IP-Traceback. Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002

Größe: px
Ab Seite anzeigen:

Download "IP-Traceback. Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002"

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Lehrstuhl für Informatik IV Prof. Dr. rer. nat. Otto Spaniol IP-Traceback Seminar: Datenkommunikation / Verteilte Systeme Sommersemester 2002 Askin Kirmizi Matrikelnummer: Betreuung: Ralf Wienzek Lehrstuhl für Informatik IV, RWTH Aachen

2 Inhaltsverzeichnis 1 Einleitung 3 2 Grundlagen Internet Protokoll (IP) Transmission Control Protokoll (TCP) User Datagram Protokol (UDP) Angriffe 6 4 IP-Traceback-Ansätze Router Stamping Ingress Filtering Link Testing Logging ICMP Traceback Fragment Marking Scheme (FMS) Advanced Marking Scheme Zusammenfassung 19 2

3 1 Einleitung Der Einsatzbereich des Computers und des Internets ist sehr vielseitig, sodass sie in der heutigen Zeit nicht mehr wegzudenken sind. Durch die kommerzielle Nutzung des Internets ist die ständige Verfügbarkeit von Diensten wichtig. Denial-of-Service (DoS) Angriffe, deren primäres Ziel eine Gefährdung der Verfügbarkeit ist, stellen daher ein ernst zu nehmendes Problem dar. In den neunziger Jahren setzte sich das Internet Protokoll (IP) als Standardprotokoll durch und gewann immer mehr an Bedeutung. Obwohl sich IP seit seiner Einführung gut bewährt und andere Protokolle wie SNA, IPX oder Appletalk verdrängt hat, besitzt es eine Reihe von Mängeln, wie z. B der zu kleine Adressraum und das Fehlen praktikabler Verschlüsselungs- und Authentifizierungsmechanismen [5]. Durch die Einführung der neuen IP-Version (IPv6) könnte ein Teil der Probleme zwar gelöst werden, doch wird in fast allen heute verwendeten Datennetzen das ältere IPv4 verwendet. Teilweise konnten durch Hersteller von Routern und Firewallsystemen die Sicherheitslücken geschlossen werden, allerdings besteht noch eine Vielzahl von Problemen. Neben den systemimmanenten Problemen liegt die Ursache eines Großteils von Einbrüchen in der fehlerhaften Konfiguration von Computersystemen, Routern und Firewalls wie z.b. lückenhafte Portfilterkonfigurationen oder aktive ICMP-Optionen. Ein großes Problem von IP ist die Möglichkeit des Verfälschens der Absenderadresse. Da diese Tatsache bei einem Denial-of-Service-Angriff häufig ausgenutzt wird, um die Quelle des Angriffs zu verschleiern, ist es umso schwieriger Gegenmaßnahmen zu ergreifen. Um den Angreifer aber zu identifizieren und den Angriff zu unterbinden, genügt es daher nicht, sich auf die in den Paketen eingetragenen Absenderadressen zu verlassen, sondern die Pakete müssen zu ihrer wahren Quelle zurückverfolgt werden. Im Falle einer Distributed-Denial-of-Service-Attacke (DDoS-Attacke), bei der im Gegensatz zu einer einfachen DoS-Attacke der Angriff nicht nur über einen Angriffsrechner ausgeführt wird, sondern gleichzeitig im Verbund mit mehreren Rechnern, ist das effiziente Unterbinden des Angriffs noch schwieriger, da jede einzelne Quelle ermittelt werden muss. Das Problem des Zurückverfolgens von Paketen mit (potenziell) gefälschten Absenderadressen wird das Traceback-Problem genannt. Da die meisten Angreifer sehr vorsichtig sind und keine Spuren hinterlassen wollen, ist es häufig schwierig, den Angreifer zu lokalisieren. Das Ziel besteht darin, den Angreifer zu finden und den Angriff möglichst schnell und so nah am Angreifer wie möglich zu unterbinden. 3

4 2 Grundlagen Abbildung 1: IP-Header In diesem Abschnitt sollen die für DoS-Angriffe im Internet relevanten Protokolle dargestellt und erläutert werden [10]. 2.1 Internet Protokoll (IP) IP-Pakete (Datagramme) bestehen aus einem Header- (Kopf) und einem Textteil. Der Header hat einen festen, 20 Byte großen und einen optionalen Teil mit variabler Länge (siehe Abbildung 1). Das Version-Feld enthält die Version des IP-Protokolls, zu dem das Datagramm gehört (derzeit 4 oder 6). Da die Header-Länge nicht konstant ist, wird das Length-Feld bereitgestellt. In diesem Feld wird die Header-Länge in 32-Bit-Worten angegeben. Der Mindestwert ist fünf, für den Fall, dass keine Optionen vorhanden sind. Der Höchstwert dieses 4-Bit-Feldes ist 15, was dazu führt, dass der Header auf 60 Byte und das Options-Feld somit auf 40 Byte begrenzt sind. Anhand des Feldes Type of Service (TOS) kann der Host bekannt geben, welcher Dienst gewünscht wird. Total Length beinhaltet die Länge des gesamten Pakets, also Header und Daten (maximal Byte). 4

5 Das Identification-Feld ist erforderlich, um im Falle einer Fragmentierung feststellen zu können, zu welchem Datagramm ein neu ankommendes Fragment gehört. Alle Fragmente eines fragmentierten Dataqgramms erhalten den gleichen Identification-Wert. Danach folgt ein unbenutztes Bit und zwei 1-Bit-Felder Don t Fragment (DF) und More Fragments (MF). Ein Datenpaket mit gesetztem DF-Bit darf nicht fragmentiert werden, da es sonst vom Ziel nicht zusammengesetzt werden kann. Ist das MF-Bit gesetzt, kommen noch weitere Datenpakete mit Fragmenten desselben IP-Pakets. Das Fragment Offset-Feld dient zum Zusammensetzen des Gesamtpakets aus IP-Fragmenten. Der Fragment Offset multipliziert mit 8 ergibt die Position der Daten relativ zum Beginn des Datenpakets. Das Time to Live (TTL) Feld gibt die Lebensdauer des Pakets in Sekunden an (maximal 255). Sie wird von jedem System, welches das Paket bearbeitet, um die Zeit verringert, die zur Bearbeitung benötigt wurde. Wenn das TTL-Feld den Wert 0 erreicht hat, wird das Datenpaket verworfen. Das Protocol-Feld gibt an, welches Protokoll im Daten-Teil des IP-Pakets transportiert wird. TCP, UDP und ICMP sind die üblichsten Protokolle. Die Header Checksum dient zur Fehlererkennung im IP-Header. Jeder Router muss die Checksumme neu berechnen, da er das TTL-Feld ändern muss. Die Felder Source-Address und Destination-Address beinhalten die Adresse des Senders und Empfängers. Über das Options-Feld werden einige Sonderfunktionen wie Source-Routing und Timestamping realisiert. Das Options-Feld hat keine feste Länge, sodass auch der IP-Header als ganzes keine feste Länge hat. Da das Options-Feld keine feste Länge hat, die Länge des IP-Headers aber immer ein Vielfaches von 32 Bit sein muss, dient das Padding dazu, bei Bedarf auf eine korrekte Länge aufzufüllen. 2.2 Transmission Control Protokoll (TCP) TCP ist ein zuverlässiges und verbindungsorientiertes Protokoll, das einen Bytestrom fehlerfrei von einer Maschine zu einer anderen überträgt. Am Ziel werden diese Nachrichten wieder zu einem Ausgabestrom zusammengesetzt. Bevor Daten ausgetauscht werden können, muss zunächst eine Verbindung zwischen den Kommunikationspartnern aufgebaut werden. Die geschieht in der Regel durch den so genannten 3-Way-Handshake (siehe Abbildung 2): 1. Ein Client sendet ein SYN-Paket an den Server, um zu signalisieren, dass eine Verbindung aufgebaut werden soll. 5

