Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr. E.h. Wolfgang Weber

Transkript

1 Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr. E.h. Wolfgang Weber Studienarbeit 282 Methoden zur Unterbindung einer Kommunikation zwischen zwei Rechnern Für die Sicherheit ist der Status des aktuellen Netzwerkverkehrs von Interesse. Eine Absicherung findet durch eine Firewall statt, indem der Datenstrom sofort restriktiv gesperrt werden kann. Eine interne Kommunikation innerhalb eines Sub-Netzes kann hingegen durch eine Firewall nicht unterbunden werden. Das Ziel ist es nun, Methoden zur Unterbindung einer Kommunikation zwischen zwei Rechnern zu entwickeln. Hierfür sind zunächst die möglichen Mechanismen zur prinzipiellen Trennung und Blockierung von Verbindungen auf TCP- und UDP-Basis zu untersuchen. Die Realisierung soll mittels eines geeigneten Mechanismus erfolgen, wobei die Möglichkeit bestehen soll, die Kommunikation auf bestimmten Ports zu unterbinden. Die Software soll ein GUI Interface zur Steuerung und zum Sperren der einzelnen Kommunikationkanäle erhalten. Zum Testen der Software sollen geeignete Testprogramme entwickelt und die einzelnen Testdurchläufe entsprechend protokolliert werden. Die Software ist mit MS Visual C++ unter MS Windows NT zu realisieren. Alle Entwicklungsschritte sind zudem projektbegleitend zu dokumentieren. (Prof. Dr.-Ing. Wolfgang Weber) Bearbeiter: cand.-ing. Oliver Thomas Bethge Matrikel-Nummer: Betreuer: Dipl.-Ing. Thomas Droste Bearbeitungszeitraum: WS 1999/2000

2 Inhalt Inhalt 1 Einleitung Mögliche Angriffsmethoden Datenstrom-Mitschnitt Trojanische Pferde Winnuke Angriffe Teardrop Angriffe Juggernaut Angriffe Netzwerkprotokolle ISO/OSI-Modell Funktionen der einzelnen Schichten TCP/IP-Modell Transmission Control Protocol Funktionsumfang Header User Datagram Protocol Funktionsumfang Header Vergleich zwischen TCP- und UDP-Verbindungen TCP-Zustandsdiagramm Verbindungsaufbau Verbindungsabbau NetBEUI Header Problemstellung Erkennung bestehender Verbindungen Lösungsansatz Windows Sockets Network Driver Interface Verbindungsübernahme Realisierung Windows Sockets ClosePort ServiceScannner ServiceServer Network Driver Interface

3 Inhalt 7.3 Verbindungsübernahme Zusammenfassung Ausblick Literatur...39 Anhang

4 Kapitel 1 Einleitung 1 Einleitung In der Zeit der modernen Informationsgesellschaft gewinnt die Netzwerksicherheit immer mehr an Bedeutung. Schäden durch mißbräuchliche Nutzung der Informationsressourcen können finanzielle Schäden und Image-Schäden von enormem Ausmaßen verursachen. Die vom Computer Emergency Response Team Coordination Center (CERT-CC) verzeichneten sicherheitsrelevanten Vorfälle steigen ständig waren es weltweit weniger als 200, 1991 etwa 400, 1993 schon 1400 und 1994 sogar 2241 bekannte Fälle. Die Anzahl dieser sicherheitsrelevanten Vorfälle kann jedoch kein genaues Bild über den Verlauf geben, da viele Firmen Vorfälle erst gar nicht melden. Ein nicht abzuschätzender Teil sicherheitsrelevanter Vorfälle wird zudem von den Betroffenen erst gar nicht bemerkt. Zudem existiert keine Statistik, wie viele Vorfälle überhaupt entdeckt werden. Firmen bieten ihren Kunden Sicherheitstests ihrer Computernetze an. Dabei wird versucht, mit Erlaubnis der Computernetzbetreiber in die Netze einzudringen. Der Test wird dabei mit den gleichen Methoden und Werkzeugen vorgenommen, welche auch Hacker 1 benutzten, dabei werden nur 4 Prozent der durchgeführten Eindringversuche überhaupt bemerkt. Zu einem sicheren System gehöhrt folglich nicht nur die Abschottung des Systems gegen unberechtigte Zugriffe, sondern ebenso Methoden um Eindringversuche festzustellen und zu unterbinden. In dieser Arbeit soll die Möglichkeit untersucht werden, eine Verbindung zwischen zwei Rechnern zu beenden (vgl. Abbildung 1-1). Rechner A Kommunikation Rechner B Rechner A Kommunikation Rechner B Abbildung 1-1: Unterbinden der Kommunikation zwischen zwei Rechnern 1 Hacker - Jemand der sich unberechtigt Zugriff zu Informationen verschafft. 3

5 Kapitel 1 Einleitung Dabei soll eine bestehende Verbindung zwischen zwei Rechnern, die von zwei verschiedenen Prozessen aufgebaut worden ist, durch einen dritten Prozeß abgebaut werden. Es handelt sich immer um die Interaktion zwischen zwei Rechnern, d.h. der Prozeß zum Beenden der Verbindung wird immer auf einem der beiden Rechner ausgeführt. Der gezielte Abbau einer Kommunikation ist nötig, um Angriffe auf einen Rechner abwenden zu können. Es ist notwendig verschiedene Vorgehensweisen zu behandeln, die als Ergebnis die Unterbrechung der Verbindung mit sich führen. Der Benutzer des Rechners steht dabei außen vor. 4

