Kategorien von Angriffs-Methoden:
1. Account und Passwortangriffe
Häufigste Benutzer- Identifikations- Methode, beruht auf Passwörtern.
Bei der Passwort- Methode muß dem System, auf das zugegriffen werden soll, das entsprechende Passwort bekannt sein. Bei Unix werden diese mittels DES- Algorithmus codiert und in der Datei "shadow" abgelegt.
1.1. Passwortraten
Hierbei wird nach Verbindungen zwischen Login und Passwort gesucht.
Gängige Verbindungen sind:
- gast/gast
- guest/guest
- Name/Vorname
- Name/Name der Frau/des Mannes/der Freundin/des Freundes/des Kindes ...
- ...
1.2. Passwortraten mit der Passwort-Datei
- Codieren von Wort- Listen oder zufälligen Zeichenketten und vergleichen dieser mit den Einträgen in der Passwort- Datei
- Effektive Methode, die jedoch den Besitz der Passwort-Datei voraussetzt (Passwort-Dateien nicht in Bereichen speichern, die über "ftp" und "gopher" erreichbar sind)
- Schnelles Erraten durch immer schnellere Hardware (zur Zeit ca. 50 Passwörter je Sekunde codieren und vergleichen)
- Erzeugen von Wortkombinationen aus Wortlisten
("Billy", "The", "Kid" = "BillyTheKid", Billy the Kid", ...)
- Der Erfolg dieses Verfahrens hängt stark von den verwendeten Passwörtern ab und ist besonders bei Passwörtern effektiv, die nur aus Kleinbuchstaben bestehen.
- Bei Kombinationen aus Groß-/ Kleinbuchstaben mit Sonderzeichen sinkt die Wahrscheinlichkeit, diese zu erraten.

Chakteristika enttarnter Passwörter
Abhilfe:
- Zeitlich begrenzte Passwörter (ca. 3-6 Monate)
- Mindestlänge dieser von mind. 8 Zeichen
- Stichprobenartiges Erraten von Passwörtern aus der eigenen Passwort- Datei und Benachrichtigung der entsprechenden Nutzer bei Erfolg

Zu vermeidende Passwörter
1.3. Sniffer- Attacken
- Überwachung der Datenpakete auf IP-Ebene
- Sniffer- Programm einschleusen oder vorhandenes starten
- Sniffer- Progamme setzen die Netzwerkkarten in Promiskuitätsmodus (annehmen jedes Datenpaketes)
- Filtern dieser Pakete nach Login / Passwort- Kombinationen
- Bei geringer Netzlast nicht auffällig
1.4. Passwort- Monitoring
Hierbei werden TSR- Programme im Speicher abgelegt, die die Tastatureingabe filtern und nach Login/Passwort- Kombinationen suchen. Später werden diese Daten dann durch den Hacker wieder abgeholt.
1.5. Trojanische Pferde
- Mini- Programme, die das Betriebssystem vorspielen
- Fragen nach Login und Passwort und gaukeln einen Tippfehler vor, während sie eine Mail mit der Kombination an den Hacker senden.
- unauffällig
- funktionieren auch bei Authentifikation mit komplizierten Authentifikations- Methoden
1.6. Knacken von Einmal- Passwörtern
Ein Ansatz hierfür ist, die Passwörter abzuhören und zu späterer Zeit die Systemzeit zurück zu stellen (durch Angriff auf Zeitserver) um diese Passwörter dann wieder zu verwenden.
(siehe NTP)
2. Unix-Netzwerkangriffe
Netzwerkdienste:
- Dateitransfer (FTP, TFTP, NFS)
- E-Mail(SMTP, POP3)
- News(NNTP)
- Anwendungen (telnet, rsh, X-Windows)
Netzapplikationen unter Unix werden meißt über den "inetd" aktiviert (z. Bsp.: ftpd, telnetd, fingerd, rlogind, rshd). Der Vorteil dieser Methode liegt in der zentralen Verwaltung und Überwachung.