6 2. Der Server antwortet mit einem SYN/ACK-Paket, das einerseits den Wunsch des Clients bestätigt und andererseits die Verbindung in Gegenrichtung aufbauen soll. 3. Der Client bestätigt mit einem ACK-Paket. Damit ist eine bidirektionale Verbindung zwischen dem Client und dem Server aufgebaut und es kann mit der eigentlichen Datenübertragung begonnen werden. Abbildung 2: 3-Way-Handshake 2.3 User Datagram Protokol (UDP) UDP ist im Gegensatz zu TCP ein unzuverlässiges und verbindungsloses Protokoll, das vorwiegend für einmalige Abfragen und Anwendungen in Client/Server-Umgebungen benutzt wird. Bei diesem Protokolltyp ist die Schnelligkeit wichtiger als die fehlerfreie Übertragung. Es wird beispielsweise für die Übertragung von Video und Sprache eingesetzt. UDP bietet neben einer Erweiterung der Adressierung und einer Prüfsumme für die Daten keine weiteren Dienste im Vergleich zu IP. 3 Angriffe In Kommunikationsnetzen gibt es eine Vielzahl von möglichen Angriffen. Diese lassen sich jedoch in drei Kategorien einteilen [6]: 6

7 Angriffe gegen die Vertraulichkeit, d.h. ein Angreifer versucht, Informationen einzusehen, für die er nicht autorisiert ist, indem er beispielsweise eine falsche Identität vortäuscht. Angriffe gegen die Integrität, d.h. der Angreifer versucht, unbemerkt fremde Daten zu manipulieren Angriffe gegen die Verfügbarkeit, d.h. der Angreifer versucht, autorisierten Nutzern am in Anspruch nehmen von Diensten zu hindern. Denial-of-Service bedeutet etwas unzugänglich zu machen, oder außer Betrieb setzen. Daher sind DoS-Angriffe im Allgemeinen Angriffe gegen die Verfügbarkeit. Diese Angriffe nutzen Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus. Abbildung 3: SYN-Flood: Der Angreifer überschwemmt das Opfer mit Verbindungsanfragen. Man unterscheidet bei DoS-Attacken zwischen zwei Arten: Angriffe gegen einen Host und Angriffe gegen ein Netzwerk. Bei dem Angriff auf einen Host wird versucht, begrenzte Ressourcen zu belegen, sodass das Opfer zur Erbringung eines Dienstes nicht mehr genügend Ressourcen zur Verfügung stehen hat. Als Beispiel eines solchen Angriffs soll hier SYN-Flood [7] genannt werden. Hierbei wird die Tatsache ausgenutzt, dass zur Verwaltung einer TCP-Verbindung Speicher reserviert werden muss. Es werden eine große Anzahl so genannter halboffener Verbindungen auf dem Server erzeugt, d.h. Verbindungen, bei denen der Server auf das dritte Paket des 3-Way-Handshake wartet. Hierzu sendet der Angreifer ein SYN-Paket an den Server und veranlasst einen 3-Way-Handshake. Der Server bestätigt mit einem SYN-ACK und wartet auf das ACK des Clients. Der Angreifer aber schickt das erwartetete ACK nicht, sondern schickt weitere Anfragen und belegt somit genügend Speicher, sodass der Dienst 7

8 nicht genutzt werden kann. Der Angreifer überschwemmt sozusagen das Opfer mit Verbindungsanfragen. Ist die Zahl der Anfragen hoch genug, nimmt der Server keine neuen Anfragen mehr an (siehe Abbildung 3). Die zweite Art von DoS-Angriffe richtet sich gegen Netzwerke. Das Ziel dieser Angriffe besteht darin, das Netzwerk mit zusätzlichem Verkehr so zu überlasten, dass normaler Verkehr blockiert wird. Beispiele für diese Art von Angriffen sind Smurf-Angriffe und UDP-Floods. Beim Smurf -Angriff sendet der Angreifer ein gefälschtes ICMP-Echo-Request mit der Absenderadresse des Opfers an eine IP Broadcast 1 -Adresse. Somit werden die beteiligten Rechner in dem Netzwerk auf die in dem Paket angegebene Adresse mit Echo-Replies antworten. Bei einer großen Anzahl an Rechnern im Netzwerk wird das Opfer mit Antworten überhäuft. Auch bei UDP-Flood wird eine gefälschte IP-Adresse verwendet, wobei hierbei veranlasst wird, dass zwei Systeme dauerhaft Daten austauschen und somit die Netzwerklast erhöhen. Erreicht wird dies z.b. durch das Verbinden des Chargen-Dienstes eines Systems mit dem Echo-Dienst eines zweiten Systems. Der Chargen-Dienst generiert für jedes Paket, das empfangen wird, Daten und schickt diese an den Absender. Am Echo-Dienst angelangt, werden die Pakete an den Sender zurück geschickt, wodurch ein potenziell unendlicher Datenaustausch entsteht. Der Angreifer initiiert dieses Verhalten z.b. dadurch, dass er ein Paket mit der gefälschten Absenderadresse eines Echo-Dienstes an einen Chargen-Dienst sendet. 4 IP-Traceback-Ansätze Dieses Kapitel beschreibt verschiedene Ansätze, die Quelle eines Denial-of-Service-Angriffes zu ermitteln, um den Angriff wirkungsvoll unterbinden zu können. Einige der Verfahren definieren hierzu neue Arten von Kontrollnachrichten, während andere versuchen, Informationen über den Pfad des Pakets in dem Paket selbst zu speichern, indem z.b. Teile des IP-Headers überschrieben werden. 4.1 Router Stamping Router Stamping ist nach [3] eine einfache und effektive Methode, um festzustellen, ob eine IP- Adresse manipuliert wurde. Es ist jedoch kein eigenständiges Verfahren, das einen DoS-Angriff zurückverfolgen kann. Der erste Ansatz ist Deterministic Router Stamping. Für ein ankommendes Paket schreibt jeder Router die IP-Adresse seines Vorgängers in das Options-Feld des Pakets. In Abbildung 4 ist eine mögliche Topologie dargestellt. Hierbei trägt die IP-Adresse von im erst möglichen Speicherbereich (Slots) und schickt das Paket weiter an. trägt die IP-Adresse von in den zweiten Slot ein und schickt das Paket nach, welcher wiederum die IP-Adresse von einträgt und es an weiterschickt. 1 gleichzeitiges senden von Paketen an alle Systeme eines Netzes, heißt Broadcasting 8