6 Kapitel 2 Mögliche Angriffsmethoden 2 Mögliche Angriffsmethoden In diesem Kapitel werden einige Angriffsmethoden exemplarisch erläutert, diese gilt es entsprechend zu erkennen und abzufangen. 2.1 Datenstrom-Mitschnitt Eine Angriffsmethode ist das Mitlesen des Datenstroms (vgl. Abbildung 2-1), welcher über ein Netzwerk übertragen wird. Angreifender Rechner Mitlesen Rechner A Datenstrom Rechner B Abbildung 2-1: Mitlesen des Datenstroms einer Verbindung Werden Daten unverschlüsselt übertragen, ist es möglich aus dem gewonnenen Informationen weitergehende Angriffsversuche einzuleiten. Bei der Nutzung von bestimmten Diensten, wie z.b. bei Zugriffen über Telnet 2, FTP 3, POP 4 und HTTP 5, werden Paßwörter im Klartext übertragen. Durch den Mitschnitt des Datenstroms sind die Paßwörter für diese Dienste direkt im Klartext lesbar. Diese unverschlüsselten Dienste werden als gefährliche Dienste eingestuft, da sie die Datenübertragung unverschlüsselt durchführen. Sichere, verschlüsselte Dienste sind z.b. SSH 6 und HTTPs 7. 2 Telnet - Terminal Emulation 3 FTP - File Transfer Protocol 4 POP - Post Office Protokoll 5 HTTP - Hyper Text Transport Protocol 6 SSH - Secure Shell 7 HTTPs - Secure Hyper Text Transport Protocol 5

7 Kapitel 2 Mögliche Angriffsmethoden 2.2 Trojanische Pferde Trojanische Pferde 8 werden über Wirt-Programme in Systeme eingeschleust. Der Benutzer installiert das Wirt-Programm und gleichzeitig das Trojanische Pferd selbst auf dem Rechner. Die Wirt-Programme könne z.b. per verschickt werden oder ein Benutzer lädt sie sich selbst aus dem Internet herunter. Das Wirt-Programm täuscht nützliche Anwendungen (Bildschirmschoner, Spiele, usw.) vor, verheimlichen aber ihren eigentlichen Sinn (vgl. Abbildung 2-2). Wirt-Programm Trojanisches Pferd Abbildung 2-2: Verkapselung eines Trojanischen Pferdes Die Trojanischen Pferde sammeln z.b. nach der Installation gezielt Daten auf dem Rechner. Die gewonnen Informationen gespeichert, bis sich eine geeignete Möglichkeit ergibt, sie zum Angreifer zu übertragen. Eine Übertragung zum Angreifer geschieht z.b. als Anhang an eine oder über eine neu aufgebaute Netzwerk-Verbindung. 2.3 Winnuke Angriffe Mittels eines denial of service -Angriffs wird versucht die Netzwerkschnittstelle eines Rechners mit überhöhtem Netzwerkverkehr zu blockieren. Die unter dem Namen Winnunke bekannt gewordenen Programme können dadurch das Betriebssystem eines Rechner zum Absturz bringen. Betroffen sind verschiedene Betriebsysteme, wie z.b. Microsoft Windows 95 und Windows NT. Diese Betriebssysteme besitzen eine fehlerhafte Implementation der Netzwerkschnittstelle, welche von Winnuke Programmen ausgenutzt wird. 8 Trojanisches Pferd analog zur gr. Geschichte um den Kampf um Troja 6

8 Kapitel 2 Mögliche Angriffsmethoden Angreifer OOB Daten Zielrechner Abbildung 2-3: Winnuke Angriff Durch Senden von OOB 9 -Datenpaketen (vgl. Abbildung 2-3) an die Netzwerkschnittstelle werden unvorhersehbare Ereignisse ausgelöst, wodurch ein Rechner zum Absturz gebracht werden kann. Ein Angriff auf z.b. ein Microsoft Windows 95 oder Windows NT-System erfolgt durch senden der Daten an den Zielport 139 (NetBEUI). 2.4 Teardrop Angriffe Die unter dem Namen Teardrop bekannten Programme können die Betriebssysteme verschiedener Plattformen zum Absturz bringen. Es handelt sich um einen denial of service -Angriff. Betroffen sind u.a. die Betriebssysteme der Firma Microsoft und das Betriebssystem Linux. Die Teardrop Programme nutzen einen Fehler bei der TCP/IP- Protokoll-Implementierung der Betriebssysteme aus. Es werden überlappende ICMP 10 /IP 11 Fragmente (vgl. Abbildung 2-4) an die Netzwerkschnittstelle eines Rechners gesendet. Dadurch erreicht die Netzwerkschnittstellenimplementierung der Betriebssysteme einen nicht definierten Zustand und kann das Betriebssystem zum Absturz bringen. Angreifer überlappende ICMP/IP Fragmente Zeilrechner Abbildung 2-4: Teardrop Angriff 9 OOB - Out of Band 10 ICMP Internet Control Message Protocol 11 IP Internet Protocol 7

9 Kapitel 2 Mögliche Angriffsmethoden 2.5 Juggernaut Angriffe Durch einen Juggernaut 12 Angriff wird das Übernehmen einer existierenden Verbindung beschrieben. Dafür schaltet sich das Programm Juggernaut in die bestehende Kommunikation zwischen zwei Rechnern ein (vgl. Abbildung 2-3). Angriffsrechner Rechner A Übernehmen Kommunikation Trennen der Verbindung Rechner B Abbildung 2-5: Funktionsweise von Juggernaut Diese Angriffe funktionieren unabhänig von dem auf dem angegriffen Rechner verwendeten Betriebssystem. Anfällig von dieser Angriffsmethode sind besonders die Telnet- und FTP-Verbindungen. Eine zwischen den Rechnern A und B bestehende Verbindung wird z.b. vom Angreifer zum Rechner B abgebaut. Dem Rechner A wird vorgetäuscht der ursprüngliche Kommunikationspartner, vormals Rechner B, zu sein. Durch das Übernehmen der Verbindung ist es möglich, gezielt Informationen von dem Rechner A auszuspähen. Wird z.b. eine Telnet Verbindung übernommen, hat der ursprüngliche Kommunikationspartner sich bereits am Rechner A mit Namen und Paßwort angemeldet. Der Angreifer hat mit Übernahme der Verbindung so die Sicherheitsmechanismen des Dienstes umgangen und kann ungehindert die gewünschten Informationen ausspähen. 12 Juggernaut - Moloch 8

