Sitemap: Home | IRC-Infoleiste | IRC Module / Addons | IRC-Workshops | IRC Webchats | RFCs | IRCServices | Startseite def.|
|
- Schutzmaßnahmen (interner
Link wechselt die Seite) Das folgende Tutorial wird unverändert auf dieser Seite dargestellt
! 1.1 Übersicht Im Gegensatz zu einer einfachen Denial-of-Service-Attacke werden Distributed
Denial-of-Service-Attacken nicht nur über einen Angriffsrechner gefahren,
sondern gleichzeitig im Verbund mit mehreren Rechnern. Dies hat zur Folge,
dass es für die Betroffenen sehr aufwendig ist, festzustellen von
wo die Angriffe kommen. Schon seit den Anfängen des Internets existieren sogenannte "
Denial of Service " Attacken, deren Ziel es ist, die Verfügbarkeit
bestimmter Server und deren Dienste drastisch einzuschränken oder
sogar zu verunmöglichen. Mit der Kommerzialisierung- und der damit
zunehmenden Wichtigkeit des Internets begann auch die Anzahl der Attacken
stark zuzunehmen. Dieses Verhalten ist leicht feststellbar, indem man
auf dem Heimcomputer für einige Zeit einen Network Scanner (wie z.B
BlackICE Defender) laufen lässt und das Logfile etwas genauer anschaut. 1.2.1 Der Anfang im IRC (Internet Relay Chat) Ähnliche Attacken existieren schon seit einigen Jahren und findet
in den IRC Chat-Räumen (IRC = Internet Relay Chat) ihren Anfang.
Hacker versuchen in die PC's einzubrechen und diese dann für die
Attacken gegen Chat-Räume zu benutzen. Das IRC Protokoll ist deswegen
so interessant, weil die erste Person, die den Chat-Raum betritt automatisch
den Moderator-Status der Diskussion erhält. Ein Moderator kann andere
User hinauskicken oder ihnen den Moderator-Staus verleihen. Wie auch immer,
wenn nun der letzte Moderator den Chat-Raum verlässt, werden seine
Privilegien an einen normalen User weitergegeben. So versuchen die Hacker
alle rivalisierten Moderatoren von anderen Hacker Gangs aus dem Chat hinauszukicken,
damit sie den Chat kontrollieren können. Hacker Gangs liefern sich
richtige Kriege im Internet um diese Chat-Räume und ihre rivalisierten
Gangs zu überwachen. In diesen Chat Underground Kriegen benutzen
Hacker automatische Programme "Daemons" genannt (Eng. Kurzform
für Roboter) und versuchen diese auf möglichst vielen Computern
im Internet zu verteilen. Ein Typ von diesen "Daemons" versucht
nun automatisch in den Chat-Räumen eingeloggt zu bleiben, den Moderator-Status
zu erhalten und diesen Status an andere "Daemons" weiterzugeben.
Ein anderer Typ von "Daemons" versucht mittels DoS-Attacken
existierende Moderatoren von anderen Gangs zu stören, mit dem Ziel,
sie aus dem Chat zu schiessen. IRC-Daemons sind seit einigen Jahren erhältlich,
aber wirklich gute DoS-Daemons gibt es erst seit einigen Monaten. In der
Vergangenheit konnte mit einer einzigen DoS-Attacke (z.B Ping-of-Death)
ein Rechner zum Abstürzen gebracht werden, heutzutage sind die meisten
Rechner besser geschützt und die Schwachstellen behoben. Die Hacker mussten also zu einer neuen Methode greifen, das "Flooding"
war geboren. Beim "Flooding" werden nicht mehr die Rechner angegriffen,
sondern die Internet Verbindung der Rechner. In dieser Technik werden
eine hohe Anzahl von Pings an einen Rechner gesendet, bis dessen Verbindung
keinen anderen Verkehr mehr verarbeiten kann. Das grösste Problem
dieser Methode ist, dass der Angreifer eine schnellere Internet Verbindung
als das Opfer haben muss. Eine Möglichkeit um dieses Problem beheben
zu können, ist das Hacken von Rechnern mit sehr schnellen Internet
Verbindungen und diese zum Flooden von anderen Gangs zu benutzen. Nun
versuchten die Hacker Gangs die gehackten Rechner zu verbinden und mit
einem "Master" Programm zu steuern. Unbemerkt horchen die "Daemons"
nun auf den gehackten Servern bis sie vom "Master" den Befehl
"go" mit der Ziel IP-Adresse der kontrahierenden Gangs erhalten