9 Abbildung 4: Deterministic Router Stamping Der Algorithmus für Deterministic Router Stamping am Router sieht wie folgt aus: fuer jedes ankommende Paket P trage in den naechstmoeglichen Slot die IP-Adresse des vorherigen Routers ein. schicke das Paket weiter In der Regel durchläuft ein Paket maximal 30 Router, bis es am Ziel angekommen ist. Würde man diesen Ansatz realisieren, müsste man den IP Header, um das Vierfache vergrößern, um alle IP- Adressen eintragen zu können. Auch wenn soviel Speicher zur Verfügung stehen würde, könnte ein Angreifer alle Einträge selbst generieren. Abbildung 5: Router Stamping Das Verfahren wird daher zum so genannten Router Stamping erweitert. Hierzu sei die Anzahl zur Verfügung stehender Slots und. sei die Wahrscheinlichkeit, dass ein Router ein ankommendes Paket stempelt, d.h. ist die Wahrscheinlichkeit für das Stempeln eines bestimmten Slots. Ein Router zieht für jedes Paket eine Zufallszahl und stempelt das Paket im Slot, falls "!#$% gilt. 9

10 fuer jedes bei R_i ankommende Paket x <- Zufallszahl zwischen 0 und 1 falls x < sp platziere Eintrag in Slot b schicke Paket weiter Ein Beispiel von Router Stamping wird in Abbildung 5 dargestellt. Wiederum werden Pakete von nach, über die Router bis gesendet. Für Paket 1 schreibt in Slot 1, dass es über Kanal 0 gekommen ist, entscheidet sich nicht zu schreiben und schreibt in Slot 0, dass es über Kanal 0 gekommen ist. Paket 2 benutzt zwar dieselbe Route, nur dass jetzt sowohl in Slot 0 schreibt als auch, d.h. überschreibt den Wert von. Ein drittes Paket geht durch &, bekommt aber vorerst einen Eintrag von in Slot 0 und von in Slot 1. Der Algorithmus für Router Stamping sieht folgendermaßen aus: Für das Implementieren von Router Stamping ist es erforderlich, den IP-Header zu erweitern. Dieses bewirkt aber, dass für das Versenden der gleichen Anzahl an Paketen, mehr Zeit in Anspruch genommen wird. Gemäß [3] würde dies bei einem Paket von 1500 Bytes, für das 40 Bytes mehr in Anspruch genommen werden, einen zusätzlichen Übertragungsaufwand von 2,7 Prozent betragen. Der Autor schlägt für eine erfolgreiche Abwehr gegen DoS-Angriffe weiter entwickelte Tools vor, die mit Router Stamping kombiniert werden sollten. Router Stamping ist ein reaktives Verfahren, d.h. es kommt erst dann zum Einsatz, nachdem der Angriff angefangen hat. Für Systemadministratoren ist es bei Anwendung dieses Verfahrens notwendig, eine Karte anzulegen, welche die Platzierungen der einzelnen Router deutlich macht. Für kleinere Netzwerke kann OSPF [5] benutzt werden. Falls die Angaben aber nicht ausreichend sind, muss die Karte z.b. mittels traceroute [4] vom Systemadministrator erweitert werden. Zur Identifizierung der Angriffsquelle kann beispielsweise der Simple Source Identification Algorithmus verwendet werden. Die Idee dieses Algorithmus ist, die wahrscheinlichen Quellen des Angriffs durch das Prüfen der empfangenen IP-Header festzustellen. Dabei wird nach Routern gesucht, die im Gegensatz zu ihren direkten Nachbarn sehr wenige Pakete gestempelt haben. fuer jeden Router R_i x<- Anzahl der Pakete mit Stempel R_i s y<- 0 Fuer jeden Nachbarn R_j von R_i y<- y + Anzahl der Router, die von R_i nach R_j gehen und von R_j gestempelt wurden Falls y>>x R_i ist wahrscheinlich die Quelle des Angriffs Ein Beispiel gegen einen SYN-Angriff würde wie folgt aussehen: Sei das Netzwerk wie in Abbildung 5 gegeben und sei das Opfer. Es werden eine hohe Anzahl an SYN-Anfragen gestellt, sodass z.b Verbindungen zustande kommen. Die Analyse der IP-Header der Pakete zeigt dann, dass 10

11 von 260 gestempelten Paketen 160 von und 100 von & erhalten hat. Des Weiteren sind 130 Pakete, die von erhalten wurden, von gestempelt und 95 Pakete von &. Zusätzlich wurden 200 Pakete, die von kamen von gestempelt. Durch Anwenden es Simple Source Identification Algorithmus, wird der Systemadministrator darauf schließen, dass genauso viele Pakete stempelte wie und & zusammen. Die Bedingung ')(* trifft daher nicht ein, also kann davon ausgegangen werden, dass die Quelle weiter vorne liegt. hat keine Pakete gestempelt, der Nachbar hat aber 200 Pakete, die er von erhalten hat, gestempelt +,--.(/10. Daraus kann wiederum durch Anwenden des Simple Source Identification Algorithmus gefolgert werden, dass wahrscheinlich Teil des Angriffs ist. Durch diese Erkenntnis könnten dann Filter näher an den Angreifer angebracht werden, wodurch weniger Pakete von unbeteiligten Routern gefiltert werden. Router Stamping kann nach [3] nicht für jedes Paket den Absender identifizieren, es bietet nur einen Weg mögliche Router zu finden, die eventuell für Angriffe benutzt werden. 4.2 Ingress Filtering Ingress Filtering [7] versucht, das Versenden von Paketen mit gefälschter Absenderadresse möglichst frühzeitig zu unterbinden. Hierbei werden Router so konfiguriert, dass unzulässige IP-Adressen nicht passieren können. Eine unzulässige Absender-Adresse wäre in diesem Fall eine IP-Adresse, die nicht zum jeweiligen Betreiber gehört bzw. nicht hinter dem Router liegen kann. Hiermit können, die durch DoS-Atacken entstehenden Probleme zwar nicht vollständig gelöst werden, jedoch wird das Verbergen des Angreifers erschwert. Ein Beispiel dazu ist z.b., dass IP-Adressen, die nicht in den Zuständigkeitsbereich eines Providers fallen, an dem Router gefiltert werden, sodass kein Rechner aus diesem Netzwerk eine IP-Adresse vortäuschen kann, die in diesem Netzwerk nicht vergeben ist. In dem Beispiel in Abbildung 6 wird beispielsweise die IP-Adresse von dem Router gefiltert, da nur IP-Adressen, die mit anfangen, passieren können. Abbildung 6: Provider filtert am Router zum Internet 11

