresse als Absender

vor, die in der Access-Liste vom Router eingetragen ist, hier die IP von A. Diese hat er z. Bsp. ausspioniert.

- Gleichzeitig sorgt der Hacker dafr, dass der Host, dem die vorgetuschte IP zugeordnet ist, nicht reagieren kann. Er kann z. Bsp. eine IP von einem Host verwenden, der gerade nicht aktiv ist oder einen aktiven lahm legen und deaktivieren.

- Der Router prft die Absender-IP und lsst das SYN-Flag durch, weil die IP in der Zugangsliste des Routers enthalten ist.

- Der kontaktierte Rechner B bekommt das SYN-Flag. Aufgrund von Handshake-Konventionen sendet B jetzt ein SYN-Acknowledge zurck, und zwar an den Host, der die IP besitzt, die H als Absender mitgesendet hat, hier an A (siehe Bild 2).

2

- Dieser ist nicht aktiv, er ist vorher von H deaktiviert worden. Wre er noch aktiv, wrde er erkennen, da er kein SYN-Flag gesendet hat und wrde an B ein RESET senden. Damit wre die Verbindung abgebrochen, H wre erfolglos. Das dies nicht passiert, wurde A vorher von H deaktiviert oder war schon nicht aktiv.

Der Hacker H ist am Ziel, er hat eine Verbindung mit B aufgebaut und hat den Router berlistet.

Bild 2

2. Denial of Service (DoS) Grundprinzip: Der Hacker deaktiviert gezielt einen Rechner, er lt ihn abstrzen. Zweck fr den Hacker: Der Hacker kann einen Host gezielt ausschalten. 2.1 Syn-Floading SYN-Floading ist eine Variante von DoS. Der Hacker sendet nur SYN-Flags an einen Host. Dies geschieht in einer Endlosschleife und mit hoher Frequenz. Der Eingangspuffer des Empfngers luft voll. Bei entsprechend hoher Senderate des Hackers kann so der Empfnger abgeschossen werden, ein Systemabsturz ist die Folge. 2.2 Ping of Death hnlich wie beim Sync-Floading wird auch hier ein Rechner deaktiviert. Der Angreifer nutzt die Mglichkeit aus, durch Fragmentierung von IP-Paketen das letzten Fragment grer als die maximal zulssige Gre fr IP-Pakete von 65.535 Bytes zu machen. Dieses bergroe Ping-Paket erzeugt beim Empfnger einen berlauf des Puffers. Der Rechner strzt ab. 2.3 Out of Band Attack Hier versucht der Hacker auf einen Zielrechner mit einem Dienst auf Ports zuzugreifen, die nicht fr diesen Dienst reserviert sind und besonders sensibel auf falsche Zugriffe reagieren. Er greift z. Bsp. mit TELNET auf den Windows-Port

3

139 zu. Dies kann unter bestimmten Voraussetzungen (schlechte Programmierung) zur Folge haben, dass der Rechner abstrzt.

3. Smurf-Attack

Grundprinzip: Hier wird eine offensichtliche Lcke von Routern ausgenutzt, um einen Rechner zum Absturz zu bringen. Im IP-C-Netz sind die Adressen 0 und 255 reserviert. Die 255 wird fr Broadcast-Nachrichten verwendet. Sendet ein Rechner eine Nachricht an die IP xxx.yyy.zzz.255 dann wird die Nachricht vom Router dieses C-Netzes an alle Rechner dieses Netzes versendet. Mit dieser Methode kann ein Rechner den genauen Standort eines anderen Rechners im Netzwerk herausfinden, von dem er nur die IP-Adresse wei. Er stellt die Anfrage broadcast. Der angesprochene Rechner sendet ihm eine Antwort zu, dadurch ist die Route bekannt. Dieses Prinzip wird nur innerhalb des C-Netzes benutzt. Router knnen so konfiguriert werden, da sie Nachrichten, die von auerhalb des eigenen Netzes broadcast versendet werden, nicht an alle Teilnehmer des C-Netzes senden. Zweck fr den Hacker: Der Hacker kann eine lckenhafte Konfigurierung des Routers ausnutzenwenn der Router broadcast-Nachrichten von auen zult.

Bild 3

Funktionsweise: - Der Hacker sendet von auerhalb einen Ping broadcast an die IP 255 in

einem C-Netz. Als Absender-IP trgt er die IP-Adresse eines Teilnehmers innerhalb des entsprechenden C-Netzes ein.

