Skip to content

Angriffe auf TCP/IP (12) - DDoS-Angriffe aus dem IoT (4)

Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, ebenso die Verbreitungsroutinen des Bots. Zum Abschluss geht es nun noch um die Folgen der Veröffentlichung des Botnet-Sourcecodes.

Mirais ohne Ende

"Angriffe auf TCP/IP (12) - DDoS-Angriffe aus dem IoT (4)" vollständig lesen

Angriffe auf TCP/IP (8) - Die Entwicklung der DDoS-Angriffe

Während bei einem DoS-Angriff der Angriff von einem einzelnen Rechner ausgeht, nutzt der Angreifer bei einem Distributed Denial of Service (DDoS-)Angriff eine große Zahl von Rechnern. So genannte "Distributed Denial of Service (DDoS) Attacks/tools" wie z.B. Trinoo, Stacheldraht, Shaft oder Tribal Flood Network (TFN) / TFN2K dienten anfangs dem Aufbau der für die Angriffe genutzten Flood-Netzwerke und waren auch ohne tief greifende Fachkenntnisse zu bedienen.

DDoS = DoS * x

"Angriffe auf TCP/IP (8) - Die Entwicklung der DDoS-Angriffe" vollständig lesen

Angriffe auf TCP/IP (7) - HTTP-Hijacking

Ziel des HTTP-Hijacking ist die Umleitung einer bestehenden Verbindung, um danach z.B. vertrauliche Daten wie z.B. Passwörter zu belauschen oder Ein- bzw. Ausgaben zu manipulieren. Der Angreifer hat dazu zwei Möglichkeiten: Entweder er gibt sich beim Verbindungsaufbau als der gewünschte Server aus oder er leitet die Verbindung durch das Einschleusen gefälschter HTTP-Response-Meldungen (z.B. der Statusmeldung 301, "Moved Permanently") zu sich um.

Der Einfachheit halber beschreibe ich den Angriff im Folgenden am Beispiel des HTTPS-Hijackings. HTTP-Hijacking ist deutlich einfacher, da der Angreifer dann nur die Verbindung über seinen Rechner umleiten muss und nicht auch noch die HTTPS-Verbindung aufbrechen muss.

HTTPS-Hijacking

"Angriffe auf TCP/IP (7) - HTTP-Hijacking" vollständig lesen

Angriffe auf TCP/IP (5) - DNS-Spoofing

Wie bereits angekündigt geht es nun um das Hijacking von Protokollen der TCP/IP-Anwendungsschicht. Konkret: DNS-Spoofing.

Das DNS-Protokoll (Domain Name System) dient der Umwandlung von Domain-Namen in die entsprechende IP-Adresse und umgekehrt. Beim DNS-Spoofing wird dem Opfer eine falsche Antwort auf eine DNS-Anfrage untergeschoben.

DNS im Überblick

"Angriffe auf TCP/IP (5) - DNS-Spoofing" vollständig lesen

Angriffe auf TCP/IP (4) - ARP-Spoofing

Für das TCP-Hijacking muss der Angreifer den Netzwerkverkehr mindestens eines Opfers belauschen. Während dies bei über einen Hub verbundenen Rechnern sehr einfach war, ist es in den aktuellen geswitchten Netzwerken deutlich aufwendiger. Da ein Switch Eins-zu-Eins-Verbindungen herstellt, sieht ein unbeteiligter Rechner die Pakete einer fremden Verbindung nicht. Damit der Angreifer trotzdem die gewünschten Pakete empfangen kann, muss er sie zu sich umleiten. Dazu nutzt er eine Schwachstelle im Adress Resolution Protocol (ARP).

ARP - Adress Resolution Protocol

"Angriffe auf TCP/IP (4) - ARP-Spoofing" vollständig lesen

Angriffe auf TCP/IP (1) - Spoofing

Ab dieser Folge geht es um das Netzwerkprotokoll TCP/IP und mögliche Angriffe darauf. Das TCP/IP-Schichtenmodell und die verwendeten Pakete habe ich deshalb in der vorherigen Folge bereits erklärt.

Außer Schwachstellen in Implementierungen des TCP/IP-Stacks, z.B. Pufferüberläufen, die immer wieder einmal auftreten, gibt es einige Probleme in den Protokollen an sich. Die Ursache dafür ist, dass bei ihrem Entwurf einfach nicht an bösartige Netzteilnehmer gedacht wurde. Dies führt dazu, das verschiedene Arten von Angriffen möglich sind. Einige davon werden im Folgenden beschreiben. Die möglichen Angriffe umfassen

  • Spoofing, d.h. das Vortäuschen falscher Tatsachen
  • Hijacking, d.h. das Entführen bzw. Umleiten von TCP-Verbindungen
  • Denial of Service (DoS), d.h. die Verhinderung der Diensterbringung
  • Distributed Denial of Service (DDoS), d.h. ein DoS-Angriff, der von einer Vielzahl von Rechnern ausgeht

Spoofing

"Angriffe auf TCP/IP (1) - Spoofing" vollständig lesen

WLAN-Sicherheit 21 - Rogue Access Points, Teil 2: MANA

Der KARMA-Angriff eines Rogue Access Points, bei dem der AP sich gegenüber dem Client als dem bekanntes WLAN ausgibt funktioniert auch in der verbesserten Variante nur, wenn die Clients überhaupt nach Netzwerken suchen. Was wie schon erwähnt nicht mehr unbedingt der Fall ist. Wenn die Geräte dadurch aber nicht mehr verraten, mit welchen Netzwerken sie sich verbinden würden, erschwert das den KARMA-Angriff natürlich.

Aber dagegen kann man etwas machen:

Viel hilft viel

"WLAN-Sicherheit 21 - Rogue Access Points, Teil 2: MANA" vollständig lesen