Inhaltsverzeichnis
Werbung
Referenzhandbuch
8 Firewall
SYN Flooding
Beim SYN-Flooding schickt der Angreifer in kurzen zeitlichen Abständen TCP-Pakete, mit gesetztem SYN-Flag und sich
ständig ändernden Quell-Ports auf offene Ports seines Opfers. Der angegriffene Rechner richtet darauf hin eine
TCP-Verbindung ein, sendet dem Angreifer ein Paket mit gesetzten SYN- und ACK-Flags und wartet nun vergeblich auf
die Bestätigung des Verbindungsaufbaus. Dadurch bleiben dann hunderte "halboffener" TCP-Verbindungen zurück, und
verbrauchen Ressourcen (z. B. Speicher) des angegriffenen Rechners. Das ganze kann letztendlich so weit gehen, dass
das Opfer keine TCP-Verbindung mehr annehmen kann oder gar aufgrund von Speichermangel abstürzt.
Als Gegenmaßnahme in einer Firewall hilft nur, die Anzahl "halboffener" TCP-Verbindungen, die zwischen zwei Rechnern
bestehen zu überwachen und zu beschränken, d.h. falls weitere TCP-Verbindungen zwischen diesen Rechnern aufgebaut
werden, dann müssen diese von der Firewall abgeblockt werden.
Smurf
Der Smurf-Angriff arbeitet zweistufig und legt gleich zwei Netze lahm. Im ersten Schritt wird mit gefälschter
Absenderadresse ein Ping (ICMP Echo-Request) an die Broadcastadresse des ersten Netzes gesendet, worauf alle Rechner
in diesem Netz mit einem ICMP-Echo-Reply und die gefälschte Absenderadresse (die im zweiten Netz liegt) antworten.
Wenn die Rate der einkommenden Echo-Requests sowie die Anzahl der antwortenden Rechner hoch genug ist, dann
wird zum einen der gesamte einkommende Traffic des zweiten Netzes für die Dauer der Attacke blockiert, zum anderen
kann der Besitzer der gefälschten Adresse für die Dauer der Attacke keine normalen Daten mehr annehmen. Ist die
gefälschte Absenderadresse die Broadcastadresse des zweiten Netzes, so sind sogar alle Rechner in diesem Netz blockiert.
In diesem Fall blockiert die DoS-Erkennung des Gerätes das Weiterleiten von Paketen, die an die lokale Broadcastadresse
gerichtet sind.
LAND
Beim LAND-Angriff handelt es sich um ein TCP-Paket, dass mit gesetztem SYN-Flag und gefälschter Absender-Adresse
an den Opferrechner geschickt wird. Das Pikante dabei ist, dass die gefälschte Absenderadresse gleich der Adresse des
Opfers ist. Bei einer unglücklichen Implementierung des TCP wird das auf dieses Paket gesendete SYN-ACK vom Opfer
wieder als "SYN" interpretiert und ein neues SYN-ACK gesendet. Dies führt zu einer Endlosschleife, die den Rechner
einfrieren lässt.
Bei einer neueren Variante wird als Absenderadresse des Pakets nicht die Adresse des angegriffenen Rechners eingesetzt,
sondern die Loopback-Adresse "127.0.0.1". Sinn dieser Täuschung ist es, Personal Firewalls zu überlisten, die zwar auf
die klassische Variante (Absenderadresse = Zieladresse) reagieren, die neue Form aber ungehindert durchlassen. Diese
Form wird vom Gerät ebenfalls erkannt und geblockt.
Ping of Death
Der Ping of Death gehört zu den Angriffen, die Fehler bei der Reassemblierung von fragmentierten Paketen ausnutzen.
Dies funktioniert wie folgt:
Im IP-Header befindet sich das Feld "Fragment-Offset" das angibt, an welcher Stelle das empfangene Fragment in das
IP-Paket eingebaut werden soll. Dieses Feld hat eine Länge von 13 Bit und gibt die Einfügeposition in jeweils 8 Byte
grossen Schritten an. Die Einfügeposition kann daher zwischen 0 und 65528 Bytes liegen. Bei einer MTU auf dem Ethernet
von 1500 Bytes kann somit ein bis zu 65528 + 1500 - 20 = 67008 Byte großes IP-Paket erzeugt werden, was zu Überläufen
von internen Zählern führen oder gar Pufferüberläufe provozieren kann und es somit dem Angreifer gar die Möglichkeit
eröffnet, eigenen Code auf dem Opferrechner auszuführen.
Hier bieten sich der Firewall zwei Möglichkeiten: Entweder, die Firewall re-assembliert das gesamte einkommende Paket
und prüft dessen Integrität, oder aber es wird nur das Fragment, das über die maximale Paketgröße hinaus geht,
verworfen. Im ersten Fall kann die Firewall bei einer fehlerhaften Implementation selbst zum Opfer werden, im zweiten
Fall sammeln sich beim Opfer "halb" reassemblierte Pakete an, die erst nach einer gewissen Zeit verworfen werden,
wodurch sich ein neuer Denial-Of-Service Angriff ergeben kann, wenn dem Opfer dadurch der Speicher ausgeht.
511
Werbung
Inhaltsverzeichnis
