IP-Traceback. Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002

Größe: px
Ab Seite anzeigen:

Download "IP-Traceback. Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002"

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Lehrstuhl für Informatik IV Prof. Dr. rer. nat. Otto Spaniol IP-Traceback Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002 Askin Kirmizi Matrikelnummer: Betreuung: Ralf Wienzek Lehrstuhl für Informatik IV, RWTH Aachen

2 Inhaltsverzeichnis 1 Einleitung 3 2 Grundlagen Internet Protokoll (IP) Transmission Control Protokoll (TCP) User Datagram Protokol (UDP) Angriffe 6 4 IP-Traceback-Ansätze Router Stamping Ingress Filtering Link Testing Logging ICMP Traceback Fragment Marking Scheme (FMS) Advanced Marking Scheme Zusammenfassung 19 2

3 1 Einleitung Der Einsatzbereich des Computers und des Internets ist sehr vielseitig, sodass sie in der heutigen Zeit nicht mehr wegzudenken sind. Durch die kommerzielle Nutzung des Internets ist die ständige Verfügbarkeit von Diensten wichtig. Denial-of-Service (DoS) Angriffe, deren primäres Ziel eine Gefährdung der Verfügbarkeit ist, stellen daher ein ernst zu nehmendes Problem dar. In den neunziger Jahren setzte sich das Internet Protokoll (IP) als Standardprotokoll durch und gewann immer mehr an Bedeutung. Obwohl sich IP seit seiner Einführung gut bewährt und andere Protokolle wie SNA, IPX oder Appletalk verdrängt hat, besitzt es eine Reihe von Mängeln, wie z. B der zu kleine Adressraum und das Fehlen praktikabler Verschlüsselungs- und Authentifizierungsmechanismen [5]. Durch die Einführung der neuen IP-Version (IPv6) könnte ein Teil der Probleme zwar gelöst werden, doch wird in fast allen heute verwendeten Datennetzen das ältere IPv4 verwendet. Teilweise konnten durch Hersteller von Routern und Firewallsystemen die Sicherheitslücken geschlossen werden, allerdings besteht noch eine Vielzahl von Problemen. Neben den systemimmanenten Problemen liegt die Ursache eines Großteils von Einbrüchen in der fehlerhaften Konfiguration von Computersystemen, Routern und Firewalls wie z.b. lückenhafte Portfilterkonfigurationen oder aktive ICMP-Optionen. Ein großes Problem von IP ist die Möglichkeit des Verfälschens der Absenderadresse. Da diese Tatsache bei einem Denial-of-Service-Angriff häufig ausgenutzt wird, um die Quelle des Angriffs zu verschleiern, ist es umso schwieriger Gegenmaßnahmen zu ergreifen. Um den Angreifer aber zu identifizieren und den Angriff zu unterbinden, genügt es daher nicht, sich auf die in den Paketen eingetragenen Absenderadressen zu verlassen, sondern die Pakete müssen zu ihrer wahren Quelle zurückverfolgt werden. Im Falle einer Distributed-Denial-of-Service-Attacke (DDoS-Attacke), bei der im Gegensatz zu einer einfachen DoS-Attacke der Angriff nicht nur über einen Angriffsrechner ausgeführt wird, sondern gleichzeitig im Verbund mit mehreren Rechnern, ist das effiziente Unterbinden des Angriffs noch schwieriger, da jede einzelne Quelle ermittelt werden muss. Das Problem des Zurückverfolgens von Paketen mit (potenziell) gefälschten Absenderadressen wird das Traceback-Problem genannt. Da die meisten Angreifer sehr vorsichtig sind und keine Spuren hinterlassen wollen, ist es häufig schwierig, den Angreifer zu lokalisieren. Das Ziel besteht darin, den Angreifer zu finden und den Angriff möglichst schnell und so nah am Angreifer wie möglich zu unterbinden. 3

4 2 Grundlagen Abbildung 1: IP-Header In diesem Abschnitt sollen die für DoS-Angriffe im Internet relevanten Protokolle dargestellt und erläutert werden [10]. 2.1 Internet Protokoll (IP) IP-Pakete (Datagramme) bestehen aus einem Header- (Kopf) und einem Textteil. Der Header hat einen festen, 20 Byte großen und einen optionalen Teil mit variabler Länge (siehe Abbildung 1). Das Version-Feld enthält die Version des IP-Protokolls, zu dem das Datagramm gehört (derzeit 4 oder 6). Da die Header-Länge nicht konstant ist, wird das Length-Feld bereitgestellt. In diesem Feld wird die Header-Länge in 32-Bit-Worten angegeben. Der Mindestwert ist fünf, für den Fall, dass keine Optionen vorhanden sind. Der Höchstwert dieses 4-Bit-Feldes ist 15, was dazu führt, dass der Header auf 60 Byte und das Options-Feld somit auf 40 Byte begrenzt sind. Anhand des Feldes Type of Service (TOS) kann der Host bekannt geben, welcher Dienst gewünscht wird. Total Length beinhaltet die Länge des gesamten Pakets, also Header und Daten (maximal Byte). 4

5 Das Identification-Feld ist erforderlich, um im Falle einer Fragmentierung feststellen zu können, zu welchem Datagramm ein neu ankommendes Fragment gehört. Alle Fragmente eines fragmentierten Dataqgramms erhalten den gleichen Identification-Wert. Danach folgt ein unbenutztes Bit und zwei 1-Bit-Felder Don t Fragment (DF) und More Fragments (MF). Ein Datenpaket mit gesetztem DF-Bit darf nicht fragmentiert werden, da es sonst vom Ziel nicht zusammengesetzt werden kann. Ist das MF-Bit gesetzt, kommen noch weitere Datenpakete mit Fragmenten desselben IP-Pakets. Das Fragment Offset-Feld dient zum Zusammensetzen des Gesamtpakets aus IP-Fragmenten. Der Fragment Offset multipliziert mit 8 ergibt die Position der Daten relativ zum Beginn des Datenpakets. Das Time to Live (TTL) Feld gibt die Lebensdauer des Pakets in Sekunden an (maximal 255). Sie wird von jedem System, welches das Paket bearbeitet, um die Zeit verringert, die zur Bearbeitung benötigt wurde. Wenn das TTL-Feld den Wert 0 erreicht hat, wird das Datenpaket verworfen. Das Protocol-Feld gibt an, welches Protokoll im Daten-Teil des IP-Pakets transportiert wird. TCP, UDP und ICMP sind die üblichsten Protokolle. Die Header Checksum dient zur Fehlererkennung im IP-Header. Jeder Router muss die Checksumme neu berechnen, da er das TTL-Feld ändern muss. Die Felder Source-Address und Destination-Address beinhalten die Adresse des Senders und Empfängers. Über das Options-Feld werden einige Sonderfunktionen wie Source-Routing und Timestamping realisiert. Das Options-Feld hat keine feste Länge, sodass auch der IP-Header als ganzes keine feste Länge hat. Da das Options-Feld keine feste Länge hat, die Länge des IP-Headers aber immer ein Vielfaches von 32 Bit sein muss, dient das Padding dazu, bei Bedarf auf eine korrekte Länge aufzufüllen. 2.2 Transmission Control Protokoll (TCP) TCP ist ein zuverlässiges und verbindungsorientiertes Protokoll, das einen Bytestrom fehlerfrei von einer Maschine zu einer anderen überträgt. Am Ziel werden diese Nachrichten wieder zu einem Ausgabestrom zusammengesetzt. Bevor Daten ausgetauscht werden können, muss zunächst eine Verbindung zwischen den Kommunikationspartnern aufgebaut werden. Die geschieht in der Regel durch den so genannten 3-Way-Handshake (siehe Abbildung 2): 1. Ein Client sendet ein SYN-Paket an den Server, um zu signalisieren, dass eine Verbindung aufgebaut werden soll. 5

