Netzwerk-Grundlagen – Angriffserkennung, Teil 1

Eigenschaften von Netzwerk-Attacken wie DoS, XSS und Buffer Overflows

Seite: 3/4

Firma zum Thema

Gezielte Angriffe

Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge sauber geschlossen werden.

Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde).

Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten um seinen Angriff zu verschleiern, stellen diese fokusierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar.

Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und verhindert werden können, folgend die Beschreibung dreier bekannter und weitverbreiteter Angriffsmuster.

1) Denial of Service (DoS)

Denial-of-Service-Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind DoS-Attacken jedoch oftmals „Vorboten“ eines Stack- oder Heap-basierenden Angriffs (Buffer-Overflow-Attacke zur Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen.

Beliebte Angriffsziele sind DHCP-Server, die zumeist über Broadcasts angesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP-Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access-Control-Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheitsgateway-Systeme installieren Updates über NFSMounts, die sie vom DHCP Server erhalten).

Inhalt

  • Seite 1: Automatisierte Angriffe
  • Seite 2: Framework-gestützte Angriffe
  • Seite 3: Gezielte Angriffe
  • Seite 4: Buffer Overflows und Cross Site Scripting

(ID:2046770)