10 Kapitel 3 Netzwerkprotokolle 3 Netzwerkprotokolle 3.1 ISO/OSI-Modell Das ISO 13 /OSI 14 -Modell ist 1978 entworfen worden, um eine Kommunikation zwischen verschiedenen Systemen und unterschiedlichen Herstellern mit ihren eigenen Netzwerkprotokollen zu definieren. In Abbildung 3-1 ist das ISO/OSI-Modell dargestellt. Schicht 7 Anwendungsschicht Schicht 6 Darstellungsschicht Schicht 5 Sitzungsschicht Schicht 4 Transportschicht Schicht 3 Netzwerkschicht Schicht 2 Sicherungsschicht Schicht 1 Physikalische Schicht Abbildung 3-1: Schichten des ISO/OSI-Modells Es gliedert sich in sieben Schichten, welche jeweils unterschiedliche Funktionen besitzen. Die Kommunikation geschieht schichtweise. Jede Schicht überträgt immer nur Daten zur nächst höheren und nächst unteren Schicht. 13 ISO - International Standart Organisation 14 OSI - Open Systems Interconnection 9

11 Kapitel 3 Netzwerkprotokolle Funktionen der einzelnen Schichten Schicht 7, Anwendungsschicht (Application Layer): Diese Schicht ist das Bindeglied zwischen den Netzwerkfunktionen und der eigentlichen Anwendung. Die Anwendung kommuniziert nur mit der Anwendungsschicht. Alle anderen Schichten bleiben der Anwendung verborgen. Schicht 6, Darstellungsschicht (Presentation Layer): In der Darstellungsschicht werden die Darstellungsformate der übertragenen Nachrichten betrachtet. Sie übersetzt verschiedene Codes und Formate so, daß eine gemeinsam bekannte Darstellungsart zwischen den Systemen zur Verfügung steht. Schicht 5, Sitzungsschicht (Session Layer): Die Sitzungsschicht ist die unterste Schicht des Anwendungssystems 15. Ihre Aufgabe ist das Aufrechterhalten der Verbindungen. In dieser Schicht können logische Benutzer gleichzeitig über mehrere Verbindungen kommunizieren. Bricht eine Verbindung zusammen, so baut diese Schicht sie wieder auf. Schicht 4, Transportschicht (Transport Layer): Diese Schicht ist die oberste Schicht des Transportsystems 16. Die Transportschicht stellt den höheren Schichten ein Kommunikationssystem zur Verfügung. Die höheren Schichten sehen nur die Transportschicht. Diese baut logische Verbindungen zwischen Rechnern auf. Diese werden durch Transportadressen gekennzeichnet. Schicht 3, Netzwerkschicht (Network Layer): Die Aufgabe dieser Schicht ist der Austausch von Paketen von nicht direkt miteinander verbundenen Rechner-Stationen. Hier wird das Routing, d.h. die Wegwahl, bestimmt und es werden die Sicherungsschicht-Verbindungen gemultiplext. Die Pakete die zu Sicherungsschicht gegeben werden, werden auf eine einheitliche Länge geschnitten (Sequenzbildung). Es wird eine Flußkontrolle und Fehlerbehandlung durchgeführt. Schicht 2, Sicherungsschicht (Data Link Layer): In dieser Schicht werden Verbindungen aufgebaut und beendet. Informationen werden in Datenpakete zerteilt. Die Schicht führt mittels Prüfsummen eine Erkennung von Übertragungsfehlern durch und steuert die Reihenfolge der Datenpakete. 15 Anwendungssystem - Das Anwendungssystem beinhaltet die Schichten 5-7 im ISO/OSI Modell 16 Transportsystem - Das Transportsystem beinhaltet die Schichten 1-4 im ISO/OSI Modell 10

12 Kapitel 3 Netzwerkprotokolle Schicht 1, Physikalische Übertragungsschicht (Physical Layer): Die Übertragungsschicht ermöglicht die physikalische Kommunikation. Die Datenpakete werden auf die Leitung (z.b. Kupfer, Glasfaser, Luftschnittstelle) umgesetzt. Die Realisierung der Schicht hängt von der gewählten Netzwerktopologie ab. 3.2 TCP/IP-Modell Das TCP 17 /IP- Modell ist aufgrund seiner großen Verbereitung ein De-facto-Standard. Es läßt sich komplett in das ISO/OSI-Modell einbinden (vgl. Abbildung 3-2), das Internet Protokoll deckt dabei die Schicht 3 und das Transmission Control Protocol die Schicht 4 im ISO/OSI-Modell ab. ISO/OSI-Modell TCP/IP-Modell Anwendungen Anwendungsschicht Standart: Erweiterte Anwendunge: Systemmeldungen: Darstellungsschicht FTP Telnet NFS Drucker Server Fehlerbehandlung Sitzungsschicht SMTP Transportschicht Trnsmission Control Protocol (TCP) User Datagram Delivery Protocol (UDP) Netzwerkschicht Internet Protocol (IP) Addres Resolution Protocol (ARP) Internet Control Message Protocol (ICMP) Sicherungsschicht Physikalische Schicht Übertragungsmedium Abbildung 3-2: Einordung des TCP/IP-Modells in das ISO/OSI-Modell 17 TCP - Transmission Control Protocol 11