12 4.3 Link Testing Beim Link Testing wird die Suche nach dem Ursprung des Angriffs an dem Router angesetzt, der dem Opfer am nächsten ist. Bei diesem Verfahren wird untersucht, auf welchem Link die Pakete eintreffen, damit der vorherige Router ermittelt werden kann. Diese Methode wird dann für alle beteiligten Router wiederholt und im Idealfall gelangt man bis zur Quelle. Damit diese Methode erfolgreich ist, muss der Angriff lange genug dauern und die Route aller Pakete muss gleich sein. In [7] werden mit Input Debugging und Controlled Flooding zwei Varianten von Link Testing beschrieben. 1. Input Debugging ist eine Methode, die in vielen Routern implementiert ist. Das Opfer muss zunächst erkennen, dass es angegriffen wird. Es wird dann automatisch eine Angriffssignatur erstellt, die das Opfer an seinen Netzwerkbetreiber schickt. Dort prüft der Netzwerkbetreiber auf dem Egress-Port (Ausgangsport), die ihm übermittelte Signatur. Sobald diese verifiziert ist, wird nach dem zugehörigen Ingress-Port (Eingangsport) gesucht und der nächste Router, der den Angriff überträgt, wird ermittelt. Dies wird rekursiv weitergeführt, bis der Angreifer lokalisiert oder der Zuständigkeitsbereich überschritten wird. Falls der Bereich des ersten Providers überschritten wird, muss dieser einen weiteren kontaktieren usw., womit der Aufwand wächst. Wenn dabei verschiedene Länder oder gar Kontinente überbrückt werden müssen, wird die Verfolgung schwieriger und kostenspieliger. 2. Controlled Flooding kommt ohne jegliche Hilfe von Netzwerkbetreibern aus, doch wird die Kenntnis der Netzwerktopologie benötigt. Die Idee bei diesem Verfahren ist es, dass das Opfer einzelne Links in Richtung Angreifer ebenfalls mit Paketen flutet, um zu prüfen, ob es zu Veränderungen des Angriffsstroms kommt. Falls es zu keiner Veränderung kommt, flutet es einen anderen Link. Ist ein Link gefunden, bei dem die Rate der ankommenden Angriffs-Pakete vermindert wurde, so wird dieser Pfad weiterverfolgt, indem weitere Links geflutet werden bis im Idealfall der Angreifer erreicht ist. Das Fluten geschieht mit Hilfe von (fremden) Rechnern, die beispielsweise den Chargen-Dienst anbieten. Allerdings ist das Controlled Flooding selbst eine Art DoS-Angriff, dessen Anwendung gut bedacht werden sollte [7]. 4.4 Logging Ein weiterer Ansatz ist das Logging, der sich von den vorherigen Ansätzen u.a. dadurch unterscheidet, dass er auch lange nachdem der Angriff geendet hat, angewandt werden kann. Die Idee besteht darin, Pakete bzw. deren Header an allen Border-Routern 2 zu speichern. Anhand von Datenanalysetechniken lässt sich dann der Pfad, den die Pakete durch das Netz genommen haben, genau bestimmen. Die Ressourcenanforderung für dieses Verfahren ist jedoch sehr hoch, da bei DoS-Angriffen i.d.r. eine große Menge von Daten anfallen. 2 Verbindung zwischen Netzen 12

13 4.5 ICMP Traceback Das ICMP-Protokoll dient u.a. dazu, dem in einem Fehlerfall betroffenen Absender von IP-Paketen, das Auftreten von Netzwerkproblemen zu melden. Der Absender hat dann die Aufgabe, entsprechende Maßnahmen zu ergreifen. Allerdings werten Router oder Hosts solche Nachrichten häufig automatisch aus und führen entsprechende Rekonfigurationen durch. ICMP Traceback [1] ist ein automatisierter Ansatz, eine Lösung für das Traceback Problem zu finden. Eine neue ICMP Nachricht wird eingeführt, die mit Wahrscheinlichkeit, - für jedes Paket, an den Empfänger gesendet wird. Falls hinreichend viele ICMP-Messages von verschiedenen Routern in Pfadrichtung versendet werden, kann der Angriffspfad rekonstruiert werden. 4.6 Fragment Marking Scheme (FMS) Dieser Ansatz beschreibt ein Verfahren, das Pfadinformationen in die Datenpakete hineincodiert. Dazu wird in den Routern eine Markierungsfunktion benötigt, um die Informationen in die Pakete zu schreiben. Das Opfer dagegen benötigt eine Pfad-Rekonstruktionsfunktion, um die Informationen auswerten zu können. Um die Idee zu vermitteln, wird zunächst der einfachste Ansatz Node append erläutert. Hierbei hängt jeder beteiligte Router seine IP-Adresse an jedes ankommende Datenpaket. Somit kann das Opfer beim Empfang der Pakete, die genaue Route zurückverfolgen. Dieses Vorgehen ist nach [7] unangebracht, da die Entfernung (Anzahl der Hops) des Ziels im Voraus nicht bekannt ist und somit auch die erforderliche Länge in Datenpaketen unbekannt ist. Dieses Problem wäre auch nicht gelöst, wenn mehr Speicher reserviert werden würde (für maximal 255 Hops bei IPv4), denn der Angreifer könnte diese mit gefälschten Adressen füllen. Edge Sampling ist eine Erweiterung dieses Ansatzes. Es werden zwei statische Adress-Felder, das Start- und End-Feld, und ein Distance-Feld (Entfernung zum Opfer) benötigt. Jeder Router entscheidet mit Wahrscheinlichkeit, ob er markiert oder nicht. Falls ein Router markiert, schreibt er seine IP-Adresse in das Start-Feld und eine Null in das Distance-Feld. Wenn aber das Distance-Feld schon ein Vorgänger-Router markiert hat, fügt der nächste Router seine IP-Adresse in das End-Feld ein, wodurch eine Kanteninformation entsteht. Ein Router, der nicht markiert, erhöht den Eintrag im Distance-Feld um Eins. Das Distance-Feld im Paket gibt somit an, wie viele Hops (Anzahl der Router) überquert wurden. Markierungsprozedur bei jedem Router R: fuer jedes Paket w x <- Zufallszahl aus dem Bereich [0..1) falls x < p dann w.start <- R w.distance <- 0 13

