Netzwerk-Grundlagen – Angriffserkennung, Teil 1

Eigenschaften von Netzwerk-Attacken wie DoS, XSS und Buffer Overflows

26.08.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die
Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die

Die Grundvoraussetzung für Netzwerk-Sicherheit ist, dass man Angriffe auf Ressourcen sowie Endgeräte erkennen und den Angreifer identifizieren kann. In diesem Beitrag befassen wir uns mit den Merkmalen und Eigenschaften der gängigsten Angriffsarten, darunter Denial of Service, Pufferüberlauf und Cross Site Scripting.

Bevor man Angriffen auf die IT- und Netzwerk-Infrastruktur begegnen kann, muss man verstehen, wie diese Attacken durchgeführt werden und welche Charakteristiken zur Erkennung genutzt werden können. Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unterschieden werden:

  • Automatisierte Angriffe (Viren, Würmer, Trojaner)
  • Toolbasierte Angriffe
  • Gezielte, intelligente, per Hand durchgeführte Angriffe

Automatisierte Angriffe

Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon ausgehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT-Systeme flächendeckend zu kompromittieren. Sind diese Sicherheitslücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht man häufig von Zero-Day-Attacken.

Die eigentliche Begriff des Zero Day Exploit kommt von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und der Verfügbarkeit eines funktionierenden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Sicherheitslücke bekannt ist und ob ein Patch für diese Sicherheitslücke exisitert, folgt ein Schadcode, der eine Sicherheitslücke automatisiert ausnutzen soll, zumeist einem bestimmten Schema:

Network Discovery und Zielidentifizierung (optional): Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet überprüft er, ob das Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkeiten, um diese Informationen zu erlangen, reicht vom stupiden Banner Grabbing bis zum intelligten TCP Fingerprint.

Kompromittierung des Zielsystems: Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt den eigentlichen Angriff dar. Da der durchgeführte Angriff auf eine Vielzahl unterschiedlicher Systeme auf unter Umständen unterschiedlichen Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr stupide und einfach zu erkennen.

Weiterverbreitung: Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten.

Automatisierte Angriffe können sowohl von Systemen, die mit Anomalie-Erkennung arbeiten, als auch von Signatur-basierenden Systemen erkannt werden.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046770 / Sicherheitslücken)