13 Kapitel 3 Netzwerkprotokolle 3.3 Transmission Control Protocol Das Transmission Control Protocol (TCP) ist ein verbindungsorientiertes Punkt-zu- Punkt-Protokoll. Es garantiert eine folgerichtige und zuverlässige Übertragung. Die Sender- und Empfängeradressen werden weltweit nur einmal vergeben und mittels vier durch Punkte getrennte Zahlentupel angegeben. Jede dieser Zahlentupel kann einen maximalen dezimalen Wert von 255 annehmen. Eine eindeutige Netzwerkadresse setzt sich aus der Sender- oder Empfängeradresse und einer Portnummer (vgl. Anhang-B) zusammen. Es wird zwischen reservierten und nicht reservierten Ports unterschieden. Reservierte Ports liegen unterhalb von 1024, alle darüber liegenden werden als die nicht reservierten Ports bezeichnet. Eine Verbindung zwischen zwei Rechnern wird von einem nicht reservierten Port zu einem reservierten Port aufgebaut. Ein reservierter Port übernimmt eine bestimmte Aufgabe. So steht z.b. der Port Nummer 23 für eine Telnet-Verbindung, oder Port Nummer 25 für eine FTP-Verbindung. Da Übertragung paketweise erfolgt, muß der Protokollstack des Empfängers die erhaltenen Pakete der Reihe nach sortieren, um die Information zu erhalten. Pakete die den Empfänger nicht erreichen müssen erneut gesendet werden Funktionsumfang Das Transmission Control Protocol besitzt mehrere Funktionen: End-to-End-Kontrolle: Um eine korrekte Datenübertragung zu gewährleisten, existiert beim TCP ein Quittierungsmechanismus. Dabei wird jedes beim Empfänger ankommende Paket bestätigt. Erreicht ein Paket den Empfänger nicht, so wird es erneut vom Sender geschickt. Verbindungsmanagement: Das Verbindungsmanagement des TCP besteht aus drei Teilen: dem gesicherten Aufbau, dem Aufrechterhalten während der gesamten Kommunikation zwischen Sender und Empfänger sowie dem gesicherten Abbau der Verbindung. Flußkontrolle: Die Flußkontrolle besteht aus der fortlaufenden Numerierung der Datenpakete, der Bestätigung der empfangenen Daten durch dem Empfänger und einem Fenstermechanismus. Mit der Flußkontrolle wird ein Datenverlust und der Überlauf von Datenpuffern verhindert. Multiplexen von Verbindungen: Damit mehrere Verbindungen gleichzeitig über das TCP aufgebaut werden können, d.h. damit mehrere Anwendungen gleichzeitig auf das TCP zugreifen können, werden den einzelnen Anwendungen Ports zugeordnet. 12

14 Kapitel 3 Netzwerkprotokolle Zeitüberwachung von Verbindungen: Es findet beim TCP eine Zeitüberwachung statt. Werden Datenpakete innerhalb eines zeitlich definierten Zeitraums nicht quittiert, so werden diese vom Sender erneut gesendet. Spezialfunktionen: Beim TCP existieren zwei spezielle Funktionen Urgent Data und der Push- Mechanismus. Mit diesen Funktionen können Vorrang-Daten gekennzeichnet werden, die bevorzugt übertragen werden. Fehlerbehandlung: Das TCP führt eine Fehlerkontrolle durch. Entsteht ein Fehler, so wird dies der nächst niedrigeren Schicht mitgeteilt, und das verlorengegangene Paket wird erneut angefordert Header In Abbildung 3-3 ist der TCP Header dargestellt Sendeport Empfängerport Sequenznummer Quittungsnummer Abstand Reserviert Kontrollbits Fenstergröße Prüfsumme Urgent-Zeiger Optionen Füllzeichen Abbildung 3-3: TCP Header Sendeport: Das Feld hat eine Länge von 16 Bit und zeigt die Absenderadresse eines Prozesses an. Durch den Sendeport wird angegeben, von welchem Dienst eines höheren Protokolls Daten übermittelt worden sind. Der Sendeport und die IP-Adresse bilden zusammen einen Socket. Wird eine Verbindung über einen Socket aufgebaut, so kommunizieren die Kommunikationspartner beide während der gesamten Zeit über die gleichen Ports. Diese Ports bleiben aber nur für die Dauer einer Verbindung identisch. Empfängerport: Das Feld ist ein 16 Bit Datenwort und zeigt die Zieladresse auf dem Zielrechner an. Eine Verbindung wird eindeutig aus der IP-Adresse des Senders und Empfängers sowie dem Sendeport und Empfängerport gebildet. 13

15 Kapitel 3 Netzwerkprotokolle Sequenznummer: Das Feld besteht aus 32 Bit. Jedem einzelnen Datenpaket bei einer TCP- Verbindung wird eine Sequenznummer zugeordnet. Im Laufe der Kommunikation wird die Sequenznummer mit jedem Datenpaket um eins erhöht. Quittungsnummer: Die Quittungsnummer (Acknowledge-Nummer) hat eine Länge von 32 Bit und ist ein Mechanismus zur Flußkontrolle. Jedes Paket wird bei der Übertragung fortlaufend numeriert (Sequenznummer). Es wird eine Quittungsnummer erzeugt, die den Empfang des Paketes bestätigt und so gleichzeitig anzeigt, welches Paket als nächstes erwartet wird. Abstand: Der Abstand hat einen Umfang von 4 Bit und gibt die Anzahl der 32-Bit-Datenworte im TCP Header an. Das Abstandsfeld ist wegen der veränderlichen Größe des Optionenfelds notwendig. Reserviert: Das Feld ist 6 Bit lang. Es ist für zukünftige Einstellungen reserviert und wird auf 0 vordefiniert. Kontrollbits: In diesem Feld (vgl. Abbildung 3-4) sind eine Reihe von Flags, die zum Aufbau, Abbau und zur Aufrechterhaltung einer Verbindung dienen URG ACK PSH RST SYN FIN Abbildung 3-4: TCP Kontrollbits Urgent-Zeiger-Bit (URG): Ist das Urgent-Zeiger-Bit-Feld auf 1 gesetzt so zeigt es an, daß das Urgent- Zeiger-Feld im TCP Header beachtet werden muß. Dieses dient zur Markierung von Vorrangdaten. Acknowledge-Bit (ACK): Ist das Acknowledge-Bit auf 1 gesetzt, so zeigt es an, daß das Acknoledge- Feld im TCP Header zu beachten ist. Das Acknowledge-Feld bestätigt empfangene Daten. Push-Bit (PSH): Das Push-Bit zeigt, auf 1 gesetzt, an, daß die empfangenen Daten direkt an die nächsthöhere Schicht weitergeleitet werden sollen. Diese Funktion ist auch als Push-Mechanismus bekannt. 14

