Inhaltsverzeichnis
Werbung
D.13 Firewall
Begriff Erklärung
Port-Scans
Ein Port-Scanner arbeitet prinzipiell so, dass er entweder versucht, eine
Verbindung zu einem Dienst aufzubauen (Connect Scan) oder um über die
Antwort auf ungültige Pakete (Stealth Scan), Informationen über die aktiven
Dienste auf einem Rechner zu erhalten.
FIN/URG/PSH-Attacken
Diese Scans verwenden Pakete mit gesetztem TCP FIN-Flag. Normalerweise
werden FIN-Pakete nur zum Abschluss einer Verbindung gesendet.
Wird ein FIN-Paket an einen geschlossenen TCP-Port gesendet, sollte dies
dem Ziel ein RST-Paket entlocken.
Xmas Tree-Attacken
Bei einem Xmas Tree-Angriff werden (fast) alle Flags gesetzt: FIN, URG,
PUSH. Dabei wird keine Verbindung aufgebaut, sondern das Verhalten der
Folgepakete untersucht. Ist ein Port offen, werden die Folgepakete ignoriert,
da sie nicht zur offenen Verbindung gehören.
Bei einem geschlossenen Port sollte ein RST-Paket zurückgeschickt werden.
Null Scan-Attacken
Ein Null Scan-Angriff ist das Gegenteil eines Xmas Tree-Angriff. Es werden
keine Flags gesetzt.
SYN/RST-Attacken
Bei einem SYN/RST-Angriff wird die TCP-Verbindung nicht vollständig
geöffnet. Man spricht daher auch von einer „halb-offenen" Verbindung.
Es wird ein SYN-Paket geschickt, ganz so, als würde eine richtige Verbindung
geöffnet werden. Wird als Antwort ein SYN/ACK-Paket zurückgeschickt, so
„lauscht" auf dem Port ein Serverdienst. Kommt dagegen als Antwort ein
RST-Paket zurück, ist der Port geschlossen.
Wird beim Angriff festgestellt, dass auf dem Port ein Serverdienst „lauscht",
wird sofort ein RST-Paket geschickt, um die im Aufbau befindliche Verbin-
dung zu beenden.
Grund: Ein solcher Verbindungsversuch wird von den meisten Servern nicht
geloggt und daher nur schwer erkannt.
SYN/FIN-Attacken
Bei einem SYN/FIN-Angriff wird ein Paket mit gesetztem FIN-Bit an einen
Port geschickt. Ist der Port geschlossen, sendet der Host ein RST-Paket
zurück.
237
Werbung
Inhaltsverzeichnis