Funktionsweise von Internet-Applikationen
2.1. rlogin und rsh - Angriffe
Die Nuztung dieser Dienste bietet zwar viele Erleichterungen für die Nutzer, birgt aber eine große Gefahr.
Die Daten für diese Dienste sind in der Datei "etc/hosts.equiv" oder im Home- Verzeichnis eines Nutzers in der Datei ".rhosts".
Problem:
- Ein Eindringling, der es schafft diese Dateien zu verändern, hat Zugriff auf das gesamte Netzwerk (Trusted Hosts)
- Trusted Hosts müssen nur drei Bedingungen erfüllen:
- Verbindung von priveligiertem Port
- Benutzer und System müssen in einer der obigen Dateien eingetragen sein
- Benutzername und Internetadresse müssen korrespondieren
Abhilfe:
- Ein generelles Verbot der ".rhosts"- Dateien in den Home- Verzeichnissen der Nutzer (ev. zeitgesteuertes Löschen dieser).
- Abkapseln der Datei "etc/hosts.equiv".
2.2. Network File System (NFS)
Problem:
- Standard- Konfigurationen so, daß jedem Host Lesezugriff gestattet ist
- Sniffer- Angriffe auf File- Handles
Abhilfe:
- Lese- und Schreibrechte begrenzen auf lokale Hosts
- Verschlüsseltes Übertragen der File-Handles (Secure RPC)
2.3. Network Information Service (NIS)
Dient zu Übermittlung von wichtigen Dateien vom Server zu den Clients (Passwort- Datei, Adresstabellen, ...).
Problem:
- NIS- Server- Spoofing (Vortäuschen eines NIS- Servers und Weiterleiten gefälschter Daten).
Abhilfe:
- Vermeidung von NIS- Diensten
2.4. Network Time Protokoll (NTP)
Aufgabe: Synchonisation der im Netz befindlichen Systeme
Probleme:
- Maskerade (Vortäuschen eines Time- Servers)
- Modifikation
- Replay (wiederholtes Senden einer Time- Nachricht)
- Unterbrechung (löschen von Time- Server- Paketen)
- Verzögerung (Überlasten des Netzwerkes = Verzögerung des Sendens von Time- Nachrichten)
Abhilfe:
- Aktivieren der Authentifikations- Option
Nachteil: senden der Time- Nachrichten an jeden Client einzeln = hoher Aufwand
2.5. X11 / X-Windows
- basiert auf Client- Server- Modell
- Server= Terminal, Client= Application
![]()
Prinzip des X11 Protokolls
Problem:
- Applikationen bauen selbstständig Verbindung zum X- Server auf (auch ohne Wissen des Nutzers)
- Jeder hat Zugriff auf alle offenen X- Sever im Netz (bei Einstellung "xhost +")
- Problematische Aktionen:
- löschen des Bildschirmes
- neue Fenster erzeugen
- Überwachen des Bildschirm- Inhaltes
- Verfolgung der Tastatureingabe
- Durch X- Scanner ist der Status des TCP- Ports 6000 abrufbar
=> bei aktivem X- Server wird ein Zeiger auf das aktive X- Terminal zurückgegeben.
Abhilfe:
- Zugangskontrolle aktivieren ("xhost -") = nur lokaler Host hat Zugang
Problem:
- Falls der Angreifer bereits Zugang zum Host hat, kann er ohne weiteres Bildschirminhalte auslesen, oder die Eingabe überwachen. (X Keyboard Sniffing).
- Trojanische X- Clients (Hierbei wird z. Bsp. das Programm xlock durch ein Programm ersetzt, daß die Tastatureingabe abfängt.)
Abhilfe:
- Option "XGrabKeyboard" des xterm´s einschalten, diese verhindert, daß andere Prozesse Zugriff auf Tastatureingaben haben.
3. Angriffe unter Ausnutzung von Unix-Anwendungen
3.1. Sendmail
Problem:
- Sendmail ist sehr komplex = viele Fehlerquellen
- Sendmail ist häufig als root- Applikation installiert
=> falls ein Fehler gefunden ist und genutzt wird, hat der Angreifer root- Rechte!
Abhilfe:
- Vereinfachte sendmail- Frontends, die auch ohne root- Rechte laufen können.
3.2. MIME - Angriffe
Problem:
- Der Mail wird ein MIME- Typ zugeordnet (abhängig von deren Inhalt).
Bei der Interpretation dieser Mails können dann direkt Befehle ausgeführt werden (FTP, LOCAL-FILE,...).
Beispiel:
- Kopieren der Datei "helptext.ps" vom Server "database.corporate.com"

MIME- Mail mit Dateitransfer
Abhilfe:
- Programme die jede Mail auf derartig verdächtigen Inhalt untersuchen.
3.3. Postscript-Angriffe
Problem:
- Die Postscript-Sprache enthält Befehle wie:
- deletefile
- renamefile
- filenameforall
Abhilfe:
- Sicherheitsoption des Interpreters einschalten.
- automatische Ausführung des PS-Interpreters bei Empfang von Mail deaktivieren.
3.4. Social Hacking
Problem:
- Mittels "finger" und "whois" können eine Vielzahl von Informationen zu den momentan eingeloggten Nutzern abgefragt werden, die ev. wichtige Informationen geben könnten.
- "finger" läuft im root- Status = Fehler im Programm verschaffen dem Angreifer root- Rechte!
Abhilfe:
- "finger" und "whois" auf kritischen Systemen (Internet- Gateways, ...) deaktivieren.
4. Sabotage- Angriffe
Ziel dieser Angriffe ist es, Internet-Server lahm zu legen.
4.1. Ping of Death
Problem:
- Senden eines unzulässig langen IP- Paketes (65535 Bytes) in fragmentierter Form.
- Der Server versucht dieses IP- Paket wieder zusammen zu setzen und zu verarbeiten. Dabei verursacht er einen Systemabsturz.
Abhilfe:
- Software- Patch des jeweiligen Herstellers.
4.2. SYN Flooding- Angriffe
Problem:
- Implementierung des TCP/IP- Protokolls
- "Halb geöffnete" TCP- Verbindungen werden im Speicher gehalten, um eventuell später eintreffende Pakete zuordnen zu können.
- Versenden mehrerer solcher Verbindungs- Aufforderungen kann zum Absturz des jeweiligen Rechners führen.
Abhilfe:
- Ebenfalls Software- Patch