16 Kapitel 3 Netzwerkprotokolle Reset-Bit (RST): Das Reset-Bit zeigt, auf 1 gesetzt, an, daß der eine Verbindungspartner die Verbindung beenden will. Synchronisation-Bit (SYN): Mit dem auf 1 gesetzten Synchronisations-Bit teilt der Sender dem Empfänger mit, daß eine Verbindung aufgebaut werden soll. Final-Bit (FIN): Ist das Final-Bit auf 1 gesetzt, so ist die Verbindung endgültig beendet und der Sender überträgt keine Pakete mehr von höheren Protokollen. Fenstergröße: Das Feld hat einen Umfang von 16 Bit und dient zur Flußkontrolle zwischen dem Sender und dem Empfänger. Der Fenstermechanismus teilt dem Sender mit, wie groß der verbleibende Puffer beim Empfänger ist. So wird verhindert, daß Pakete unbestätigt versendet werden und der Empfänger-Puffer überläuft. Prüfsumme: Die Prüfsumme ist ein Datenfeld von 16 Bit Länge und wird aus dem TCP Header und einem 96 Bit Pseudo-Header gebildet. Sie besteht aus dem 16-Bit-Einerkomplement der Einerkomplementsumme aller 16-Bit-Wörter im Header und in den Daten. Folgende Teile sind im Pseudo Header vorhanden: IP-Sendeadresse (32 Bit) IP-Empfängeradresse (32 Bit) Leerfeld (8 Bit) Protokollindentifikator (8 Bit) Information über die Länge des TCP Segmentes (16 Bit) Urgent-Zeiger: Die Feldlänge des Urgent-Zeiger beträgt 16 Bit. Dringliche Daten werden mit dem Urgent-Zeiger(URG)-Bit und dem Urgent-Zeiger versehen und stehen immer am Anfang eines TCP-Paketes. Der Urgent-Zeiger zeigt die Position des letzten dringenden Pakets an. Wird zu der Sequenznummer der Urgent-Zieger addiert, ergibt sich die Nummer des letzten dringenden Pakets. Optionen: Das Feld hat eine veränderliche Länge. In dem Optionen Feld ist es möglich Service-Optionen zu definieren. Die TCP Optionen setzen sich aus einem Oktett Optionsart und optional einen Oktett Optionslänge und Optionsdaten zusammen. Folgende TCP Optionen existieren bis jetzt: End of Option List: Für diese Option ist die Optionsart auf 0 festgelegt worden. Sie zeigt das Ende aller zu übertragenden Optionen an und hat eine Länge von 8 Bit. 15

17 Kapitel 3 Netzwerkprotokolle No Option List: Für diese Option wurde die Optionsart 1 festgelegt. Sie dient zur Trennung zwischen zwei Optionen und besitzt eine Länge von 8 Bit. Maximum Segment Size: Die Option hat die Optionsart 2. Durch sie wird die maximale Segmentlänge zwischen den Kommunikationspartnern festgelegt. Die Option wird bei einem Verbindungsaufbau benutzt und hat eine Länge von 16 Bit. Füllzeichen: Das Feld Füllzeichen stellt sicher, daß die Länge des TCP Headers immer ein Vielfaches von 32 Bit beträgt. Ist der Header zu kurz so werden in diesem Feld Füllzeichen eingefügt. Die Option hat einen Umfang von 8 bis 24 Bit. 3.4 User Datagram Protocol The Department of Defense s User Datagram Protocol (UDP) ist ein verbindungsloses Protokoll. Es ist in RFC definiert. Das UDP hat im Gegensatz zum TCP einen kleineren Daten-Overhead für die Adressierung. Es ist deshalb schneller und wird oft zur Übermittlung großer Datenmengen eingesetzt Funktionsumfang Das UDP übernimmt mehrere Funktionen: Transportdienst: Der wesentliche Unterschied zwischen dem TCP und dem UDP liegt in der Verbindungsüberwachung. Im Gegensatz zum TCP überprüft das UDP nicht die korrekte Übergabe der Daten an den Empfänger, d.h. die gesendeten Pakete werden vom Empfänger nicht quittiert. Erreichen bei der Übertragung Pakete den Empfänger nicht, werden diese nicht wie beim TCP noch einmal geschickt. Beim UDP muß die über dem UDP liegende Applikationsschicht die Aufgabe der Transportkontrolle übernehmen. Verbindungs-Management: Das UDP baut keine aktive Verbindung zwischen Sender und Empfänger auf. Es werden, wie bei dem darunterliegenden IP-Protokoll, die einzelnen Pakete völlig unabhängig voneinander versendet. Die Applikationsschicht steuert hierbei die Daten zwischen Sender und Empfänger. 18 RFC - Request for Comment 16

18 Kapitel 3 Netzwerkprotokolle Flußkontrolle: Es existiert beim UDP keine Flußkontrolle. Es gibt keine Sequenz- und Acknowledge-Nummern wie beim TCP. Die höheren Schichten übernehmen die Flußkontrolle. Multiplexen von Verbindungen: Damit mehrere Verbindungen gleichzeitig über das UDP aufgebaut werden können, d.h. damit mehrere Anwendungen gleichzeitig auf das UDP zugreifen können, werden den einzelnen Anwendungen Ports zugeordnet. Eine Verbindung ist immer durch die IP-Adresse des Empfängers und die Portnummer beim Empfänger gekennzeichnet. Das UDP wird insbesondere für folgende Anwendungen benutzt: Name Service Protokoll (EIN 116) Trivial File Transfer Protokoll (TFTP) Network File System (NFS) Boot Protokoll (BootP) Simple Network Management Protokoll (SNMP) Domain Name Service Protokoll (DNS) Zeitüberwachung der Verbindung: Eine Zeitüberwachung findet beim UDP im Gegensatz zum TCP nicht statt, d.h. Datenübertragung wird nicht zeitlich geprüft. Die höheren Schichten müssen die Zeitüberwachung abdecken. Spezialfunktionen: Die vom TCP her bekannten speziellen Funktionen wie z.b. Urgent Data werden vom UDP nicht unterstützt. Hier ist es wieder Aufgabe der höheren Schichten, diese Funktionen zu erfüllen, wenn sie benötigt werden. Fehlerbehandlung: Je nach Implementation des UDP in den verschiedenen Betriebssystemen wird eine minimale Fehlerkontrolle durchgeführt. Entstehen Fehler, so kann das UDP diese an die höhere Schicht mitteilen. Ist keine Fehlerkontrolle implementiert, so ist es Aufgabe der höheren Schicht, diese zu übernehmen. 17