14 sonst falls w.distance=0 dann w.end <- R erhoehe w.distance Weiterhin werden drei Techniken verwendet, um den benötigten Speicherplatz für die Beschreibung des Pfades zu reduzieren. Es werden die zu einer Kanteninformation gehörigen IP-Adressen durch XOR verknüpft, wodurch nur halb soviel Speicherplatz benötigt wird. Ein Router, der markiert, schreibt seine IP-Adresse a in das Paket. Der nächste Router b sieht, dass das Distance-Feld den Eintrag 0 beinhaltet, liest a aus und verknüpft ihn mit der eigenen IP-Adresse durch XOR und schreibt das Resultat 2)3 in das Paket. Das Resultat von XOR zwischen zwei benachbarten IP-Adressen wird Edge-Id genannt. Die Edge-Id, die beim Opfer ankommt, beinhaltet das XOR-Ergebnis von zwei benachbarten Routern. Nach einer. gewissen Zeit kommen beim Opfer Pakete mit folgenden Edge-Ids an: 4, 5 364, 365 und 273 Angefangen beim nächsten Router, wird #410 5 berechnet und somit der vorletzte Router c ermittelt. Diese Berechnung wird dann Router für Router weiter ausgeführt, bis man beim ersten Router angekommen ist (Abbildung 7). Abbildung 7: XOR- Kodierung Die zweite Technik ist das Aufteilen der Edge-Id in k nicht überlappende Bereiche. Falls ein Router also markieren will, wählt er zufällig einen dieser k Teile und schreibt ihn in das Paket. Zusätzlich zu dieser Information muss noch übertragen werden, welcher Teil in das Paket geschrieben wurde. Der = dadurch entstehende zusätzliche Speicherbedarf ist + : ; < 0. Durch den Empfang genügend vieler Pakete ist das Opfer in der Lage, die vollständige Information zu rekonstruieren. Da Edge-Id Fragmente im Gegensatz zu IP-Adressen nicht eindeutig sind, kann es nicht ausgeschlossen werden, dass Werte von verschiedenen Edge-Id s gleich sind. Weiterhin könnten auch gleiche Edge-Id s ankommen, falls es mehrere Angreifer gibt. 14

15 Aus diesem Grund wird die Technik weiter verbessert, indem ein Hash-Wert der IP-Adresse gebildet wird. Dieser wird dann zusammen mit der IP-Adresse übertragen. Um die Möglichkeit auszuschließen, dass eine falsche Edge-Id gebildet wird, wird die IP-Adresse zusammen mit dem Hash-Wert zu dem so genannten BitInterleave zusammengesetzt. D.h. die Bits der IP-Adresse werden an geraden und die Bits des Hash-Wertes an ungeraden Stellen geschrieben, sodass BitInterleave einen Speicher von 64 Bit benötigt (siehe Abbildung 8). BitInterleave wird in k nicht überlappende Fragmente aufgeteilt und jeder Router, der markiert, nimmt zufällig eines der k Fragmente und das Offset (Position des Fragments) und schreibt diese mit dem Distance-Wert in das Paket. Abbildung 8: IP-Adresse und Hash-Wert werden zum BitInterleave zusammengesetzt und in k Fragmente aufgeteilt Das Fragment Marking Scheme (FMS) kombiniert diese drei Techniken zu folgendem Markierungs- Algorithmus: R <- BitInterleave(R,Hash(R)) k <- Anzahl der nicht ueberlappenden Fragmente in R fuer jedes Paket P x <- Zufallszahl aus dem Bereich [0..1) falls x < p dann o <- Zufallszahl aus dem Bereich [0..k-1] f <- Fragment von R, das an der Stelle o steht P.frag <- f P.distance <- 0 P.offset <- o sonst falls w.distance=0 dann f <- Fragment von R, das an der Stelle P.offset steht P.frag <- f XOR w.frag P.distance <- P.distance+1 Bevor das oben beschriebene Verfahren zur Rekonstruktion des Pfades (Abbildung 7) angewendet werden kann, müssen zunächst die Pfadinformationen aus den ankommenden Fragmenten zusammengesetzt werden. Dies geschieht durch Ausprobieren sämtlicher Möglichkeiten, = Fragmente der 15

16 & Abbildung 9: Test von k Fragmenten gleichen Distanz so zu kombinieren, dass eine Adresse extrahiert werden kann (Abbildung 9. Für eine detaillierte Beschreibung des Algorithmus sei auf [7]. 4.7 Advanced Marking Scheme Abbildung 10: Beispiel eines Angriffspfades Abbildung 10 zeigt einen gerichteten azyklischen Graphen (directed acyclic graph, DAG) mit dessen Hilfe man die Angriffspfade graphisch darstellen kann. Der Graph zeigt einen verteilten Angriff, bei dem > und > beteiligt sind und? das Opfer darstellt. stellen Router dar. Alle > im Graphen 16