6 2. Der Server antwortet mit einem SYN/ACK-Paket, das einerseits den Wunsch des Clients bestätigt und andererseits die Verbindung in Gegenrichtung aufbauen soll. 3. Der Client bestätigt mit einem ACK-Paket. Damit ist eine bidirektionale Verbindung zwischen dem Client und dem Server aufgebaut und es kann mit der eigentlichen Datenübertragung begonnen werden. Abbildung 2: 3-Way-Handshake 2.3 User Datagram Protokol (UDP) UDP ist im Gegensatz zu TCP ein unzuverlässiges und verbindungsloses Protokoll, das vorwiegend für einmalige Abfragen und Anwendungen in Client/Server-Umgebungen benutzt wird. Bei diesem Protokolltyp ist die Schnelligkeit wichtiger als die fehlerfreie Übertragung. Es wird beispielsweise für die Übertragung von Video und Sprache eingesetzt. UDP bietet neben einer Erweiterung der Adressierung und einer Prüfsumme für die Daten keine weiteren Dienste im Vergleich zu IP. 3 Angriffe In Kommunikationsnetzen gibt es eine Vielzahl von möglichen Angriffen. Diese lassen sich jedoch in drei Kategorien einteilen [6]: 6

7 Angriffe gegen die Vertraulichkeit, d.h. ein Angreifer versucht, Informationen einzusehen, für die er nicht autorisiert ist, indem er beispielsweise eine falsche Identität vortäuscht. Angriffe gegen die Integrität, d.h. der Angreifer versucht, unbemerkt fremde Daten zu manipulieren Angriffe gegen die Verfügbarkeit, d.h. der Angreifer versucht, autorisierten Nutzern am in Anspruch nehmen von Diensten zu hindern. Denial-of-Service bedeutet etwas unzugänglich zu machen, oder außer Betrieb setzen. Daher sind DoS-Angriffe im Allgemeinen Angriffe gegen die Verfügbarkeit. Diese Angriffe nutzen Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus. Abbildung 3: SYN-Flood: Der Angreifer überschwemmt das Opfer mit Verbindungsanfragen. Man unterscheidet bei DoS-Attacken zwischen zwei Arten: Angriffe gegen einen Host und Angriffe gegen ein Netzwerk. Bei dem Angriff auf einen Host wird versucht, begrenzte Ressourcen zu belegen, sodass das Opfer zur Erbringung eines Dienstes nicht mehr genügend Ressourcen zur Verfügung stehen hat. Als Beispiel eines solchen Angriffs soll hier SYN-Flood [7] genannt werden. Hierbei wird die Tatsache ausgenutzt, dass zur Verwaltung einer TCP-Verbindung Speicher reserviert werden muss. Es werden eine große Anzahl so genannter halboffener Verbindungen auf dem Server erzeugt, d.h. Verbindungen, bei denen der Server auf das dritte Paket des 3-Way-Handshake wartet. Hierzu sendet der Angreifer ein SYN-Paket an den Server und veranlasst einen 3-Way-Handshake. Der Server bestätigt mit einem SYN-ACK und wartet auf das ACK des Clients. Der Angreifer aber schickt das erwartetete ACK nicht, sondern schickt weitere Anfragen und belegt somit genügend Speicher, sodass der Dienst 7

8 nicht genutzt werden kann. Der Angreifer überschwemmt sozusagen das Opfer mit Verbindungsanfragen. Ist die Zahl der Anfragen hoch genug, nimmt der Server keine neuen Anfragen mehr an (siehe Abbildung 3). Die zweite Art von DoS-Angriffe richtet sich gegen Netzwerke. Das Ziel dieser Angriffe besteht darin, das Netzwerk mit zusätzlichem Verkehr so zu überlasten, dass normaler Verkehr blockiert wird. Beispiele für diese Art von Angriffen sind Smurf-Angriffe und UDP-Floods. Beim Smurf -Angriff sendet der Angreifer ein gefälschtes ICMP-Echo-Request mit der Absenderadresse des Opfers an eine IP Broadcast 1 -Adresse. Somit werden die beteiligten Rechner in dem Netzwerk auf die in dem Paket angegebene Adresse mit Echo-Replies antworten. Bei einer großen Anzahl an Rechnern im Netzwerk wird das Opfer mit Antworten überhäuft. Auch bei UDP-Flood wird eine gefälschte IP-Adresse verwendet, wobei hierbei veranlasst wird, dass zwei Systeme dauerhaft Daten austauschen und somit die Netzwerklast erhöhen. Erreicht wird dies z.b. durch das Verbinden des Chargen-Dienstes eines Systems mit dem Echo-Dienst eines zweiten Systems. Der Chargen-Dienst generiert für jedes Paket, das empfangen wird, Daten und schickt diese an den Absender. Am Echo-Dienst angelangt, werden die Pakete an den Sender zurück geschickt, wodurch ein potenziell unendlicher Datenaustausch entsteht. Der Angreifer initiiert dieses Verhalten z.b. dadurch, dass er ein Paket mit der gefälschten Absenderadresse eines Echo-Dienstes an einen Chargen-Dienst sendet. 4 IP-Traceback-Ansätze Dieses Kapitel beschreibt verschiedene Ansätze, die Quelle eines Denial-of-Service-Angriffes zu ermitteln, um den Angriff wirkungsvoll unterbinden zu können. Einige der Verfahren definieren hierzu neue Arten von Kontrollnachrichten, während andere versuchen, Informationen über den Pfad des Pakets in dem Paket selbst zu speichern, indem z.b. Teile des IP-Headers überschrieben werden. 4.1 Router Stamping Router Stamping ist nach [3] eine einfache und effektive Methode, um festzustellen, ob eine IP- Adresse manipuliert wurde. Es ist jedoch kein eigenständiges Verfahren, das einen DoS-Angriff zurückverfolgen kann. Der erste Ansatz ist Deterministic Router Stamping. Für ein ankommendes Paket schreibt jeder Router die IP-Adresse seines Vorgängers in das Options-Feld des Pakets. In Abbildung 4 ist eine mögliche Topologie dargestellt. Hierbei trägt die IP-Adresse von im erst möglichen Speicherbereich (Slots) und schickt das Paket weiter an. trägt die IP-Adresse von in den zweiten Slot ein und schickt das Paket nach, welcher wiederum die IP-Adresse von einträgt und es an weiterschickt. 1 gleichzeitiges senden von Paketen an alle Systeme eines Netzes, heißt Broadcasting 8