19 Kapitel 3 Netzwerkprotokolle Header Der UDP Header besteht aus dem Sendeport, dem Empfängerport, der Paketlänge und der Prüfsumme (vgl. Abbildung 3-5) Sendeport Empfängerport Paketlänge Prüfsumme Abbildung 3-5: UDP Header Sendeport: Der Sendeport ist ein optionales Feld mit einer Länge von 16 Bit. Es dient dazu, daß bei Antworten die Sendeport-Adresse direkt angesprochen werden kann. Setzt ein Sender keinen Wert für dieses Feld, so wird es auf 0 gesetzt. Empfängerport: Der Empfängerport ist ein Feld mit einer Länge von 16 Bit. Dieser stellt den Port des Empfängers an den der Sender das Paket schickt dar. Paketlänge: Das Feld hat eine Länge von 16 Bit und zeigt die gesamte Länge des UDP-Pakets inklusive Headers an. Ein UDP-Paket hat immer eine minimale Länge von 8 Oktetten, dies entspricht genau der Länge des Headers. Prüfsumme: Die Prüfsumme ist ein optionales Feld von 16 Bit Umfang. Nicht jede Implementation des UDP berücksichtigt diese Feld. Wird keine Prüfsumme berechnet, so wird das Feld automatisch auf 0 gesetzt. Die Prüfsumme wird aus dem UDP-Header und einem 96 Bit Pseudo-Header gebildet. Sie setzt sich aus dem 16 Bit Einerkomplement der Einerkomplementsumme aller 16 Bit Wörter im Header und Daten zusammen. Folgende Teile werden im Pseudoheader zusammen gefaßt: IP Sende Adresse (32 Bit) IP Empfänger Adresse (32 Bit) Leerfeld (8 Bit) Protokollindentifikator (8 Bit) Informationen über die Länge des UDP Segmentes (16 Bit) 18

20 Kapitel 3 Netzwerkprotokolle 3.5 Vergleich zwischen TCP- und UDP-Verbindungen Die Tabelle 3-1 zeigt die wesentlichen Unterschiede zwischen dem TCP und dem UDP. Es wird deutlich, daß das UDP besser zur schnellen Übertragung von großen Datenmengen geeignet ist, wogegen des TCP eine gesicherte Übertragung gewährleisten kann. Funktion TCP UDP Ende-zu-Ende-Kontrolle ja nein Zeitüberwachung der Verbindung ja nein Spezialfunktionen (z. B. Urgent Data ) ja nein Flußkontrolle über das Netz hinweg ja nein Zuverlässige Datenübertragung ja nein Geschwindigkeit mittel hoch Erkennung von Paketduplikaten ja nein Reihenfolgerichtige Übertragung ja nein Verbindung wird aufgebaut ja nein Multiplexen von Verbindungen ja ja Tabelle 3-1: Vergleich von TCP- und UDP-Protokoll 3.6 TCP-Zustandsdiagramm In Abbildung 3-6 sind die möglichen TCP-Zustände mit ihren Übergängen dargestellt. Closed Segmentaustausch Passive Open Aktive Open Open Fehler Passive Open Active Open Closing Established Passive Open Send Abbildung 3-6: Vereinfachtes TCP Zustandsdiagramm 19

21 Kapitel 3 Netzwerkprotokolle Ein Service kann dabei folgende Zustände besitzen: Closed: Es besteht keine Verbindung. Passive Open: Der Port nimmt durch Passiv Open initialisierte Verbindungsaufrufe entgegen. Es wird auf den Verbindungsaufbau gewartet. Dabei werden Vorrangdaten und Sicherheitsstufen berücksichtigt. Active Open: Der Port nimmt eine durch Active Open initialisierte Verbindungsaufrufe entgegen. Es wird ein aktiver Verbindungsaufbau gestartet. Dabei werden Vorrangdaten und Sicherheitsstufen berücksichtigt. Established: Die Verbindung ist aufgebaut. Closing: Die Verbindung wird durch den Nutzer kontrolliert abgebaut. Eine Verbindung kann über Active Open oder Passive Open initialisiert werden. Dieser Zustand geht in den Established-Zustand über, d.h. die Verbindung ist aufgebaut und Daten können gesendet werden. Sollen keine Daten mehr gesendet werden, so wird der Zustand Closing angenommen. Die Verbindung wird kontrolliert abgebaut. Ist die Verbindung abgebaut, ist der Zustand Closed erreicht und eine neue Verbindung kann über Active Open oder Passive Open aufgebaut werden. Für den Verbindungsaufbau können folgende Serviceroutinen genutzt werden: Active Open Active Open mit Daten voll spezifiziertes Passive Open unspezifiziertes Passive Open Eine TCP-Verbindung wird immer von einem Port auf dem Quellrechner zu dem Port auf dem Zielrechner aufgebaut. Diese Verbindung kann aktiv oder passiv aufgebaut werden. Wird die Verbindung passiv aufgebaut, wartet der Rechner auf den Verbindungsaufbau über einen bestimmten Port. Der passive Verbindungsaufbau kann voll spezifiziert, nur zu einem bestimmten Port, oder unspezifiziert, zu einem beliebigen Port, geschehen. Beim aktiven Verbindungsaufbau baut der Quellrechner eine Verbindung zu einem Empfängerrechner auf. Der Empfängerrechner ist dabei im Passive Open-Modus, oder er baut eine Active Open-Verbindung zum gleichen Port auf Verbindungsaufbau Der Verbindungsaufbau ist in Abbildung 3-7 dargestellt. 20