und Flooden dann gemeinsam das Ziel. Die Hacker Gangs scannten immer grössere
Gebiete des Internets ab und suchten immer mehr Rechner zum Hacken für
ihre IRC- oder DoS Daemons. Die sogennanten "Verteilten Denial of
Service" (DDoS) Attacken waren erfunden. Nebst dem Cyberwar in den Chat-Räumen werden jetzt auch "grosse"
Internetseiten angegriffen. Ein neuer Trend in Denial-of-Service Angriffen
wird seit Mitte 1999 beobachtet und hat Anfang 2000 (Februar) bei Angriffen
auf Firmen wie Yahoo, eBay, Buy.com, Amazon, E-Trade, CNN und MSN für
internationales Aufsehen gesorgt. Diese Attacken haben der E-Commerce-Branche
definitiv das Fürchten gelehrt. Die Tatsache, dass bei den Angriffen zum Teil Systeme mit enormen Bandbreiten
(wie z.B Teilnehmer am Internet-2 mit über 100Mbps) beteiligt sein
können und die Kommunikation der an den DDoS-Attacken beteiligten
Rechnern (Agenten und Händler) bereits verschlüsselt verläuft
(z.B CAST Algorithmus, 64Bit), spitzt die Angelegenheit nochmals zu. Auf der anderen Seite haben die Systemadministratoren viel dazu gelernt,
so ist es viel schwieriger geworden in die grossen Internetserver einzudringen
und die entsprechenden DdoS-Agenten und -Händler zu installieren.
Ausserdem werden in den Routern Filter eingesetzt, damit IP-Spoofing nicht
mehr möglich wird, oder zumindest auf das darunterliegende Netz eingeschränkt
wird. Mit dem Aufkommen der Breitband-Anschlüsse für die grosse Masse
mittels Kabel Modem und XDSL Anschlüssen steht der Internetgemeinde
ein noch grösseres Problem bevor. Bei den meisten ungeschützen
Computern von Privatanwendern ist es ein leichtes einen Agenten für
eine DDoS-Attacke zu installieren. DoS-Attacken sind Angriffe, welche zum Ziel haben, den betroffenen Host
lahm zu legen. Ein Rechner kann auf verschiedene Arten unerreichbar gemacht
werden. Man bombardiert ihn mit Paketen, die seine Ressourcen völlig
ausschöpfen und ihn sogar zum Absturz bringen können. Die Ressourcen
eines Rechners sind die Prozessorleistung, Arbeitsspeicher oder die Bandbreite
der Netzwerkanbindung. Bei einem solchen Angriff ist der Host so stark
ausgelastet, dass es ihm nicht mehr möglich ist, seinen eigentlichen
Aufgaben nachzugehen. Einer der ältesten Denial of Service-Attacks ist das inzwischen
"klassische" Mail-Bombing. Hierzu wird ein Empfänger mit
einer Vielzahl von gleichlautenden eMails regelrecht bombadiert, so dass
das nächste Herunterladen der vorhandenen eMails zur Qual werden
dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Broadcast Storms gehören ebenfalls schon zur älteren Generation
von Denial of Service-Attacks. Sie richten besonders viel Schaden in lokalen
Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie
nur mangelhaft gewartet wird.
Smurf-Attacken gehören zur Gruppe der Broadcast Storms, arbeiten
aber auf eine etwas andere Weise. Bei einem Smurf Angriff sendet der Angreifer
sehr viele ICMP-Pakete (z.B. Ping-Anfragen) an die Broadcast-Adresse eines
Netzwerks, so dass dieses Paket von jedem Rechner innerhalb des Netzwerks
empfangen wird. Der Angreifer tarnt sich jedoch nicht mit seiner eigenen
oder einer nicht-existenten Adresse, sondern mit der Adresse des eigentlichen
Opfers. Die ICMP-Anfragen werden nun um die Anzahl der Rechner im Netzwerk
vervielfacht; das Netzwerk dient quasi als Sprungbrett. Ist das Netz korrekt
konfiguriert, werden die ICMP-Antworten am Router des Netzwerks abgeblockt
und gelangen nicht bis zum Rechner des Opfers. Erlaubt das Netz jedoch
solche ICMP-Broadcasts gegen aussen, werden die multiplizierten ICMP-Antworten
an das Opfer weitergeleitet. Dadurch können Angreifer mit geringer
Leitungskapazität (Modem, BA-ISDN) Opfer mit breitbandigen Anschlüssen
mit ICMP-Paketen überfluten. Die ICMP-Antworten belegen die gesamte
Leitungskapazität und die reguläre Datenkommunikation wird unterbunden.