9 Abbildung 4: Deterministic Router Stamping Der Algorithmus für Deterministic Router Stamping am Router sieht wie folgt aus: fuer jedes ankommende Paket P trage in den naechstmoeglichen Slot die IP-Adresse des vorherigen Routers ein. schicke das Paket weiter In der Regel durchläuft ein Paket maximal 30 Router, bis es am Ziel angekommen ist. Würde man diesen Ansatz realisieren, müsste man den IP Header, um das Vierfache vergrößern, um alle IP- Adressen eintragen zu können. Auch wenn soviel Speicher zur Verfügung stehen würde, könnte ein Angreifer alle Einträge selbst generieren. Abbildung 5: Router Stamping Das Verfahren wird daher zum so genannten Router Stamping erweitert. Hierzu sei die Anzahl zur Verfügung stehender Slots und. sei die Wahrscheinlichkeit, dass ein Router ein ankommendes Paket stempelt, d.h. ist die Wahrscheinlichkeit für das Stempeln eines bestimmten Slots. Ein Router zieht für jedes Paket eine Zufallszahl und stempelt das Paket im Slot, falls "!#$% gilt. 9

10 fuer jedes bei R_i ankommende Paket x <- Zufallszahl zwischen 0 und 1 falls x < sp platziere Eintrag in Slot b schicke Paket weiter Ein Beispiel von Router Stamping wird in Abbildung 5 dargestellt. Wiederum werden Pakete von nach, über die Router bis gesendet. Für Paket 1 schreibt in Slot 1, dass es über Kanal 0 gekommen ist, entscheidet sich nicht zu schreiben und schreibt in Slot 0, dass es über Kanal 0 gekommen ist. Paket 2 benutzt zwar dieselbe Route, nur dass jetzt sowohl in Slot 0 schreibt als auch, d.h. überschreibt den Wert von. Ein drittes Paket geht durch &, bekommt aber vorerst einen Eintrag von in Slot 0 und von in Slot 1. Der Algorithmus für Router Stamping sieht folgendermaßen aus: Für das Implementieren von Router Stamping ist es erforderlich, den IP-Header zu erweitern. Dieses bewirkt aber, dass für das Versenden der gleichen Anzahl an Paketen, mehr Zeit in Anspruch genommen wird. Gemäß [3] würde dies bei einem Paket von 1500 Bytes, für das 40 Bytes mehr in Anspruch genommen werden, einen zusätzlichen Übertragungsaufwand von 2,7 Prozent betragen. Der Autor schlägt für eine erfolgreiche Abwehr gegen DoS-Angriffe weiter entwickelte Tools vor, die mit Router Stamping kombiniert werden sollten. Router Stamping ist ein reaktives Verfahren, d.h. es kommt erst dann zum Einsatz, nachdem der Angriff angefangen hat. Für Systemadministratoren ist es bei Anwendung dieses Verfahrens notwendig, eine Karte anzulegen, welche die Platzierungen der einzelnen Router deutlich macht. Für kleinere Netzwerke kann OSPF [5] benutzt werden. Falls die Angaben aber nicht ausreichend sind, muss die Karte z.b. mittels traceroute [4] vom Systemadministrator erweitert werden. Zur Identifizierung der Angriffsquelle kann beispielsweise der Simple Source Identification Algorithmus verwendet werden. Die Idee dieses Algorithmus ist, die wahrscheinlichen Quellen des Angriffs durch das Prüfen der empfangenen IP-Header festzustellen. Dabei wird nach Routern gesucht, die im Gegensatz zu ihren direkten Nachbarn sehr wenige Pakete gestempelt haben. fuer jeden Router R_i x<- Anzahl der Pakete mit Stempel R_i s y<- 0 Fuer jeden Nachbarn R_j von R_i y<- y + Anzahl der Router, die von R_i nach R_j gehen und von R_j gestempelt wurden Falls y>>x R_i ist wahrscheinlich die Quelle des Angriffs Ein Beispiel gegen einen SYN-Angriff würde wie folgt aussehen: Sei das Netzwerk wie in Abbildung 5 gegeben und sei das Opfer. Es werden eine hohe Anzahl an SYN-Anfragen gestellt, sodass z.b Verbindungen zustande kommen. Die Analyse der IP-Header der Pakete zeigt dann, dass 10

11 von 260 gestempelten Paketen 160 von und 100 von & erhalten hat. Des Weiteren sind 130 Pakete, die von erhalten wurden, von gestempelt und 95 Pakete von &. Zusätzlich wurden 200 Pakete, die von kamen von gestempelt. Durch Anwenden es Simple Source Identification Algorithmus, wird der Systemadministrator darauf schließen, dass genauso viele Pakete stempelte wie und & zusammen. Die Bedingung ')(* trifft daher nicht ein, also kann davon ausgegangen werden, dass die Quelle weiter vorne liegt. hat keine Pakete gestempelt, der Nachbar hat aber 200 Pakete, die er von erhalten hat, gestempelt +,--.(/10. Daraus kann wiederum durch Anwenden des Simple Source Identification Algorithmus gefolgert werden, dass wahrscheinlich Teil des Angriffs ist. Durch diese Erkenntnis könnten dann Filter näher an den Angreifer angebracht werden, wodurch weniger Pakete von unbeteiligten Routern gefiltert werden. Router Stamping kann nach [3] nicht für jedes Paket den Absender identifizieren, es bietet nur einen Weg mögliche Router zu finden, die eventuell für Angriffe benutzt werden. 4.2 Ingress Filtering Ingress Filtering [7] versucht, das Versenden von Paketen mit gefälschter Absenderadresse möglichst frühzeitig zu unterbinden. Hierbei werden Router so konfiguriert, dass unzulässige IP-Adressen nicht passieren können. Eine unzulässige Absender-Adresse wäre in diesem Fall eine IP-Adresse, die nicht zum jeweiligen Betreiber gehört bzw. nicht hinter dem Router liegen kann. Hiermit können, die durch DoS-Atacken entstehenden Probleme zwar nicht vollständig gelöst werden, jedoch wird das Verbergen des Angreifers erschwert. Ein Beispiel dazu ist z.b., dass IP-Adressen, die nicht in den Zuständigkeitsbereich eines Providers fallen, an dem Router gefiltert werden, sodass kein Rechner aus diesem Netzwerk eine IP-Adresse vortäuschen kann, die in diesem Netzwerk nicht vergeben ist. In dem Beispiel in Abbildung 6 wird beispielsweise die IP-Adresse von dem Router gefiltert, da nur IP-Adressen, die mit anfangen, passieren können. Abbildung 6: Provider filtert am Router zum Internet 11

