TCP/IP-Angriffe
 
Kompendium der "Denial of Service"-Attacken 

 
Ich hab euch hier mal typische DoS-Angriffsarten zusammengetragen. 

Denial of Service

 
Bedeutung
Im eigentlichen Sinne bedeutet Denial of Service soviel wie etwas unzugänglich machen, außer Betrieb setzen, also beispielsweise an einen funktionierenden Geldautomaten einen Zettel mit der Aufschrift "Geldautomat defekt, zieht Karte ein" hängen oder einem Anrufbeantworter diverse Musikstücke vorzuspielen.
Auf den EDV-Bereich übertragen bedeutet ein DoS-Angriff in der Regel, daß ein entfernter Computer außer Betrieb gesetzt wird.
Besonderheiten
Das Besondere an den DoS-Attacken ist jedoch, daß man einen Computer über eine TCP/IP-Verbindung (und damit also auch über das Internet) völlig ferngesteuert und von jedem beliebigen Ort der Welt crashen und damit unnutzbar machen kann.
DoS-Attacken nutzen immer Bugs oder Schwachstellen in der TCP/IP-Implementierung. Diese Schwachstellen waren teilweise schon seit Jahren bekannt, gelangten jedoch erst durch spezielle, zielgerichtete und einfach zu bedienenden Hilfsprogramme Ihre Popularität.
Obwohl auch die UNIX-basierten Systeme nicht von Haus aus vor allen Angriffen sicher sind, ist die besondere Anfällig der Windows-Maschinen bekannt. Und besonders bei privaten Anwendern wird ein solcher Angriff nicht immer oder erst nach sehr langer Zeit tatsächlich wahrgenommen, da man den gefürchtet "Blue Screen of Death" ja auch aus der alltäglichen Anwendung kennt...
 
 
Gründe
Die DoS-Attacken werden zumeist von Menschen gefahren, die einfach Spaß an der Technik haben und Ihre "Überlegenheit" gegenüber anderen artikulieren wollen.
Natürlich gibt es auch Angriffe, die mit Sabotage gegen ehemalige Arbeitgeber oder sonstige Antagonisten begründet wird.
Auch subtile Gründe wie erfahrene Beleidigung bzw. Kränkung in Online-Foren wie z.B. dem IRC sind dokumentiert.
Seltener sind DoS-Attacken wirkliche Ausgangspunkte von substantiellen Hacker-Angriffen, obwohl bei Spoofing-basierten Einbrüchen in fremde Systeme der Ausfall von gewissen Ressourcen im Netz durchaus von Vorteil sein könnte (Stichwort: Disk-Sharing per NFS oder SMB).



 
 

Land

  • Funktionsweise:

    • Durch Land wird ein recht komplexer Angriff gefahren, indem ein SYN-Paket mit identischem Absender- und Empfängerport erzeugt wird. Anschließend wird dieses Paket an einen offenen Port gesendet, wo das Paket durch die vielen IP-Stacks eine Art Race-Condition erzeugt und somit das System lahmlegt.
  • Historie:

    • Bekannt seit Ende 1997. Es handelt sich hierbei um das bisher letzte DoS-Tool mit größerer Verbreitung.
  • Anmerkung:

    • Die Auswirkungen waren sehr begrenzt, da viele Rechner schon durch die Attacken vorhergehender Tools geschützt waren und die Systemverwalter entsprechende Sicherheitsvorkehrungen schnell treffen konnten.
    Eine Besonderheit von Land ware jedoch, daß die weit verbreiteten und oft an zentralen Knotenpunken der Netze installierten CISCO-Router von dem Tool betroffen waren.

OOB-Angriff

  • Funktionsweise:

    • Schuld war die NetBIOS-Implementierung von Microsoft: Sobald über den Port 139 ein paar Daten oder wirre Zeichen eintrafen, die anders waren als erwartet, kam es zum Crash.
  • Historie:

    • Das erste OOB-Tool war WinNuke und erblickte am 7.Mai.1997 die Welt. Durch das IRC fand WinNuke sehr schnell Verbreitung. Selbst Anfang 1998 konnte man noch DAU's abschießen, jedoch haben die OOB-Attacken zunehmend Ihre Bedeutung verloren, da Win98 gegen solche Angriffe gefeilt ist.
  • Anmerkung:

    • Erschreckend war die unglaubliche Primitivität dieses Fehlers, der dazu führte, das es in kürzester Zeit eine enorme Anzahl von OOB-Nuke-Tools gab.
    Es machte aber auch einfach zuviel Spaß, im IRC die DAU's abzuschießen und zu beobachten, wie Sie nach einigen Minuten erneut im Chat waren und wiederum eine Breitseite bekamen. Die OOB-Nuker wurden stetig perfektioniert; So konnte man neben Massen-Nuke auch "Abschiedsgrüße" senden und anschließend sogar verifizieren lassen, ob Rechner nach dem Angriff wirklich alle Viere von sich gestreckt hat, d.h. nicht mehr per ICMP-Ping erreichbar war.