Sehr häufig brechen auch die Server unter diesem Ansturm zusammen
und müssen vorübergehend vom Netz getrennt werden. Die Angreifer selbst sind nur sehr schwer zu identifizieren, da sie sich
als das Opfer tarnen (IP-Spoofing). Die einzige sichere Abwehr ist, die
Administratoren der als Sprungbrett dienenden Netzwerke über ihr
Sicherheitsloch zu informieren und zu überzeugen, ihre Netze korrekt
zu konfigurieren, um das Nach-Aussen-Leiten von Broadcastpings (ICMP)
zu unterbinden. Fraggle ist der Bruder von Smurf. Er funktioniert genau gleich, ausser
dass er UDP-Echo-Pakete anstatt ICMP-Echo-Pakete versendet. Diese Attacke nutzt den Handshake-Mechanismus beim Aufbau einer TCP-Verbindung
aus. Bevor eine Verbindung zwischen zwei Rechnern aufgebaut wird, sendet
der Absender ein spezielles TCP-Pakete an den Empfänger, um eine
Verbindung anzukündigen (SYN-Pakete, SYN = Synchronize). Der Empfänger
sendet dann ein Antwort-Paket (SYN/ACK-Paket, ACK = Acknowledgement =
Empfangsbestätigung) zurück an den Absender. Das SYN/ACK-Paket
muss vom Initiant mit einem ACK-Paket bestätigt werden damit der
Verbindungsaufbau komplett ist. Wenn der Absender eine falsche IP-Adresse
benutzt, wird das SYN-ACK-Paket ins Nirgendwo geschickt und das Opfer
sendet nach einem bestimmten Intervall die Quittung erneut, da er vom
Verlust der Daten ausgeht. Nach einer bestimmten Zeit wird der Verbindungsaufbau
abgebrochen. Während dieser Zeit wird Speicherplatz und Rechenleistung
benötigt. Führt nun ein Absender eine TCP Syn Flooding-Attacke
aus, sendet er nicht, wie vom Empfänger erwartet, ein ACK-Paket aus,
sondern bombardiert den Empfänger weiterhin mit SYN-Paketen. Der
Empfänger quittiert alle diese SYN-Pakete. Hier tritt nun der Fehler
bei entsprechend fehlerhaften TCP-Implementierungen auf, die bei einem
weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket
ein SYN/ACK-Paket verschickt, sondern auch für alle bisher empfangenen.
Wenn die gefälschte IP-Adresse des Angreifers dazu nicht existiert
, sendet der Router ein ICMP-Unreachable-Paket (Host/Netzwerk unerreichbar)
zurück. Auf diese Weise wird auf dem Empfänger-Netzwerk schnell
ein hoher Datenverkehr erzeugt und das Opfer ist nicht mehr erreichbar. 1.4.6 Large Packet-Attacks (Ping of Death) Ein besonders hinterhältiger Veteran der Denial of Service-Attacks
sind die Large Packet-Attacks, auch bekannt unter Ping of Death. Das Ping Flooding gehört zu den Denial of Service-Attacks, die keine
Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit
von anderen Hosts im Netz zu prüfen. Ein angepingter Host quittiert
hierzu einen Ping mit einer Echo-Antwort, einem Pong. quelle: http://www.netplanet.org/sicherheit/ Der amerikanische Modemhersteller Hayes hat Ende der Siebzigerjahre eine
einheitliche, zeilenorientierte und öffentliche Befehlssprache für
Modems entwickelt, welche die sogenannten AT-Befehle enthält. Durch
diese Befehle wird es möglich, dass jedes Modem angesprochen werden
kann, in welches diese einheitliche Sprache implementiert wurde. Heute
ist dies praktisch bei allen Modems der Fall, so dass jene Modems von
den Betriebssystemen und der Software einheitlich angesprochen werden
kann. Sobald sich ein Modem im Offline-Modus befindet, kann es über
AT-Befehle angesprochen werden. Findet ein Wechsel in den Online-Modus
statt, kann das Modem nicht mehr mittels der AT-Befehle angesprochen werden,
da es sich im Übertragungsmodus befindet. Dies kann verhindert werden,
indem man dem Modem die Zeichenkette des dreimaligen Drückens des
Escape-Zeichens sendet, welches als "+++" gekennzeichnet wird.
