- 04.02 Denial of Service / 04.02.01 Bedeutung / 04.02.02 Land / 04.02.03 OOB / 04.02.04 Ping of Death / 04.02.05 Smurf / 04.02.06 SYN Flooding / 04.02.07 Teardrop / 04.02.08 Schutzmaßnahmen (folgen in Teil 5) - 04.02 Denial of Service - In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Ihnen verschiedene Angriffsmethoden des "Denial of Service" (DoS) bzw. "Distributed Denial of Service" (DDoS) näher bringen. Natürlich werde ich auch einige Tipps zur Vermeidung größeren Schadens durch (D)DoS Attacken bereithalten. 04.02.01 Bedeutung - (Distributed) Denial of Service bedeutet soviel wie "etwas außer Betrieb setzen". Eine Denial of Service Attacke, die auf das RL (Real Life) zurückgreift wäre, wenn man z. B. an einem intakten Automaten den Schlitz verstopft, in dem man das Geld hineinsteckt. Eine Distributed Denial of Service Attacke, die auf das RL zurückgreift, wäre wenn man z. B. mit mehreren Leuten zusammen an einem intakten Automaten den Schlitz verstopft, in dem man das Geld hineinsteckt. Diese beiden Beispiele sind nun wahrlich sehr simpel, aber ich denke, dass sie zum Verstehen einer (D)DoS Attacke und dem Unterschied zwischen DoS und DDoS Angriffen ausreichen. 04.02.02 Land - Durch Land wurde ein relativ komplexer Angriff gefahren, indem ein SYN Paket mit identischem Absender und Empfängerport erzeugt wurde. Anschließend wurde dieses Paket an einen offenen Port gesendet, an dem das Paket durch die vielen IP Stacks eine Art Race Condition erzeugte und dadurch das OS gecrashed hat. Land wurde 1997 entdeckt oder zumindest bekannt. Die Auswirkungen waren sehr begrenzt, denn viele Rechner waren schon durch die Attacken vorhergehender Tools geschützt und die Systemverwalter trafen schnell Sicherheitsvorkehrungen. CISCO-Router waren jedoch oft von Land Attacken betroffen. 04.02.03 OOB - Der "Out of Band" Angriff bzw. die Möglichkeit, dass er entstehen konnte, lag an MicroSoft bzw. dessen Implementierung des NETBIOS. Wenn wirre Zeichen oder Daten über Port 139 eintrafen kam es zum Systemcrash. Der erste OOB Nuker war "WinNuke" der - wie Land - 1997 bekannt wurde. OOB Attacken verloren schnell ihren Reiz, da es Plugins für Win95 gab und Win98/ME und XP von vorne rein darauf vorbereitet war. Dieser Fehler von MicroSoft war erschreckend primitiv und die Nuker wurden immer besser. Man konnte nach einiger Zeit sogar Nuker finden, die "MassNuke"-Funktionen hatten, dem Opfer Nachrichten zukommen ließen, oder gleich einen Ping ausführten um zu sehen, ob das Opfer wirklich aus dem Netz gefegt wurde. 04.02.04 Ping of Death - Durch "übergroße" Ping-Pakete wurde ein Buffer Overflow erzeugt. "Ping of Death" funktionierte nicht nur über ICMP mit Ping, sondern auch über UDP und TCP. Diese DoS Attacke war auch Jahrgang 1997 und so ziemlich alles, was einen IP Stack hatte, war betroffen. Es war die einzige Attacke, mit der man sein Opfer auf einen Schlag crashen konnte und das sogar von Windows aus! Man bracuhte mit dem Standard Programm "Ping" von Windows nur eine ping mit einem entsprechend großem Wert angeben. So erzeugt man einen Ping of Death unter Windows: Start -> Ausführen -> Ping -l 65510 http://www.target.com -> Enter - Mittlerweile sind die meisten Hosts sicher vor Angriffen solcher Art. 04.02.05 Smurf - Bei "Smurf" schickt man mehrere Pings an mehrere Hosts und spooft (fälscht) den Absender so, dass der Absender mit dem eigentlichen Ziel gleich ist. Senden wir nur 1000 Pakete pro Sekunde an 1000 Rechner, die alle antworten, so erhält das eigentliche Opfer 1.000.000 Pakete/s, die es durch den unglaublichen Traffic zum Crash bringen. Wir sehen also, dass Smurf eine DDoS Attacke ist. Sie war unter dem Namen "ICMP Storm" schon länger bekannt, aber das Tool "Smurf" wurde erst 1997 programmiert. 04.02.06 SYN Flooding - Beim "SYN Flooding" werden TCP Connections zum Opfer mit dem "three-way-handshake" aufgebaut. Normalerweise wird ein SYN Paket gesendet, auf dem mit einem SYN/ACK Paket geantwortet wird und darauf wiederum wird mit ACK bestätigt. Bei der "SYN Flooding" Attacke wird beim "three-way-handshake" die Absenderadresse gespooft. Dadurch wird das SYN/ACk Paket ins leere laufen. Wenn nun nach einiger Zeit keine erneute Antwort auf diese erfolgt, wird der Verbindungsversuch als erfolglos klassifiziert. In der Zeit bis zum Abbruch wird das Opfer mit SYN Paketen geflutet bzw. überflutet. Das SYN Flooding wurde 1996 sehr populär. 04.02.07 Teardrop - Der "teardrop" Angriff hat strake Ähnlichkeit mit dem "Ping of Death". Während der Ping of Death eine übergroße Fragmentierung erzeugte, überlappte Teardrop die Fragmente einfach und brachte damit Linux und Windows in Probleme. Diese Attacke führte in den meisten Fällen auch zum Systemcrash. Wie könnte es auch anders sein? Auch eine 97er Attacke...Teardrop wurde durch Patches schnell ein Ende gesetzt.