22 Kapitel 3 Netzwerkprotokolle Active Open SYN senden Closed Passive Open SYN gesendet Close Close Listen SYN empfangen Established SYN empfangen SYN gesendet Abbildung 3-7: Verbindungsaufbau Eine Verbindung wird immer von dem Zustand Closed aus aufgebaut. Sie kann mit Active Open oder Passive Open initialisiert werden. Wird die Verbindung mit Passive Open initialisiert, wird der Zustand Listen erreicht. Beim aktiven Aufbau wird das SYN-Zeichen gesendet und der SYN-Zustand wird angenommen. Dieser Zustand wird so lange aufrecht erhalten, bis ein Timer abgelaufen ist. Danach wird automatisch wieder der Zustand Closed angenommen. Wenn das SYN-Zeichen hingegen vom Empfänger positiv beantwortet wird, wechselt der Zustand zu Established. Der Empfänger, der mit Passive Open im Listen-Zustand war, erreicht den Established-Zustand. Bekommt ein Empfänger kein SYN-Zeichen gesendet, kann er wieder in den Closed- Modus übergehen. Im Established-Zustand können die Daten übertragen werden Verbindungsabbau Abbildung 3-8 dargestellt. Der Verbindungsabbau ist in Close FIN senden Established FIN empfangen FIN Wait Close Wait FIN Empfangen Closed Close FIN senden Abbildung 3-8: Verbindungsabbau 21

23 Kapitel 3 Netzwerkprotokolle Eine Verbindung wird immer vom Sender mit dem FIN-Bit beendet und gelangt damit den FIN-Wait-Status. Wird das FIN positiv beantwortet, so wird wieder der Closed- Modus angenommen. Ist das FIN empfangen worden, so gelangt ein Empfänger direkt in den Close-Wait-Status. Nach Versenden des FIN wird die Verbindung abgebaut und der Closed-Zustand angenommen. Es existieren zwei Möglichkeiten, eine Verbindung zu beenden: Graceful Close und Abort. Beim Graceful Close schließen die höheren Übertragungsprotokolle auf beiden Seiten die Verbindung. Dies kann gleichzeitig oder nacheinander geschehen, das TCP koordiniert den Verbindungsabbau. Die Verbindung wird erst abgebaut, wenn alle restlichen Daten übertragen worden sind, um Datenverlust zu vermieden. Die zweite Möglichkeit ist der Abort. Eine Verbindung wird mit Abort beendet, wenn die Verbindung einseitig abgebaut werden muß, z.b. bei einem fehlgeschlagenen Authentifizierungsversuch bei einem sicheheitsrelevantem Dienst. Dabei baut ein höheres Protokoll eines Kommunikationspartners die Verbindung einseitig ab. Das TCP koordiniert den Abbau der Verbindung in diesem Fall nicht und es kann zu Datenverlust kommen. 3.7 NetBEUI Das NetBEUI ist ein nicht routingfähiges Protokoll. Es besteht die Möglichkeit die Routing-Fähigkeit der Protokolle TCP/IP- oder IPX zu nutzen in dem NetBEUI-Pakete an diese gebunden werden. NetBEUI arbeitet auf den TCP/IP Ports 137 bis 139 (vgl. Tabelle 3-2). Ursprünglich ist NetBEUI von der Firma IBM entwickelt worden, um kleine Netzwerke zu verbinden. Es können maximal 254 Rechner auf einmal miteinander verbinden. Name Port Beschreibung NetBEUI-ns 137/tcp Name Service NetBEUI-ns 137/udp Name Service NetBEUI-dgm 138/tcp Datagram Service NetBEUI-dgm 138/udp Datagram Service NetBEUI-ssn 139/tcp Session Service NetBEUI-ssn 139/udp Session Service Tabelle 3-2: NetBEUI Ports 22

24 Kapitel 3 Netzwerkprotokolle Header In Abbildung 3-9 ist der NetBEUI Header dargestellt Länge Signatur Kommando Datenlänge Resyncindikator Reserviert Antwortverknüpfung Empfänger-Session Sender-Session Beginn Datenbereich Abbildung 3-9: NetBEUI Header Länge: Das Feld ist 16 Bit lang und zeigt die Anzahl der zu übermittelnden Daten an. Signatur: Die Signatur wird zum Identifizieren der übertragenen Pakete eingesetzt. Sie hat eine Länge von 16 Bit. Kommando: Das Feld ist 8 Bit lang und zeigt die Netzwerkaktion an, die ausgeführt werden soll (Daten anfordern, Verbindung aufbauen). Datenlänge: Das Feld hat einen Umfang von 8 Bit und zeigt an, wie viele 32-Bit-Datenworte im Header vorhanden sind. Resyncindikator: Das Feld hat eine Länge von 16 Bit. Die Funktion dieses Feldes ist ein Mechanismus zur Flußkontrolle. Um eine gesicherte Übertragung zu ermöglichen können hier fehlende oder nicht korrekt übertragene Datenpakete ermittelt werden. Reserviert: Das Feld erstreckt sich über 16 Bit. Dieses Feld ist für zukünftige Funktionen reserviert und wird immer auf 0 gesetzt. Antwortverknüpfung: Das Feld hat eine Länge von 16 Bit. Die Funktion dieses Feldes ist es, die richtige Reihenfolge der empfangenen Pakete herzustellen. Empfänger-Session: Dieses Feld zeigt an, welche Anwendung oder welcher Dienst die Pakete erhalten soll und ist 8 Bit lang. Sender-Session: Das Sender-Session-Feld zeigt an, von welcher Anwendung oder von welchem Dienst die Pakete stammen. Es hat einen Umfang vom 8 Bit. 23

