Netzwerk-Grundlagen – Angriffserkennung, Teil 1

Eigenschaften von Netzwerk-Attacken wie DoS, XSS und Buffer Overflows

26.08.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die
Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die

Gezielte Angriffe

Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge sauber geschlossen werden.

Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde).

Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten um seinen Angriff zu verschleiern, stellen diese fokusierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar.

Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und verhindert werden können, folgend die Beschreibung dreier bekannter und weitverbreiteter Angriffsmuster.

1) Denial of Service (DoS)

Denial-of-Service-Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind DoS-Attacken jedoch oftmals „Vorboten“ eines Stack- oder Heap-basierenden Angriffs (Buffer-Overflow-Attacke zur Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen.

Beliebte Angriffsziele sind DHCP-Server, die zumeist über Broadcasts angesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP-Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access-Control-Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheitsgateway-Systeme installieren Updates über NFS Mounts, die sie vom DHCP Server erhalten).

Inhalt

 

Über Enterasys Networks

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046770 / Sicherheitslücken)