12 4.3 Link Testing Beim Link Testing wird die Suche nach dem Ursprung des Angriffs an dem Router angesetzt, der dem Opfer am nächsten ist. Bei diesem Verfahren wird untersucht, auf welchem Link die Pakete eintreffen, damit der vorherige Router ermittelt werden kann. Diese Methode wird dann für alle beteiligten Router wiederholt und im Idealfall gelangt man bis zur Quelle. Damit diese Methode erfolgreich ist, muss der Angriff lange genug dauern und die Route aller Pakete muss gleich sein. In [7] werden mit Input Debugging und Controlled Flooding zwei Varianten von Link Testing beschrieben. 1. Input Debugging ist eine Methode, die in vielen Routern implementiert ist. Das Opfer muss zunächst erkennen, dass es angegriffen wird. Es wird dann automatisch eine Angriffssignatur erstellt, die das Opfer an seinen Netzwerkbetreiber schickt. Dort prüft der Netzwerkbetreiber auf dem Egress-Port (Ausgangsport), die ihm übermittelte Signatur. Sobald diese verifiziert ist, wird nach dem zugehörigen Ingress-Port (Eingangsport) gesucht und der nächste Router, der den Angriff überträgt, wird ermittelt. Dies wird rekursiv weitergeführt, bis der Angreifer lokalisiert oder der Zuständigkeitsbereich überschritten wird. Falls der Bereich des ersten Providers überschritten wird, muss dieser einen weiteren kontaktieren usw., womit der Aufwand wächst. Wenn dabei verschiedene Länder oder gar Kontinente überbrückt werden müssen, wird die Verfolgung schwieriger und kostenspieliger. 2. Controlled Flooding kommt ohne jegliche Hilfe von Netzwerkbetreibern aus, doch wird die Kenntnis der Netzwerktopologie benötigt. Die Idee bei diesem Verfahren ist es, dass das Opfer einzelne Links in Richtung Angreifer ebenfalls mit Paketen flutet, um zu prüfen, ob es zu Veränderungen des Angriffsstroms kommt. Falls es zu keiner Veränderung kommt, flutet es einen anderen Link. Ist ein Link gefunden, bei dem die Rate der ankommenden Angriffs-Pakete vermindert wurde, so wird dieser Pfad weiterverfolgt, indem weitere Links geflutet werden bis im Idealfall der Angreifer erreicht ist. Das Fluten geschieht mit Hilfe von (fremden) Rechnern, die beispielsweise den Chargen-Dienst anbieten. Allerdings ist das Controlled Flooding selbst eine Art DoS-Angriff, dessen Anwendung gut bedacht werden sollte [7]. 4.4 Logging Ein weiterer Ansatz ist das Logging, der sich von den vorherigen Ansätzen u.a. dadurch unterscheidet, dass er auch lange nachdem der Angriff geendet hat, angewandt werden kann. Die Idee besteht darin, Pakete bzw. deren Header an allen Border-Routern 2 zu speichern. Anhand von Datenanalysetechniken lässt sich dann der Pfad, den die Pakete durch das Netz genommen haben, genau bestimmen. Die Ressourcenanforderung für dieses Verfahren ist jedoch sehr hoch, da bei DoS-Angriffen i.d.r. eine große Menge von Daten anfallen. 2 Verbindung zwischen Netzen 12

13 4.5 ICMP Traceback Das ICMP-Protokoll dient u.a. dazu, dem in einem Fehlerfall betroffenen Absender von IP-Paketen, das Auftreten von Netzwerkproblemen zu melden. Der Absender hat dann die Aufgabe, entsprechende Maßnahmen zu ergreifen. Allerdings werten Router oder Hosts solche Nachrichten häufig automatisch aus und führen entsprechende Rekonfigurationen durch. ICMP Traceback [1] ist ein automatisierter Ansatz, eine Lösung für das Traceback Problem zu finden. Eine neue ICMP Nachricht wird eingeführt, die mit Wahrscheinlichkeit, - für jedes Paket, an den Empfänger gesendet wird. Falls hinreichend viele ICMP-Messages von verschiedenen Routern in Pfadrichtung versendet werden, kann der Angriffspfad rekonstruiert werden. 4.6 Fragment Marking Scheme (FMS) Dieser Ansatz beschreibt ein Verfahren, das Pfadinformationen in die Datenpakete hineincodiert. Dazu wird in den Routern eine Markierungsfunktion benötigt, um die Informationen in die Pakete zu schreiben. Das Opfer dagegen benötigt eine Pfad-Rekonstruktionsfunktion, um die Informationen auswerten zu können. Um die Idee zu vermitteln, wird zunächst der einfachste Ansatz Node append erläutert. Hierbei hängt jeder beteiligte Router seine IP-Adresse an jedes ankommende Datenpaket. Somit kann das Opfer beim Empfang der Pakete, die genaue Route zurückverfolgen. Dieses Vorgehen ist nach [7] unangebracht, da die Entfernung (Anzahl der Hops) des Ziels im Voraus nicht bekannt ist und somit auch die erforderliche Länge in Datenpaketen unbekannt ist. Dieses Problem wäre auch nicht gelöst, wenn mehr Speicher reserviert werden würde (für maximal 255 Hops bei IPv4), denn der Angreifer könnte diese mit gefälschten Adressen füllen. Edge Sampling ist eine Erweiterung dieses Ansatzes. Es werden zwei statische Adress-Felder, das Start- und End-Feld, und ein Distance-Feld (Entfernung zum Opfer) benötigt. Jeder Router entscheidet mit Wahrscheinlichkeit, ob er markiert oder nicht. Falls ein Router markiert, schreibt er seine IP-Adresse in das Start-Feld und eine Null in das Distance-Feld. Wenn aber das Distance-Feld schon ein Vorgänger-Router markiert hat, fügt der nächste Router seine IP-Adresse in das End-Feld ein, wodurch eine Kanteninformation entsteht. Ein Router, der nicht markiert, erhöht den Eintrag im Distance-Feld um Eins. Das Distance-Feld im Paket gibt somit an, wie viele Hops (Anzahl der Router) überquert wurden. Markierungsprozedur bei jedem Router R: fuer jedes Paket w x <- Zufallszahl aus dem Bereich [0..1) falls x < p dann w.start <- R w.distance <- 0 13

14 sonst falls w.distance=0 dann w.end <- R erhoehe w.distance Weiterhin werden drei Techniken verwendet, um den benötigten Speicherplatz für die Beschreibung des Pfades zu reduzieren. Es werden die zu einer Kanteninformation gehörigen IP-Adressen durch XOR verknüpft, wodurch nur halb soviel Speicherplatz benötigt wird. Ein Router, der markiert, schreibt seine IP-Adresse a in das Paket. Der nächste Router b sieht, dass das Distance-Feld den Eintrag 0 beinhaltet, liest a aus und verknüpft ihn mit der eigenen IP-Adresse durch XOR und schreibt das Resultat 2)3 in das Paket. Das Resultat von XOR zwischen zwei benachbarten IP-Adressen wird Edge-Id genannt. Die Edge-Id, die beim Opfer ankommt, beinhaltet das XOR-Ergebnis von zwei benachbarten Routern. Nach einer. gewissen Zeit kommen beim Opfer Pakete mit folgenden Edge-Ids an: 4, 5 364, 365 und 273 Angefangen beim nächsten Router, wird #410 5 berechnet und somit der vorletzte Router c ermittelt. Diese Berechnung wird dann Router für Router weiter ausgeführt, bis man beim ersten Router angekommen ist (Abbildung 7). Abbildung 7: XOR- Kodierung Die zweite Technik ist das Aufteilen der Edge-Id in k nicht überlappende Bereiche. Falls ein Router also markieren will, wählt er zufällig einen dieser k Teile und schreibt ihn in das Paket. Zusätzlich zu dieser Information muss noch übertragen werden, welcher Teil in das Paket geschrieben wurde. Der = dadurch entstehende zusätzliche Speicherbedarf ist + : ; < 0. Durch den Empfang genügend vieler Pakete ist das Opfer in der Lage, die vollständige Information zu rekonstruieren. Da Edge-Id Fragmente im Gegensatz zu IP-Adressen nicht eindeutig sind, kann es nicht ausgeschlossen werden, dass Werte von verschiedenen Edge-Id s gleich sind. Weiterhin könnten auch gleiche Edge-Id s ankommen, falls es mehrere Angreifer gibt. 14