17 seien potenzielle Angreifer. Die Angriffspfade der > werden als geordnete Listen von Routern zwischen > und? dargestellt. Die gestrichelten Linien beispielsweise stellen beide Angriffspfade & A und werden mit + 0 und + 0 beschrieben. Die Entfernung zwischen und? in dem Graphen ist die Anzahl der Router zwischen und?. Z.B ist die Entfernung im & und? 3, da der Pfad + 0 die Länge 3 besitzt. Ein Router wird False Negative genannt, falls er im tatsächlichen Pfad liegt, aber nicht im rekonstruierten Pfad. Mit dem Advanced Marking Scheme (AMS) I [8] wird ein weiterer Ansatz, einen IP-Traceback auszuführen, vorgeschlagen. Der Autor bezieht sich dabei auf das von Savage [7] beschriebene Fragment Marking Scheme (FMS) (siehe Anschnitt 4.6) und zeigt, dass das FMS, bei der Zurückverfolgung, einen hohen Rechenaufwand für das Opfer hat. Dabei soll nach Aussagen des Autors bei einer Anzahl von nur 25 Angreifern der Rechenaufwand für die Pfadrekonstruktion auf mehrere Tage ansteigen und die Anzahl der False Positives 3 Tausend übersteigen. Weiterhin wird das Problem genannt, dass für die Beschreibung der Pfadinformation (Start-, End- und Distance-Feld) nur 16 Bit des IP- Identifikationsfeldes zur Verfügung stehen. In [7] wird vorgeschlagen, dass das IP-Adresspaar in 8 gleich große 8 Bit Fragmente aufgeteilt wird und für das Markieren nur eine der 8 Teile zufällig verwendet wird. Dieses Konzept funktioniert nach [8] bei einem einzelnen Angreifer gut, bei einem verteilten DoS (Distributed DoS, DDoS) Angriff entstehen jedoch Probleme, da eine große Anzahl von Vergleichen der IP-Fragmente bewältigt werden muss und die Zahl der False Positives stark ansteigt. Für AMS I wird im weiteren Verlauf vorausgesetzt, dass das Opfer die Netzwerktopologie (DAG) kennt. Es werden zwei 11 Bit große, unabhängige Hashwerte B und BDC verwendet. Das Markieren ist ähnlich zum FMS-Verfahren mit dem Unterschied, dass hierbei die Hashwerte mit XOR verknüpft in das Edge-Feld notiert werden (Abbildung 11). Das Edge-Feld beinhaltet auf diese Weise die Informationen von zwei aufeinanderfolgenden Routern. Der Grund für zwei unabhängige Hashwerte B und BEC ist, dass zwei Router im XOR-Ergebnis unterschieden werden müssen. Markierungsprozedur beim Router : fuer jedes Paket P x <- Zufallszahl im Bereich von [0..1) falls u<=q dann P.distance <- 0 P.edge <- h(r_i) sonst falls P.distance=0 dann P.edge <- P.edge XOR h (R_i) P.distance <- P.distance+1 In Abbildung 11 ist zu sehen, dass die 16 Bits, die im IP-Header das Identification-Feld repräsentieren, in zwei Teile aufgeteilt sind: 5 Bits für das Distance-Feld und 11 Bits für die Kanteninformation 3 Ein Router wird False Positive genannt, wenn dieser im rekonstruierten Angriffspfad vorkommt, in der tatsächlichen Angriffsroute aber nicht zu finden ist. 17

18 0 (Edge-Id). Dabei können mit 5 Bits, 32 Hops beschrieben werden, was für die meisten Internetpfade ausreichend ist. Abbildung 11: Advanced Marking Scheme 1 Beim Rekonstruieren nutzt das Opfer die Netzwerktopologie als Plan und fängt bei sich selbst an, zu rekonstruieren. Hierfür werden alle Edge-Felder, deren Distance-Felder gleich d sind, in F G notiert. Router mit der Distanz 0 (einen Hop entfernt), werden überprüft, ob B+ 0 mit den Edge-Feldern aus F H übereinstimmt. Die Router, die diese Bedingung erfüllen, werden in H geschrieben. Somit repräsentiert G, die Menge aller Router, die einen Abstand d zum Opfer haben. Für jede Kante aus F G I und jedes Element y aus EG, berechnet das Opfer J.3KBEC + '0. Anschließend prüft das Opfer, ob ein direkter Nachbar von ', B+ J erfüllt. Falls ein Router L gefunden ist, wird dieser in EG I geschrieben. Diese Schritte werden Hop für Hop fortgeführt und der Pfad rekonstruiert. Obwohl nach Aussagen des Autors AMS I in Bezug auf DDoS-Angriffe, viel effizienter und genauer als FMS ist, steigt die Zahl der False Positives bei mehr als 60 gleichzeitigen Angreifern an. Wenn mehrere Router den selben Abstand zum Opfer haben, ist man allein durch die Kenntnis des Hashwertes nicht in der Lage, Pakete korrekt zurückzuverfolgen. Mit Advanced Marking Scheme (AMS) II wird eine weitere Steuer-Größe eingeführt, mit deren Hilfe dieses Problem gelöst werden kann. Da man aber keinen weiteren Platz im IP-Identifikationsfeld hat, muss die Größe des Hashwertes verringert werden. Anstatt zweier Hash-Funktionen, werden nun eine Menge von Hash-Funktionen benutzt. Es wird ein Flag-Feld eingeführt, um anzuzeigen, welche Hash-Funktion zum Markieren benutzt wurde. Hierbei wird das Identification-Feld in drei Bereiche aufgeteilt, ein M Bit großes Flag-Feld (fid), P ein + NOM 0 Bit großes Edge-Feld und ein 5 Bit großes Distance-Feld. Als Beispiel wird M verwendet (siehe Abbildung 12). Das fid gibt an, welche Hash-Funktion verwendet werden soll. Ein Router, der markieren möchte, wählt eine S M Bit große Zufallszahl ', schreibt sie in das Flag-Feld und benutzt <E+ Q 'R 0, um seine IP-Adresse zu P Kodieren. Die weiteren Schritte sind wie unter AMS I. Eine Markierungsprozedur für M sieht folgendermaßen aus: fuer jedes Paket P x <- Zufallszahl aus dem Bereich [0,1) falls x<=p y <- Zufallszahl aus {0,1,...,7} 18

19 P.fID <- y P.distance <- 0 P.edge <- g({y,r_i}) sonst falls P.distance=0 dann P.edge <- P.edge XOR g ({P.fID,R_i}) P.distance <- P.distance+1 Abbildung 12: Advanced Marking Scheme II Das Rekonstruieren für AMS II, ist ähnlich wie unter AMS I, mit dem Unterschied, dass hierfür ein Threshold (Schwelle)-Schema benutzt wird. Bei dem m-threshold-schema, ist ein Knoten erst dann im Angriffspfad enthalten, wenn mehr als T Hash-Werte der,-u Hash-Funktionen mit den Markierungen in den Angriffspaketen übereinstimmen. Das Advanced Marking Scheme II ist gemäß [8] effizient gegen DDoS Angriffen von mehr als 1000 gleichzeitigen Angreifern. Der Rechenaufwand nimmt sogar ab, falls das Opfer die auf dem Angriffspfad liegenden Router kennt, da nicht die komplette IP-Adresse bekannt sein muss, damit der Angriffspfad rekonstruiert werden kann. AMS II ist somit robust gegen eine große Anzahl an DDoS- Angriffen. 5 Zusammenfassung In dieser Arbeit wurden anfangs verschiedene Denial-of-Service-Angriffe vorgestellt, deren Ziel eine Gefährdung der Verfügbarkeit ist. Da das Fälschen von Absenderadressen leicht möglich ist, stellt es ein Problem dar, Angreifer zu ihrer Quelle zurückzuverfolgen (das so genannte IP-Traceback- Problem). Es wurden verschiedene Ansätze zur Lösung des IP-Traceback-Problems diskutiert, deren Ziel die Bestimmung der Quelle eines DoS-Angriffs ist. Eine Lösung des IP-Traceback heißt robust, wenn die Anzahl der False Positives und False Negatives sehr gering sind. Logging benötigt die meisten Ressourcen und der Erfolg hängt stärker als bei Link Testing von der Zusammenarbeit der Administratoren ab. Es gibt kaum Organisationen die, dieses Verfahren implementiert haben. Link Testing hat einen hohen Management-Aufwand, denn der Erfolg des Zurückverfolgens hängt dabei sehr stark davon ab, ob andere Netzwerkadministratoren bereit sind zu kooperieren. 19