- Der Router lt den broadcast-Ping von auerhalb zu.

4

- Der Router sendet den Ping an alle Teilnehmer in seinem C-Netz weiter. - Alle Teilnehmer erhalten einen Ping, den sie beantworten. - Die Antworten bekommt alle der Teilnehmer, dessen IP der Hacker

eingegeben hat. - Der Empfnger der ganzen Antworten wird unter Umstnden abgeschossen

durch die Antwortflut, die auf ihn hereinbricht. 4. Trojanische Pferde Grundprinzip: Trojanische Pferde sind getarnte Programme, die unbemerkt im Hintergrund aktiv werden. Es werden Hintertren im System aufgemacht, ber die dann unbemerkt auf das gehackte System zugegriffen werden kann. Zweck fr den Hacker: Der Hacker kann sich mit Hilfe dieser Programme Zugang zu fremden Rechnern verschaffen. Er kann Daten auf dem fremden System aussphen oder den Rechner fernsteuern. Dadurch kann das ganze System manipuliert werden. 4.1 NETBUS Mit Hilfe von diesem Trojaner ist das komplette gehackte System fernsteuerbar. Dies geschieht ber die festen Ports 12345 und 12346. Aufgrund der festen Ports ist NETBUS relativ leicht zu entdecken und kann entfernt werden. 4.2 Back Orifice Mit diesem Trojaner hat der Hacker die gleichen Mglichkeiten wie mit dem NETBUS. Der Hauptunterschied ist die Mglichkeit, den Port frei zu whlen, ber den er den gehackten Rechner fernsteuert und ausspht. Dadurch ist er sehr schwer zu entdecken. Back Orifice lt sich auch nur sehr schwer wieder vom System entfernen. 5. Portscan Bei einem Portscan wird ein System nach angreifbaren Schwachstellen durchsucht. Dazu werden alle Ports oder Verbindungsstellen durch Ausprobieren getestet, ob sie von auen erreichbar und somit offen fr einen Angriff sind. Hierzu versucht der scannende Rechner zu jedem Port des zu scannenden Rechners eine vollstndige Verbindung aufzubauen. Wenn dies funktioniert, ist der entsprechende Port erreichbar und ein mglicher Angriffspunkt. Bei einem Portscan kann noch nicht von einem Hackerangriff gesprochen werden.

5

B. Schutz durch Firewalls Eine Firewall schtzt das interne Netz vor externen Netzen. Sie reguliert den Datenverkehr zwischen den Netzwerken, innerhalb des internen Netzes hat sie keine Sicherheitsaufgaben. Bei der Realisierung werden verschiedene Konzepte verwendet. 1 Paketfilternder Router Die einfachste Ausfhrung einer Firewall ist ein Router, auf dem verschiedene Paketfilter konfiguriert werden. Diese Filter kontrollieren den Zugang mit Hilfe von Portnummer, Absender- und Zieladresse. Dieses Verfahren ist standardmig auf gngigen IP-Routern implementiert. Dieses Verfahren ist sehr einfach und dadurch kostengnstig, jedoch ohne weitere Manahmen auch sehr unsicher. Schon durch ein einfaches Flschen der IP-Absenderadresse kann ein solcher Router berlistet werden. 2 Bastion Host Hier wird ein Firewallsystem zwischen zwei paketfilternde Router geschalten. Der externe Router erlaubt nur IP-Verkehr zwischen Internet und Bastion Host, der interne erlaubt nur IP-Verkehr zwischen internem Netz und Bastion Host. Diese Methode stellt einen effektiven Schutz gegen Angriffe von aussen dar.

Bild 4

Dieses Verfahren ist sehr kostspielig. Es werden zwei Router und ein Firewallsystem bentigt. Der Konfigurationsaufwand ist auch relativ hoch. 3 Firewall Server Ein Firewall-Server stellt eine effiziente und administrierbare Lsung dar. Ein Firewall-Server vereint folgende Funktionen: - Interner Firewall-Router - Externer Firewall-Router - Bastion-Host - Internet Application Server

6

Bild 5

Dieses Konzept stellt eine akzeptable Komplettlsung zum Anschluss einer Firma an das Internet dar. Es enthlt Server fr alle wichtigen Internetdienste. Es wird eine hohe Sicherheitsstufe erreicht durch Verwendung mehrerer Filtermethoden und Zugriffssteuerungen.