15 Aus diesem Grund wird die Technik weiter verbessert, indem ein Hash-Wert der IP-Adresse gebildet wird. Dieser wird dann zusammen mit der IP-Adresse übertragen. Um die Möglichkeit auszuschließen, dass eine falsche Edge-Id gebildet wird, wird die IP-Adresse zusammen mit dem Hash-Wert zu dem so genannten BitInterleave zusammengesetzt. D.h. die Bits der IP-Adresse werden an geraden und die Bits des Hash-Wertes an ungeraden Stellen geschrieben, sodass BitInterleave einen Speicher von 64 Bit benötigt (siehe Abbildung 8). BitInterleave wird in k nicht überlappende Fragmente aufgeteilt und jeder Router, der markiert, nimmt zufällig eines der k Fragmente und das Offset (Position des Fragments) und schreibt diese mit dem Distance-Wert in das Paket. Abbildung 8: IP-Adresse und Hash-Wert werden zum BitInterleave zusammengesetzt und in k Fragmente aufgeteilt Das Fragment Marking Scheme (FMS) kombiniert diese drei Techniken zu folgendem Markierungs- Algorithmus: R <- BitInterleave(R,Hash(R)) k <- Anzahl der nicht ueberlappenden Fragmente in R fuer jedes Paket P x <- Zufallszahl aus dem Bereich [0..1) falls x < p dann o <- Zufallszahl aus dem Bereich [0..k-1] f <- Fragment von R, das an der Stelle o steht P.frag <- f P.distance <- 0 P.offset <- o sonst falls w.distance=0 dann f <- Fragment von R, das an der Stelle P.offset steht P.frag <- f XOR w.frag P.distance <- P.distance+1 Bevor das oben beschriebene Verfahren zur Rekonstruktion des Pfades (Abbildung 7) angewendet werden kann, müssen zunächst die Pfadinformationen aus den ankommenden Fragmenten zusammengesetzt werden. Dies geschieht durch Ausprobieren sämtlicher Möglichkeiten, = Fragmente der 15

16 & Abbildung 9: Test von k Fragmenten gleichen Distanz so zu kombinieren, dass eine Adresse extrahiert werden kann (Abbildung 9. Für eine detaillierte Beschreibung des Algorithmus sei auf [7]. 4.7 Advanced Marking Scheme Abbildung 10: Beispiel eines Angriffspfades Abbildung 10 zeigt einen gerichteten azyklischen Graphen (directed acyclic graph, DAG) mit dessen Hilfe man die Angriffspfade graphisch darstellen kann. Der Graph zeigt einen verteilten Angriff, bei dem > und > beteiligt sind und? das Opfer darstellt. stellen Router dar. Alle > im Graphen 16

17 seien potenzielle Angreifer. Die Angriffspfade der > werden als geordnete Listen von Routern zwischen > und? dargestellt. Die gestrichelten Linien beispielsweise stellen beide Angriffspfade & A und werden mit + 0 und + 0 beschrieben. Die Entfernung zwischen und? in dem Graphen ist die Anzahl der Router zwischen und?. Z.B ist die Entfernung im & und? 3, da der Pfad + 0 die Länge 3 besitzt. Ein Router wird False Negative genannt, falls er im tatsächlichen Pfad liegt, aber nicht im rekonstruierten Pfad. Mit dem Advanced Marking Scheme (AMS) I [8] wird ein weiterer Ansatz, einen IP-Traceback auszuführen, vorgeschlagen. Der Autor bezieht sich dabei auf das von Savage [7] beschriebene Fragment Marking Scheme (FMS) (siehe Anschnitt 4.6) und zeigt, dass das FMS, bei der Zurückverfolgung, einen hohen Rechenaufwand für das Opfer hat. Dabei soll nach Aussagen des Autors bei einer Anzahl von nur 25 Angreifern der Rechenaufwand für die Pfadrekonstruktion auf mehrere Tage ansteigen und die Anzahl der False Positives 3 Tausend übersteigen. Weiterhin wird das Problem genannt, dass für die Beschreibung der Pfadinformation (Start-, End- und Distance-Feld) nur 16 Bit des IP- Identifikationsfeldes zur Verfügung stehen. In [7] wird vorgeschlagen, dass das IP-Adresspaar in 8 gleich große 8 Bit Fragmente aufgeteilt wird und für das Markieren nur eine der 8 Teile zufällig verwendet wird. Dieses Konzept funktioniert nach [8] bei einem einzelnen Angreifer gut, bei einem verteilten DoS (Distributed DoS, DDoS) Angriff entstehen jedoch Probleme, da eine große Anzahl von Vergleichen der IP-Fragmente bewältigt werden muss und die Zahl der False Positives stark ansteigt. Für AMS I wird im weiteren Verlauf vorausgesetzt, dass das Opfer die Netzwerktopologie (DAG) kennt. Es werden zwei 11 Bit große, unabhängige Hashwerte B und BDC verwendet. Das Markieren ist ähnlich zum FMS-Verfahren mit dem Unterschied, dass hierbei die Hashwerte mit XOR verknüpft in das Edge-Feld notiert werden (Abbildung 11). Das Edge-Feld beinhaltet auf diese Weise die Informationen von zwei aufeinanderfolgenden Routern. Der Grund für zwei unabhängige Hashwerte B und BEC ist, dass zwei Router im XOR-Ergebnis unterschieden werden müssen. Markierungsprozedur beim Router : fuer jedes Paket P x <- Zufallszahl im Bereich von [0..1) falls u<=q dann P.distance <- 0 P.edge <- h(r_i) sonst falls P.distance=0 dann P.edge <- P.edge XOR h (R_i) P.distance <- P.distance+1 In Abbildung 11 ist zu sehen, dass die 16 Bits, die im IP-Header das Identification-Feld repräsentieren, in zwei Teile aufgeteilt sind: 5 Bits für das Distance-Feld und 11 Bits für die Kanteninformation 3 Ein Router wird False Positive genannt, wenn dieser im rekonstruierten Angriffspfad vorkommt, in der tatsächlichen Angriffsroute aber nicht zu finden ist. 17