20 Für Ingress Filtering werden Router benötigt, die genügend Rechenleistung haben, um alle ankommenden Pakete nach ihren Absender-Adressen zu überprüfen. Weiterhin müssen sie zwischen erlaubten und nicht erlaubten IP-Adressen unterscheiden können. Da aber Angreifer nach Belieben legale IP-Adresse erzeugen können, kann nur ein kleiner Teil der Angriffe verhindert werden. Ingress Filtering ist als einziges Verfahren vorbeugend. Router Stamping ist einfach zu implementieren, jedoch kann das Verfahren erst genutzt werden, nachdem das Opfer angegriffen wurde. Durch die Erweiterung der Headergröße, entsteht ein geringfügiger Rechenaufwand beim Router und die Dauer für das Versenden der IP-Pakete steigt. Der Aufwand für den Systemadministrator wird ebenfalls erhöht, da die Positionen von Filtern auf den Routern immer wieder korrigiert werden müssen. Das Opfer muss die Ergebnisse sammeln, auswerten und sich mit dem Systemadministrator in Verbindung setzen. ICMP-Traceback erzeugt einen geringen Arbeits- bzw. Rechenaufwand bei Systemadministratoren und Routern. Es wird lediglich zusätzlicher Verkehr erzeugt, der durch die zusätzlichen ICMP-Pakete verursacht wird. Ein Nachteil besteht darin, dass ICMP-Pakete oftmals gefiltert werden (Firewalls) und somit die Information ihr Ziel nicht erreicht. FMS erzeugt einen hohen Rechenaufwand für das Ermitteln der richtigen Kombinationen der IP-Adresse des Routers. Bei vielen gleichzeitigen Angreifern, entstehen eine hohe Anzahl an False-Positives. Ein Vorteil des Verfahrens ist, dass das 16 Bit große Identifikation-Feld ausreicht, um die benötigten Informationen zu speichern. Voraussetzung des Advanced Marking Scheme I ist, dass das Opfer die Netzwerktopologie kennt. Im Gegensatz zu FMS ist der Rechenaufwand für das Opfer geringer und das Verfahren robuster gegen DDoS-Angriffe. Bei mehr als 60 gleichzeitigen Angreifern werden jedoch False Positives erzeugt. Advanced Marking Scheme II ist eine Weiterentwicklung von AMS I. Es ist sehr robust gegen hunderte gleichzeitiger Angreifer. In der Praxis ist die Unterstützung von IP-Traceback nicht sehr verbreitet. Vereinzelt werden Verfahren wie z.b. Ingress-Filtering eingesetzt. Um jedoch robuste Ansätze wie AMS zu verwenden, ist eine Unterstützung durch die beteiligten Router notwendig. 20

Algorithmische Grundlagen des Internets III

Algorithmische Grundlagen des Internets III Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets III schindel@upb.de Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen,

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Algorithmische Grundlagen des Internets II

Algorithmische Grundlagen des Internets II Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets II schindel@upb.de Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen,

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Internetanwendungstechnik (Übung)

Internetanwendungstechnik (Übung) Internetanwendungstechnik (Übung) IPv6 Stefan Bissell, Gero Mühl Technische Universität Berlin Fakultät IV Elektrotechnik und Informatik Kommunikations- und Betriebssysteme (KBS) Einsteinufer 17, Sekr.

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater Rechnernetze Übung 8 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2011 Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1 Repeater Switch 1 Keine Adressen 6Byte

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Thema IPv6. Geschichte von IPv6

Thema IPv6. Geschichte von IPv6 Geschichte von IPv6 IPv6 ist der Nachfolger des aktuellen Internet Protokolls IPv4, welches für die Übertragung von Daten im Internet zuständig ist. Schon Anfang der 90er Jahre wurde klar, dass die Anzahl

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

1. Netzwerkprogrammierung für mobile Geräte

1. Netzwerkprogrammierung für mobile Geräte 1. Netzwerkprogrammierung für mobile Geräte Lernziele 1. Netzwerkprogrammierung für mobile Geräte Themen/Lernziele: Konzepte der verbindungslosen Kommunikation beherrschen Client/Server-Anwendungen auf

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

shri Raw Sockets Prof. Dr. Ch. Reich

shri Raw Sockets Prof. Dr. Ch. Reich shri Raw Sockets Prof. Dr. Ch. Reich Szenario: Verschicken einer gespooften Ping-Message IP-Source-Adresse ist Adresse des Opfers Nachrichtenformat: IP-Header (normal, außer IP-Source-Address ist einstellbar)

Mehr

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1.

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1. Konfigurationsanleitung Quality of Service (QoS) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Quality of Service 1.1 Einleitung Im Folgenden

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Hauptdiplomklausur Informatik März 2002: Internet Protokolle

Hauptdiplomklausur Informatik März 2002: Internet Protokolle Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Professor Dr. W. Effelsberg Hauptdiplomklausur Informatik März 2002: Internet Protokolle Name:... Vorname:...

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Vorlesung 11: Netze. Sommersemester 2001. Peter B. Ladkin ladkin@rvs.uni-bielefeld.de

Vorlesung 11: Netze. Sommersemester 2001. Peter B. Ladkin ladkin@rvs.uni-bielefeld.de Vorlesung 11: Netze Sommersemester 2001 Peter B. Ladkin ladkin@rvs.uni-bielefeld.de Vielen Dank an Andrew Tanenbaum der Vrije Universiteit Amsterdam für die Bilder Andrew Tanenbaum, Computer Networks,

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

3 Das verbindungslose Vermittlungsprotokoll IP

3 Das verbindungslose Vermittlungsprotokoll IP Das verbindungslose Vermittlungsprotokoll IP 27 3 Das verbindungslose Vermittlungsprotokoll IP In diesem Kapitel lernen Sie das verbindungslose Vermittlungsprotokoll IP näher kennen. Nach dem Durcharbeiten

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004 NET 4: Security Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs Bioinformatik, in Hagenberg Sommersemester 2004 FH-Prof. Dipl.-Ing. Dr. Gerhard Jahn email: Gerhard.Jahn@fh-hagenberg.at 28. Mai

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Vorlesung: Netzwerke (TK) WS 2011/12 Kapitel 1 Vorbereitung für Praktikum Session 03

