Sicherheit
Denial of Service-Sicherung
TCP-SYN-FIN-Pakete: SYN-Pakete werden zum Herstellen einer neuen TCP-Verbindung gesendet.
•
TCP-FIN-Pakete werden zum Trennen einer Verbindung gesendet. In einem Paket sollte nie sowohl
das SYN- als auch das FIN-Flag gesetzt sein. Solche Pakete können einen Angriff auf das Gerät
bedeuten und sollten daher blockiert werden.
Ungültige Adressen: Ungültige Adressen sind nach Maßgabe des IP-Protokolls unzulässig. Weitere
•
Details finden Sie unter
ICMP-Angriff: Durch das Senden von ICMP-Paketen mit inkorrekter Form oder einer sehr großen
•
Anzahl von ICMP-Paketen an das betroffene Gerät kann ein Systemabsturz verursacht werden.
IP-Fragmentierung: Ungültige IP-Fragmente mit überlappenden und übergroßen Nutzlasten werden
•
an das Gerät gesendet. Dies kann bei verschiedenen Betriebssystemen zu Abstürzen führen, deren
Code zum Zusammensetzen von TCP/IP-Fragmenten fehlerhaft ist. Windows 3.1x, Windows 95 und
Windows NT sowie Linux-Betriebssysteme bis zu den Versionen 2.0.32 und 2.1.63 sind für solche
Angriffe anfällig.
Stacheldraht-Distribution: Der Angreifer stellt mithilfe eines Client-Programms Verbindungen mit
•
kompromittierten Systemen (Handlern) her, über die auf Zombie-Agenten Befehle ausgeführt
werden, um den DoS-Angriff einzuleiten. Die Agenten werden über die Handler durch den Angreifer
kompromittiert.
Dabei werden durch automatisierte Routinen Schwachstellen in Programmen ausgenutzt, die
Remoteverbindungen auf den Remote-Hosts zulassen, die Ziel des Angriffs sind. Jeder Handler kann
bis zu eintausend Agenten kontrollieren.
Invasor-Trojaner: Mithilfe eines Trojaners kann der Angreifer einen Zombie-Agent herunterladen
•
(sofern dieser nicht bereits im Trojaner selbst enthalten ist). Außerdem können Angreifer mithilfe
automatisierter Tools in Systeme eindringen. Dabei nutzen diese Tools Fehler in Programmen aus, die
Verbindungen von Remote-Hosts abhören. Von diesem Szenario sind in erster Linie Geräte betroffen,
die als Server im Internet fungieren.
Back Orifice-Trojaner: Dies ist eine Variante eines Trojaners, der Systeme über die Software „Back
•
Orifice" infiziert.
Schutz vor DoS-Angriffen
Mithilfe der Funktion DoS-Prävention kann der Systemadministrator solche Angriffe wie folgt abwehren:
•
TCP-SYN-Schutz aktivieren. Wenn diese Funktion aktiviert ist, wird jeder ermittelte SYN-Paketangriff
gemeldet und der angegriffene Port kann vorübergehend heruntergefahren werden. Ein SYN-Angriff
wird ermittelt, wenn die Anzahl der SYN-Pakete pro Sekunde einen vom Benutzer konfigurierten
Schwellenwert überschreitet.
•
SYN-FIN-Pakete blockieren.
Administratorhandbuch für Stackable Managed Switches der Serie 500 von Cisco Small Business
Ungültige
Adressen.
22
434