Dabei wird in den Kommandomodus gewechselt. Aus Sicherheitsgründen
muss zwischen diesem Umschaltkommando in den Kommandomodus und den ersten
AT-Befehl mindestens eine Pause von einer Sekunde vorhanden sein. Einige
Modemhersteller verzichten aus patentrechtlichen Gründen auf eine
solche Pause, so dass bei jenen Modellen der Umschaltbefehl in den Kommandomodus
und ein kompletter AT-Befehl direkt hintereinander eingegeben werden können.
Diese Voraussetzung eignet sich für einen gemeinen Angriff. Man schickt
an einen Empfänger über das Internet ein spezielles Ping-Paket,
welches zum Beispiel die Sequenz "+++ATH0" enthält, was
das Umschalten in den Kommandomodus und Beenden der Verbindung bedeutet.
Laut Ping-Protokoll antwortet der Rechner des Empfängers auf die
Ping-Anfrage mit der Spiegelung des Paketes. Kennt das Modem nun die oben
genannte Pause zwischen dem Umschalten und dem darauffolgenden AT-Paket
nicht, wird es den Paketinhalt des Antwort-Pings als abzuarbeitende Sequenz
interpretieren und die Verbindung trennen. quelle: http://www.computec.ch/mruef/texte/dos.html 1.5.1 Grundprinzip eines Angriffs Bevor ein Angreifer einen Distributed Denial of Service Angriff starten
kann, muss ein mehrstufiges Netzwerk aus sogenannten Master- und Daemonsystemen
aufgebaut werden. Client Eine Applikation die zum Initialisieren einer Attacke (beim Senden
von Befehlen zu anderen Komponenten) gebraucht werden kann Hinweis: Bei den verschiedenen DDoS-Tools werden die einzelnen beteiligten
Rechner nicht immer gleich bezeichnet. Wird dieser Verbindungsaufbau nicht nur einmal, sondern parallel sehr
häufig ausgeführt, führt dies dazu, dass der Rechner anderweitig
nicht mehr angesprochen werden kann.
Dieses Kapitel zeigt, wie das Netzwerk und der ganze DDoS Angriff aus
Master- und Daemonsystemen aufgebaut wird. Dieser Aufbau erfolgt im Vorfeld,
also bevor der eigentliche Angriff auf das Opfer erfolgt. Es ist möglich
, dass auf vielen Systemen solche Master oder Daemons "schlummern"
und erst nach einigen Wochen aktiviert werden und einen Angriff durchführen. Schritt 1: Account hacken Schritt 2: Scanning Schritt 3: Rechner angreifen Schritt 4: DDoS Netzwerkfestlegung Schritt 5: Automatische Installation Schritt 6: Masterinstallation Schritt 7: Der Angriff In der Beschreibung des Angriffsszenario wurde der Begriff Angriff nur
im Zusammenhang mit dem Aufbau des Angriffs gebraucht und hat keinen Zusammenhang
mit dem eigentlichen DDoS-Angriff.
Es existieren mittlerweile 6 Hauptbasen für Tools, die als Master-
und Daemonsysteme fungieren. Sie unterscheiden sich durch grössere
Änderungen in ihren Angriffsarten, ihrer Kommunikation oder andere
zusätzliche Funktionen. Darüber hinaus gibt es eine Vielzahl
weiterer Tools, die nur einige kleine Änderungen erhalten haben und
im wesentlichen einem dieser Basistools entsprechen. Es besteht zudem
die Möglichkeit, dass weitere neuartige Tools existieren, aber bisher
noch nicht gefunden worden sind. Wie viele Systeme es im Internet gibt
und wie viele schon verwendet wurden, lässt sich nur vermuten. In
den folgenden Kapitel werden die wirkungsvollsten Tools beschrieben. Der Angriff mit Trinoo erfolgt durch eine UDP-Flood-Attacke. Die Kommunikation
zwischen Angreifer und Master erfolgt über eine TCP-Verbindung mit
hoher Portnummer. Zwischen Master und Daemon, in beiden Richtungen, wird
über eine UDP-Verbindung kommuniziert. Die Portnummern können
leicht verändert werden und sind deshalb nicht immer gleich. Master
und Daemon sind über ein Passwort geschützt und verhindern so
die Übernahme durch andere. Das Passwort wird in Klartext übertragen
und es besteht die Möglichkeit, ein Paket mit dem Passwort abzuhören.