18 0 (Edge-Id). Dabei können mit 5 Bits, 32 Hops beschrieben werden, was für die meisten Internetpfade ausreichend ist. Abbildung 11: Advanced Marking Scheme 1 Beim Rekonstruieren nutzt das Opfer die Netzwerktopologie als Plan und fängt bei sich selbst an, zu rekonstruieren. Hierfür werden alle Edge-Felder, deren Distance-Felder gleich d sind, in F G notiert. Router mit der Distanz 0 (einen Hop entfernt), werden überprüft, ob B+ 0 mit den Edge-Feldern aus F H übereinstimmt. Die Router, die diese Bedingung erfüllen, werden in H geschrieben. Somit repräsentiert G, die Menge aller Router, die einen Abstand d zum Opfer haben. Für jede Kante aus F G I und jedes Element y aus EG, berechnet das Opfer J.3KBEC + '0. Anschließend prüft das Opfer, ob ein direkter Nachbar von ', B+ J erfüllt. Falls ein Router L gefunden ist, wird dieser in EG I geschrieben. Diese Schritte werden Hop für Hop fortgeführt und der Pfad rekonstruiert. Obwohl nach Aussagen des Autors AMS I in Bezug auf DDoS-Angriffe, viel effizienter und genauer als FMS ist, steigt die Zahl der False Positives bei mehr als 60 gleichzeitigen Angreifern an. Wenn mehrere Router den selben Abstand zum Opfer haben, ist man allein durch die Kenntnis des Hashwertes nicht in der Lage, Pakete korrekt zurückzuverfolgen. Mit Advanced Marking Scheme (AMS) II wird eine weitere Steuer-Größe eingeführt, mit deren Hilfe dieses Problem gelöst werden kann. Da man aber keinen weiteren Platz im IP-Identifikationsfeld hat, muss die Größe des Hashwertes verringert werden. Anstatt zweier Hash-Funktionen, werden nun eine Menge von Hash-Funktionen benutzt. Es wird ein Flag-Feld eingeführt, um anzuzeigen, welche Hash-Funktion zum Markieren benutzt wurde. Hierbei wird das Identification-Feld in drei Bereiche aufgeteilt, ein M Bit großes Flag-Feld (fid), P ein + NOM 0 Bit großes Edge-Feld und ein 5 Bit großes Distance-Feld. Als Beispiel wird M verwendet (siehe Abbildung 12). Das fid gibt an, welche Hash-Funktion verwendet werden soll. Ein Router, der markieren möchte, wählt eine S M Bit große Zufallszahl ', schreibt sie in das Flag-Feld und benutzt <E+ Q 'R 0, um seine IP-Adresse zu P Kodieren. Die weiteren Schritte sind wie unter AMS I. Eine Markierungsprozedur für M sieht folgendermaßen aus: fuer jedes Paket P x <- Zufallszahl aus dem Bereich [0,1) falls x<=p y <- Zufallszahl aus {0,1,...,7} 18

19 P.fID <- y P.distance <- 0 P.edge <- g({y,r_i}) sonst falls P.distance=0 dann P.edge <- P.edge XOR g ({P.fID,R_i}) P.distance <- P.distance+1 Abbildung 12: Advanced Marking Scheme II Das Rekonstruieren für AMS II, ist ähnlich wie unter AMS I, mit dem Unterschied, dass hierfür ein Threshold (Schwelle)-Schema benutzt wird. Bei dem m-threshold-schema, ist ein Knoten erst dann im Angriffspfad enthalten, wenn mehr als T Hash-Werte der,-u Hash-Funktionen mit den Markierungen in den Angriffspaketen übereinstimmen. Das Advanced Marking Scheme II ist gemäß [8] effizient gegen DDoS Angriffen von mehr als 1000 gleichzeitigen Angreifern. Der Rechenaufwand nimmt sogar ab, falls das Opfer die auf dem Angriffspfad liegenden Router kennt, da nicht die komplette IP-Adresse bekannt sein muss, damit der Angriffspfad rekonstruiert werden kann. AMS II ist somit robust gegen eine große Anzahl an DDoS- Angriffen. 5 Zusammenfassung In dieser Arbeit wurden anfangs verschiedene Denial-of-Service-Angriffe vorgestellt, deren Ziel eine Gefährdung der Verfügbarkeit ist. Da das Fälschen von Absenderadressen leicht möglich ist, stellt es ein Problem dar, Angreifer zu ihrer Quelle zurückzuverfolgen (das so genannte IP-Traceback- Problem). Es wurden verschiedene Ansätze zur Lösung des IP-Traceback-Problems diskutiert, deren Ziel die Bestimmung der Quelle eines DoS-Angriffs ist. Eine Lösung des IP-Traceback heißt robust, wenn die Anzahl der False Positives und False Negatives sehr gering sind. Logging benötigt die meisten Ressourcen und der Erfolg hängt stärker als bei Link Testing von der Zusammenarbeit der Administratoren ab. Es gibt kaum Organisationen die, dieses Verfahren implementiert haben. Link Testing hat einen hohen Management-Aufwand, denn der Erfolg des Zurückverfolgens hängt dabei sehr stark davon ab, ob andere Netzwerkadministratoren bereit sind zu kooperieren. 19

20 Für Ingress Filtering werden Router benötigt, die genügend Rechenleistung haben, um alle ankommenden Pakete nach ihren Absender-Adressen zu überprüfen. Weiterhin müssen sie zwischen erlaubten und nicht erlaubten IP-Adressen unterscheiden können. Da aber Angreifer nach Belieben legale IP-Adresse erzeugen können, kann nur ein kleiner Teil der Angriffe verhindert werden. Ingress Filtering ist als einziges Verfahren vorbeugend. Router Stamping ist einfach zu implementieren, jedoch kann das Verfahren erst genutzt werden, nachdem das Opfer angegriffen wurde. Durch die Erweiterung der Headergröße, entsteht ein geringfügiger Rechenaufwand beim Router und die Dauer für das Versenden der IP-Pakete steigt. Der Aufwand für den Systemadministrator wird ebenfalls erhöht, da die Positionen von Filtern auf den Routern immer wieder korrigiert werden müssen. Das Opfer muss die Ergebnisse sammeln, auswerten und sich mit dem Systemadministrator in Verbindung setzen. ICMP-Traceback erzeugt einen geringen Arbeits- bzw. Rechenaufwand bei Systemadministratoren und Routern. Es wird lediglich zusätzlicher Verkehr erzeugt, der durch die zusätzlichen ICMP-Pakete verursacht wird. Ein Nachteil besteht darin, dass ICMP-Pakete oftmals gefiltert werden (Firewalls) und somit die Information ihr Ziel nicht erreicht. FMS erzeugt einen hohen Rechenaufwand für das Ermitteln der richtigen Kombinationen der IP-Adresse des Routers. Bei vielen gleichzeitigen Angreifern, entstehen eine hohe Anzahl an False-Positives. Ein Vorteil des Verfahrens ist, dass das 16 Bit große Identifikation-Feld ausreicht, um die benötigten Informationen zu speichern. Voraussetzung des Advanced Marking Scheme I ist, dass das Opfer die Netzwerktopologie kennt. Im Gegensatz zu FMS ist der Rechenaufwand für das Opfer geringer und das Verfahren robuster gegen DDoS-Angriffe. Bei mehr als 60 gleichzeitigen Angreifern werden jedoch False Positives erzeugt. Advanced Marking Scheme II ist eine Weiterentwicklung von AMS I. Es ist sehr robust gegen hunderte gleichzeitiger Angreifer. In der Praxis ist die Unterstützung von IP-Traceback nicht sehr verbreitet. Vereinzelt werden Verfahren wie z.b. Ingress-Filtering eingesetzt. Um jedoch robuste Ansätze wie AMS zu verwenden, ist eine Unterstützung durch die beteiligten Router notwendig. 20

Algorithmische Grundlagen des Internets III

Algorithmische Grundlagen des Internets III Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets III schindel@upb.de Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen,

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Internetanwendungstechnik (Übung)

Internetanwendungstechnik (Übung) Internetanwendungstechnik (Übung) IPv6 Stefan Bissell, Gero Mühl Technische Universität Berlin Fakultät IV Elektrotechnik und Informatik Kommunikations- und Betriebssysteme (KBS) Einsteinufer 17, Sekr.