Vorlesung: Netzwerke (TK) WS 2011/12 Kapitel 1 Vorbereitung für Praktikum Session 03 Vorlesung: Netzwerke (TK) WS 2011/12 Kapitel 1 Vorbereitung für Praktikum Session 03 Prof. Dr. Michael Massoth [Stand: 19.10.2011] 3-1 3-2 Vorbereitung auf Praktikum: Versuch 1 Hausaufgabe: Schriftliche

Mehr

Transmission Control Protocol (TCP)

Transmission Control Protocol (TCP) Transmission Control Protocol (TCP) Verbindungsorientiertes Protokoll, zuverlässig, paketvermittelt stream-orientiert bidirektional gehört zur Transportschicht, OSI-Layer 4 spezifiziert in RFC 793 Mobile

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Universität Hamburg

Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Universität Hamburg Conflood a non-distributed DoS-Attack Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Florens Wasserfall (6wasserf@informatik.uni-hamburg.de) Kjell Witte (6witte@informatik.uni-hamburg.de)

Mehr

Was bringt die Zukunft

Was bringt die Zukunft Was bringt die Zukunft Alles, was erfunden werden kann, wurde bereits erfunden. Charles Duell, Chef des amerikanischen Patentamtes, 1899 Ich denke, dass es einen Weltmarkt für vielleicht fünf Computer

Mehr

Klausur - Computernetzwerke

Klausur - Computernetzwerke Klausur - Computernetzwerke Márk Félegyházi Zeit: 1.5 Stunden, keine Hilfmaterialien Gesamtpuntke: 50 2011.04.12 Name der/den Studenten(innen): NEPTUN: ===================================================

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

13 Umstellung auf das neue Protokoll

13 Umstellung auf das neue Protokoll 209 13 Umstellung auf das neue Protokoll Eine Umstellung auf ein neues Protokoll bedeutet für jeden Netzwerkverwalter eine Bedrohung. Die Notwendigkeit einer Netzabschaltung und die Gefahr von Störungen

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Botnetze & DDoS-Attacken

Botnetze & DDoS-Attacken Botnetze & DDoS-Attacken Perstling, Tabibian 8. Juni 2012 Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 1 / 33 Übersicht Botnetze Bots Aufbau und Kommunikation (C&C, zentralisierte/dezentralisierte

Mehr

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1)

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1) Netzwerke Teil 4 Adressierung und Netzwerkklassen 11.09.2011 BLS Greifswald Folie 1/26 Netzwerk-Adressierung (1) Ein Protokoll der Netzwerkschicht muss grundsätzlich gewährleisten, das jeder Knoten mit

Mehr

Rechnernetze I Übungsblatt 6. Anne Martens, Felix J. Oppermann

Rechnernetze I Übungsblatt 6. Anne Martens, Felix J. Oppermann Rechnernetze I Übungsblatt 6 Anne Martens, Felix J. Oppermann 19. Juni 2006 Übungsblatt 6 1 1 TCP - Sicherheit a) Zunächst wird dem Paket zum Zweck der Prüfsummenberechnung ein Pseudoheader vorangestellt

Mehr

IP-Adresse und Netzmaske:

IP-Adresse und Netzmaske: IP-Adresse und Netzmaske: 1.) Gehört 134.169.34.218 in das Netz 134.169.34.192/26? Antwort: Wir sehen eine Netzmaske der Größe 26 (das ist das Zeichen /26). Das soll heißen: Das Netzwerk hat eine 26 Bit

Mehr

TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am

TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am TCP/IP Grundlagen verfasst von wintools4free.dl.am visit: www.tgss.dl.am www.wintools4free.dl.am Das Internet ist ein Heute weit verbreitetes Medium, das auf eine große Resonanz stößt. War das Internet

Mehr

Die IP-Adressierung. IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6

Die IP-Adressierung. IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6 Die IP-Adressierung IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6 1 Post-Adresse / IP-Adresse Post-Paket IP-Paket 193.135.244.14 Herr Hans

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!?

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!? Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch You are Skyping - But How Does it Work!? 1 Gliederung You are Skyping - But How Does it Work!? Probleme

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Grundlagen zum Internet. Protokolle

Grundlagen zum Internet. Protokolle Grundlagen zum Internet Grundlagen zum Internet Protokolle TCP/IP Die TCP/IP Protokollfamilie ICMP ARP TCP RARP IP UDP X.25 Ethernet FDDI... IP Das Internet Protokoll (IP) Funktionen des IP-Protokolls

Mehr

Computernetze In Brief

Computernetze In Brief Computernetze In Brief Inhaltsverzeichnis: Computernetze...1 In Brief...1 Inhaltsverzeichnis:...2 Routing...3 1. Load Balancing / Load Sharing...3 2. IP ROUTE Befehl...3 3. Classful / Classless...4 4.

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Wie funktioniert die Zeitsynchronisation in Windows Netzwerken: http://support.microsoft.com/kb/816042 MSDN Blog

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Institut für Informatik Prof. Dr. Bernhard Bauer Stephan Roser Viviane Schöbel Wintersemester 07/08 Übungsblatt 5 08.01.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1:

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Technische Realisierungen von Sperren im Internet

Technische Realisierungen von Sperren im Internet Technische Realisierungen von Sperren im Internet Prof. Dr. Universität Regensburg Lehrstuhl Management der Informationssicherheit http://www-sec.uni-regensburg.de/ 1 Technische Realisierungen von Sperren

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

IPv6 das neue Internetprotokoll

IPv6 das neue Internetprotokoll Handout zum Thema IPv6 das neue Internetprotokoll im Rahmen des Seminars Internet Protokolle bei Joern Clausen. Von Alexa Breuing und Belkis Sahin IPv6 das neue Internetprotokoll Überblick über IPv6 IPv6

Mehr

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung - Dienst wird in den Betriebssystemen Windows 2000 Advanced Server und Windows 2000 Datacenter Server bereitgestellt.

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin. Wireless Security IT Security Workshop 2006 Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.de HU-Berlin - Institut für Informatik 29.09.2006 (HU-Berlin - Institut

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Chapter 7 Distanzvektorprotokolle. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 7 Distanzvektorprotokolle. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 7 Distanzvektorprotokolle CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

IPv6: Fragen, Antworten & Diskussion

IPv6: Fragen, Antworten & Diskussion IPv6: Fragen, Antworten & Diskussion 40. DFN-Betriebstagung 09.-10. März 2003 IPv6-Forum Tina Strauf (JOIN) 1 Werden die IPv4-Adressen tatsächlich bald ausgehen? Prognosen reichen von 2005-2020 2,4 von

Mehr

Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 04.06.2004 7. Vorlesung

Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 04.06.2004 7. Vorlesung Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 04.06.2004 7. Vorlesung 1 Kapitel III Skalierbare Peer to Peer-Netzwerke Tapestry von Zhao, Kubiatowicz und Joseph (2001) Netzw erke 2 Tapestry

Mehr