Ping of Death

  • Funktionsweise:

    • Die einzelnen IP-Pakete sind inklusive IP-Header maximal 65.535 Bytes lang. Größere Pakete werden in Fragmente zerteilt und beim Empfänger wieder zusammengesetzt, wobei die Zusammensetzung anhand eines Offset-Wertes erfolgt. Dieser Offset-Wert bestimmt für jedes Fragment, wohin es gehört bzw wohin es soll. Durch diesen Umstand ist es möglich, dem letzten Fragment einen Offset zu geben, der inklusive Fragmentgröße einen größeren Wert als 65.535 Bytes ergibt. Diese übergroßen Pingpakete erzeugen anschließend einen Buffer-Overflow. Diese Angriffe funktionieren nicht nur mit ICMP und Ping, sondern ebenfalls mit UDP sowie TCP.
    Obwohl ein ordentlicher Ping-Befehl keine Pakete größer als 65.507 Bytes (65.535 Bytes abzüglich 20 Bytes IP-Header und 8 Bytes ICMP-Header) zuläßt, bot dann aber doch Windows das entsprechende Feature...
  • Historie:

    • Anfang 1997 war so ziemlich alles betroffen, was einen IP-Stack hatte: PC, Workstation, Router, Drucker, Kaffeemaschine.
  • Anmerkung:

    • Der Ping of Death war die erste Attacke, mit der man ein Opfer mit einem einzigen Schuß erledigen konnte: "Ping -l 65510 kriegdich.org".

Smurf

  • Funktionsweise:

    • Wenn man auf eine Broadcastadresse einen Ping schickt, erzeugt dieses je nach antwortenden Rechnern eine beachtliche Anzahl an Antworten. Der Trick besteht darin, die Absenderadresse zu fälschen, so daß das Opfer die Antworten erhält. Sende ich jetzt 1000 Pakete pro Sekunde, und 1000 Rechner antworten auf den Broadcast, bedeutet dieses also 1.000.000 Pakete/s beim Opfer. Das Opfer bekommt also soviel Traffic, daß es zusammenbricht.
  • Historie:

    • Das Problem war unter dem Namen ICMP Storm schon länger bekannt, seit Oktober 1997 gab es dann aber das einfach zu bedienende Tool SMURF.
  • Anmerkung:

    • Zahlreiche Provider wurden durch SMURF tagelang arg bedrängt, u.a. der amerikanische Provider PANIX. Das Problem ließ sich durch einen einfachen Trick recht leicht beheben, indem man an den Routern die IP-Broadcasts nicht mehr in Ethernet-Broadcasts umsetzte und somit außen vorließ.

SYN-Flooding

  • Funktionsweise:

    • TCP-Verbindungen werden nach einem "Three-Way-Handshake" aufgebaut, indem zuerst ein SYN-Paket gesendet wird, darauf mittels eines SYN,ACK-Paketes geantwortet wird und anschließen wiederum mittels ACK bestätigt wird. Nun besteht die SYN-Flooding-Attacke daraus, einem Opfer beim Handshake eine falsche Absenderadresse zu übermitteln. Das SYN,ACK-Antwortpaket wird also ins Nirwana beantwortet. Wenn nach einiger Zeit keine Rückantwort des ACK-Paketes erfolgt, wird der Verbindungsversuch als erfolglos abgebrochen.
    Der Trick beim SYN-Flooding besteht darin, diese Zeit bis zum Abbruch (Timeout) damit zu nutzen, das Opfer mit SYN-Paketen zu fluten...
  • Historie:

    • Im Herbst 1996 wurden das Flooding recht populär.

Teardrop

  • Funktionsweise:

    • Ähnlich dem PING of DEATH machte sich auch dieses Tool die Fragmentierung von IP-Paketen zunutze. Während beim Ping of Death eine übergroße Fragmentierung erzeugt wurde, überlappte Teardrop einfach die Fragmente und brachte damit Windows und Linux gehörig in's Schwanken bzw. zum Crash.
  • Historie:

    • Ein weiterer Vertreter des späten 97er-Jahrganges.
  • Anmerkung:

    • Dem Schrecken wurde durch einen Patch schnell ein Ende gesetzt.

    more to come....