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Algorithmische Grundlagen des Internets II

Algorithmische Grundlagen des Internets II Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets II schindel@upb.de Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen,

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur Probeklausur Aufgabe 1 (Allgemeine Verständnisfragen): 1. Wie nennt man die Gruppe von Dokumenten, in welchen technische und organisatorische Aspekte (bzw. Standards) rund um das Internet und TCP/IP spezifiziert

Mehr

Internet Protokolle. ICMP & Ping Internet Controll Message Protokolls

Internet Protokolle. ICMP & Ping Internet Controll Message Protokolls Internet Protokolle ICMP & Ping Internet Controll Message Protokolls ICMP I II ICMP Einführung ICMP Meldungstypen III Zusammenfassung Einführung Im (heterogenen) Internet ist es nicht möglich Fehler hardwarebasiert

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Thema IPv6. Geschichte von IPv6

Thema IPv6. Geschichte von IPv6 Geschichte von IPv6 IPv6 ist der Nachfolger des aktuellen Internet Protokolls IPv4, welches für die Übertragung von Daten im Internet zuständig ist. Schon Anfang der 90er Jahre wurde klar, dass die Anzahl

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.1 Internet Protocol - IP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

IPv4 - Internetwork Protocol

IPv4 - Internetwork Protocol IPv4 - Internetwork Protocol Connectionless Pakete werden abgeschickt, eine Bestätigung erfolgt NICHT! Networklayer Erfüllt die Aufgaben der 3. ISO-Schicht Aufbau # Bits Abkürzung Inhalt 4 Vers Version

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Hauptdiplomklausur Informatik Juni 2008: Computer Networks

Hauptdiplomklausur Informatik Juni 2008: Computer Networks Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Prof. Dr.-Ing. W. Effelsberg Hauptdiplomklausur Informatik Juni 2008: Computer Networks Name: Matrikel-Nr.:

Mehr

Internetprotokoll TCP / IP

Internetprotokoll TCP / IP Internetprotokoll TCP / IP Inhaltsverzeichnis TCP / IP - ALLGEMEIN... 2 TRANSPORTPROTOKOLLE IM VERGLEICH... 2 TCP / IP EIGENSCHAFTEN... 2 DARPA MODELL... 3 DIE AUFGABEN DER EINZELNEN DIENSTE / PROTOKOLLE...

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

38 kbit/sek * 60 ------------------- = 22,8 kbit/sek 100

38 kbit/sek * 60 ------------------- = 22,8 kbit/sek 100 1.1.: Sie haben von zuhause eine Verbindung über die serielle asynchrone Schnittstelle des PC via Modem ins Internet aufgesetzt. Es wird angezeigt das die DÜ mit einer Baudrate von 38 kbit/sek durchgeführt

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Multiuser Client/Server Systeme

Multiuser Client/Server Systeme Multiuser /Server Systeme Christoph Nießner Seminar: 3D im Web Universität Paderborn Wintersemester 02/03 Übersicht Was sind /Server Systeme Wie sehen Architekturen aus Verteilung der Anwendung Protokolle

Mehr

IP-Adressen und Ports

IP-Adressen und Ports IP-Adressen und Ports Eine Einführung Tina Umlandt Universität Hamburg 2. August 2011 Überblick Präsentationsablauf 1 IP = Internetwork protocol Schematische Darstellung über die Layer IP-Datenpaket (IPv4)

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Hinweise. Weiterhin wird in dieser Veranstaltung von der IP-Version 4 ausgegangen. ITSec WS 2015 - Teil 1/Wiederholung

Hinweise. Weiterhin wird in dieser Veranstaltung von der IP-Version 4 ausgegangen. ITSec WS 2015 - Teil 1/Wiederholung Hinweise In dieser Veranstaltung wird intensiver Gebrauch der Grundlagen des TCP/IP-Stacks aus der Veranstaltung Rechnernetze gemacht. Der nun folgende Teil wiederholt diesen Teil. Weiterhin wird in dieser

Mehr

Hauptdiplomklausur Informatik März 2002: Internet Protokolle

Hauptdiplomklausur Informatik März 2002: Internet Protokolle Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Professor Dr. W. Effelsberg Hauptdiplomklausur Informatik März 2002: Internet Protokolle Name:... Vorname:...

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

[DNS & DNS SECURITY] 1. DNS & DNS Security

[DNS & DNS SECURITY] 1. DNS & DNS Security [DNS & DNS SECURITY] 1 DNS & DNS Security Thomas Vogel & Johannes Ernst Funktionsweise von DNS und deren Security Eigenschaften. Was es für Angriffe gibt, welche Gegenmaßnahmen dafür erforderlich sind

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

1. Netzwerkprogrammierung für mobile Geräte

1. Netzwerkprogrammierung für mobile Geräte 1. Netzwerkprogrammierung für mobile Geräte Lernziele 1. Netzwerkprogrammierung für mobile Geräte Themen/Lernziele: Konzepte der verbindungslosen Kommunikation beherrschen Client/Server-Anwendungen auf

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Warum eine Übersetzung von Adressen? Network Address Translation () Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Labor - Rechnernetze. : 4 Protokollanalyzer

Labor - Rechnernetze. : 4 Protokollanalyzer Labor - Rechnernetze Versuch : 4 Protokollanalyzer Laborbericht Im Rahmen des Praktikums Rechnernetze sollten mittels des DA 31 Protokollanalyzers Messungen in einem Netzwerk durchgeführt werden. Aufgabe

Mehr

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

3 Das verbindungslose Vermittlungsprotokoll IP

3 Das verbindungslose Vermittlungsprotokoll IP Das verbindungslose Vermittlungsprotokoll IP 27 3 Das verbindungslose Vermittlungsprotokoll IP In diesem Kapitel lernen Sie das verbindungslose Vermittlungsprotokoll IP näher kennen. Nach dem Durcharbeiten

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

www.microsoft.de www.google.de www.gbg-seelze.de www.facebook.de

www.microsoft.de www.google.de www.gbg-seelze.de www.facebook.de www.microsoft.de www.google.de www.gbg-seelze.de www.facebook.de Was ist IP? Was ist eine Subnet mask? Was ist ein Default Gateway? Was ist DHCP? Was ist DNS? Wie funktioniert die Kommunikation? Hauptbestandteil

Mehr

Vorlesung 11: Netze. Sommersemester 2001. Peter B. Ladkin ladkin@rvs.uni-bielefeld.de