Dieser Nachteil wird bei anderen Tools durch verschlüsselte Passwortübertragung
abgeschafft. 1.6.2 Trible Flood Network (TFN) Mit TFN sind UDP-Flood-, TCP-SYN-Flood-, ICMP-Echo-Request- und ICMP-Broadcast-Storm-Attacken
(smurf) möglich. TFN verfügt auch über die Möglichkeit,
die IP-Adresse zu fälschen (IP-Spoofing). Die Kommunikation zwischen
Angreifer und Master kann über verschiedene Remote-Shells erfolgen
(TCP-, UDP-, oder ICMP-basierte Client/Server Shells). Zwischen Master
und Daemon erfolgt die Kommunikation nur über ICMP-Echo-Reply-Pakete.
Für den Master ist kein Passwort nötig, es braucht nur die Liste
der Daemons. TFN2K ist eine Erweiterung des TFN. Es wählt die Verbindungsart
automatisch aus und verschlüsselt sie mit einem CAST-256 Algorithmus.
Die Befehle werden hier nicht stringbasiert, sondern in der Form "+<id>+<data>"
übertragen. Id ist der Befehl und ein Byte lang. Data sind die zugehörigen
Parameter. quelle: http://packetstorm.securify.com/distributed/TFN2k_Analysis-1.3.txt Stacheldraht besitzt die gleichen Angriffsmöglichkeiten wie TFN.
Neu ist die verschlüsselte Kommunikationsverbindung. Somit ist ein
Session hijacking (Übernahme einer Verbindung) nicht mehr möglich.
Die Verbindung zwischen Angreifer und Master erfolgt über eine Telnet
ähnliche Verbindung, welche durch einen Passwortsatz gesichert und
verschlüsselt ist. Die Kommunikation zwischen Master und Daemon ist
mittels Blowfish (symmetrischer Verschlüsselungsalgorithmus) verschlüsselt.
Der Master kommuniziert mit dem Daemon über eine TCP-Verbindung,
im Gegensatz sendet der Daemon seine Nachrichten als ICMP-Echo-Reply-Pakete.
Zusätzlich können die Daemons automatisch aktualisiert werden.
quelle: http://www.etdv.ruhr-uni-bochum.de/dv/lehre/seminar/ Die Kommunikation ist bei Shaft gleich wie bei Trinoo. Angreifer zu Master
Kommunikation über TCP und Master zu Daemon Kommunikation und umgekehrt
über UDP. Der Angreifer kontaktiert den Master über einen Telnetclient
und loggt sich mit einem Passwort ein. Die Daten werden somit im Klartext
übertragen. Shaft kann UDP-, TCP- und ICMP-Attacken einzeln oder
in Kombination durchführen. Quelle: http://www.royans.net/insync/ddos/bugtraq_ddos3.shtml Die Kommunikation zwischen Master und Daemon erfolgt über UDP. Der
Angreifer meldet sich über TCP beim Master. Die Daten zwischen den
einzelnen Komponenten werden nicht verschlüsselt. Mstream verfügt
über TCP-SYN-Attacken, welche die Angriff-Ports jedesmal zufällig
auswählt. Quelle: http://packetstorm.securify.com/advisories/iss/iss.00-05-02.mstream 1.7 DDoS in Zahlen und Fakten Jahr Name Besonderheit
Land Newtear-Attacke Pong Puke Solaris Land - Attacke Solaris Telnet - Attacke Quelle der DOS-Attacken ist hierbei auch das Buch :
Bietet eine ähnliche Beschreibung zu dem Theme DDOS-Angriffe.
Internet Relay Chat IRC
Diese Seite wurde in 0.0320 Sekunden erstellt. |
TeamSpeak-Server
|