Vorlesung 11: Netze. Sommersemester 2001. Peter B. Ladkin ladkin@rvs.uni-bielefeld.de Vorlesung 11: Netze Sommersemester 2001 Peter B. Ladkin ladkin@rvs.uni-bielefeld.de Vielen Dank an Andrew Tanenbaum der Vrije Universiteit Amsterdam für die Bilder Andrew Tanenbaum, Computer Networks,

Mehr

Proseminar: KvBK. IPv6 (IPng)

Proseminar: KvBK. IPv6 (IPng) (IPng) 1) Warum? IPv4 leistet zwar bis heute hervorragende Dienste, aber trotzdem bringt dieses Protokoll einige Probleme mit sich (bzw. wird es mit sich bringen). Die Wichtigsten sind folgende: Ineffizientes

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Prof. Dr.-Ing. Thomas Schwotzer FB 4 / AI / Mobile Anwendungen thomas.schwotzer@htw-berlin.de. Ad-hoc Networks. Routing

Prof. Dr.-Ing. Thomas Schwotzer FB 4 / AI / Mobile Anwendungen thomas.schwotzer@htw-berlin.de. Ad-hoc Networks. Routing Prof. Dr.-Ing. Thomas Schwotzer FB 4 / AI / Mobile Anwendungen thomas.schwotzer@htw-berlin.de Ad-hoc Networks Routing Eigenschaften keine feste Netzwerk-Infrastruktur kein Adressschema, das auf Rückschlüsse

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

ECN. Explicit Congestion Notification ECN

ECN. Explicit Congestion Notification ECN Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3-8276-9142-2 ECN Explicit Congestion Notification Jedes auf dem Internet Protocol (IP) basierende

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1.

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1. Konfigurationsanleitung Quality of Service (QoS) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Quality of Service 1.1 Einleitung Im Folgenden

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater Rechnernetze Übung 8 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2011 Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1 Repeater Switch 1 Keine Adressen 6Byte

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Jens Döbler 2003 "Computer in der Chemie", WS 2003-04, Humboldt-Universität VL5 Folie 1 Dr. Jens Döbler Internet Grundlagen Zusammenschluß

Mehr

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Verbindungslose Netzwerk-Protokolle

Verbindungslose Netzwerk-Protokolle Adressierung Lokales Netz jede Station kennt jede Pakete können direkt zugestellt werden Hierarchisches Netz jede Station kennt jede im lokalen Bereich Pakete können lokal direkt zugestellt werden Pakete

Mehr

Inhalt: 1. Layer 1 (Physikalische Schicht) 2. Layer 2 (Sicherungsschicht) 3. Layer 3 (Vermittlungsschicht) 4. Layer 4 (Transportschicht) 5.

Inhalt: 1. Layer 1 (Physikalische Schicht) 2. Layer 2 (Sicherungsschicht) 3. Layer 3 (Vermittlungsschicht) 4. Layer 4 (Transportschicht) 5. Inhalt: 1. Layer 1 (Physikalische Schicht) 2. Layer 2 (Sicherungsschicht) 3. Layer 3 (Vermittlungsschicht) 4. Layer 4 (Transportschicht) 5. Ethernet 6. Token Ring 7. FDDI Darstellung des OSI-Modell (Quelle:

Mehr

Detecting DDOS Attacks & Countermeasures at ISPs

Detecting DDOS Attacks & Countermeasures at ISPs Detecting DDOS Attacks & Countermeasures at ISPs Jan-Ahrent Czmok URL: www.lambda-solutions.de/ddos/ EMAIL: EMAIL: Intro Es geht um die Erstellung eines Kommunikationsforums

Mehr

Definition. Gnutella. Gnutella. Kriterien für P2P-Netzwerke. Gnutella = +

Definition. Gnutella. Gnutella. Kriterien für P2P-Netzwerke. Gnutella = + Definition Gnutella Ein -to--netzwerk ist ein Kommunikationsnetzwerk zwischen Rechnern, in dem jeder Teilnehmer sowohl Client als auch Server- Aufgaben durchführt. Beobachtung: Das Internet ist (eigentlich

Mehr

shri Raw Sockets Prof. Dr. Ch. Reich

shri Raw Sockets Prof. Dr. Ch. Reich shri Raw Sockets Prof. Dr. Ch. Reich Szenario: Verschicken einer gespooften Ping-Message IP-Source-Adresse ist Adresse des Opfers Nachrichtenformat: IP-Header (normal, außer IP-Source-Address ist einstellbar)

Mehr

Transmission Control Protocol (TCP)

Transmission Control Protocol (TCP) Transmission Control Protocol (TCP) Verbindungsorientiertes Protokoll, zuverlässig, paketvermittelt stream-orientiert bidirektional gehört zur Transportschicht, OSI-Layer 4 spezifiziert in RFC 793 Mobile

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

Mobile Anwendungen Google Cloud Messaging

Mobile Anwendungen Google Cloud Messaging Mobile Anwendungen Google Cloud Messaging 1. Allgemeines zu Google Cloud Messaging (GCM): - 60% der Top 100 Apps nutzen Google Cloud Messagging - 200.000 Messages pro Sekunde = 17 Milliarden Messages pro

Mehr

Beispiel TCP-/IP-Datenübertragung

Beispiel TCP-/IP-Datenübertragung TCP/IP Beispiel TCP-/IP-Datenübertragung Einfach mal Sniffen (im Raum LAN/Filius) --> Installieren Sie das Programm WireShark http://www.wireshark.org/ Lauschen Sie Ihre Netzwerkkarte aus! (10 Sek) Vorsicht!

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

IP-Adresse und Netzmaske:

IP-Adresse und Netzmaske: IP-Adresse und Netzmaske: 1.) Gehört 134.169.34.218 in das Netz 134.169.34.192/26? Antwort: Wir sehen eine Netzmaske der Größe 26 (das ist das Zeichen /26). Das soll heißen: Das Netzwerk hat eine 26 Bit

Mehr

Technische Anforderungen. zum Empfang. von XML-Nachrichten

Technische Anforderungen. zum Empfang. von XML-Nachrichten Technische Anforderungen zum Empfang von XML-Nachrichten 25.11.2004 Peer Uwe Peters 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ZIEL DIESES DOKUMENTS... 3 3 KONTEXT... 3 4 SENDEWEG... 4 5 ERREICHBARKEIT...

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am

TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am Das Internet ist ein Heute weit verbreitetes Medium, das auf eine große Resonanz stößt. War das Internet

Mehr

Einführung in die. Netzwerktecknik

Einführung in die. Netzwerktecknik Netzwerktecknik 2 Inhalt ARP-Prozeß Bridging Routing Switching L3 Switching VLAN Firewall 3 Datenaustausch zwischen 2 Rechnern 0003BF447A01 Rechner A 01B765A933EE Rechner B Daten Daten 0003BF447A01 Quelle

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

11 Peer-to-Peer-Netzwerke

11 Peer-to-Peer-Netzwerke 11 Peer-to-Peer-Netzwerke Überblick Gnutella Freenet Chord CAN Pastry 11.1 11.1Überblick Grundform des Internet (1969-1995) Informationsanbieter Informationskonsument 11.2 11.1 Überblick Web-dominiertes

Mehr