25 Kapitel 4 Problemstellung 4 Problemstellung Zwischen zwei Rechnern besteht eine aktive Kommunikation. Diese wird im Normalfall systematisch wieder von beiden Kommunikationspartnern abgebaut. Ziel ist es jetzt, die Kommunikation von einem externen Prozeß auf einem der beiden Rechner zu unterbinden bzw. zu beenden. Dazu sind verschiedener Mechanismen, die als Ergebnis die Unterbrechung dieser Kommunikation (vgl. Abbildung 4-1) zwischen den beiden Rechnern mit sich führen, zu untersuchen. Die geeignet zu entwickelnde Routine soll die Kommunikation zwischen zwei Rechnern beenden. Rechner A Kommunikation Rechner B Befehl zum Abbau der Verbindung Rechner A Kommunikation Rechner B Rechner A Kommunikation ist beendet Rechner B Abbildung 4-1: Problemstellung Abbau einer Verbindung Als Eingangsparameter werden die Daten der vorhanden Kommunikation zwischen zwei Rechnern übernommen, welche zuvor festgestellt werden müssen (vgl. Kapitel 5). Die Routine soll als Modul realisiert werden, um diese in mehreren Programmen nutzen zu können. 24

26 Kapitel 5 Erkennung bestehender Verbindungen 5 Erkennung bestehender Verbindungen Um eine Verbindung zwischen zwei Rechnern abbauen zu können ist es notwendig, die bestehenden Verbindungen eines Rechners zu kennen. Zu einer Verbindung gehören Informationen, welche diese eindeutig identifizieren. Dazu gehören z.b.: aktive Verbindungen Protokolltyp Quellrechner Zielrechner Sende und Empfängerport Status (Listening, Established,...) Eine einfache Möglichkeit diese Informationen zu erhalten wird z.b. mittels des Programms Netstat (MS Windows 9x/NT) erreicht, welches für die Verbindungsanalyse zur Verfügung steht. Die möglichen Eingabeparameter sind in Abbildung 5-1 mit den jeweiligen Funktionen aufgelistet. Abbildung 5-1: Netstat /? Alle aktiven Verbindungen eines Rechners werden mit Netstat -a angezeigt. Abbildung 5-2 zeigt die aktuellen Verbindungen des Rechners thread. 25

27 Kapitel 5 Erkennung bestehender Verbindungen Abbildung 5-2: Netstat -a Die neunte Zeile von oben zeigt z.b. einen TCP Socket auf dem Rechner thread am NetBEUI-Port 137 der den Status Listening besitzt. D.h. der Rechner thread erwartet auf dem Port 137 einen Verbindungsaufbau. In der zwölften Zeile ist eine TCP-Verbindung vom Port 1027 des Rechners thread zum Port nbsession des Rechners thing mit dem Status Time Wait. Der Rechner thread wartet auf Daten vom Rechner thing. Eine Schnittstellenstatistik für die Netzwerkkarte wird mittels Netstat -e ausgegeben (vgl. Abbildung 5-3). Abbildung 5-3: Netstat -e 26

28 Kapitel 5 Erkennung bestehender Verbindungen Die dritte Zeile zeigt die Menge der übertragenen Bytes an. Es wird die Anzahl der Unicast- 19 (Zeile 4) und Nicht-Unicast-Pakete (Zeile 5) sowie die der verworfenen (Zeile 6) und fehlerhaften Pakete (Zeile 7) angezeigt. Bei der Ausgabe wird zwischen gesendeten und empfangenen Paketen unterschieden. Unten wird die Menge der unbekannten Protokolle angegeben. Die Routing-Tabelle sowie alle aktiven Verbindungen wird mit Netstat -r ausgegeben. Eine Routing-Tabelle beschreibt den Weg, mit der Pakete im Netzwerk verschickt werden. Abbildung 5-4: Netstat r Abbildung 5-4 zeigt in der dritten Zeile alle Pakete, die in die Netzwerkmaske mit der Subnetzmaske übereinstimmen, an das Gateway 20 mit der Adresse weitergeleitet werden. Alle Pakete, die an einen Rechner in dem lokalen Netz mit der Subnetzmaske adressiert sind werden nicht über das Gateway geschickt, sondern lokal versendet (Zeile 6). Pakete, die nur für den Rechner mit der IP-Adresse bestimmt sind, werden auf das Loopback Device 21 geschickt (Zeile 7). Dieser Rechner ( ) ist der lokale Rechner selbst. Der zweite Teil zeigt die aktiven Verbindungen. Die Darstellung ist analog zum Ergebniss vom Netstat a. 19 Unicast - nur zu einem Empfänger 20 Gateway - Netzknoten, der Pakete in ein anderes Netz transportiert 21 Loopback Device - Internes Netzwerkinterface auf dem eigenen Rechner. Wird genutzt, um den eigenen Rechner über das Netz anzusprechen. 27

29 Kapitel 6 Lösungsansatz 6 Lösungsansatz Das Problem eine Netzwerkverbindung zu kennen (vgl. Kapitel 5) kann durch drei Ansätze gelöst werden: mittels Windows Sockets, auf der Netzwerkschnittstelle oder durch Verbindungsübernahme. 6.1 Windows Sockets Der erste Ansatz ist im ISO/OSI-Modell auf der Ebene 7 (Anwendungsebene) einzuordnen und soll die Windows Socket Routinen nutzen. Die Microsoft Sockets basieren auf der Spezifikation der Sockets der Berkeley Software Distribution (BSD) der University of California in Berkeley. Die Implementation umfaßt die Socket-Routinen von der BSD und ist um spezielle Windows-Routinen erweitert. Viele Netzwerk-Software Hersteller unterstützen die Windows Sockets. Im Prinzip kann jedes Netzwerk-Protokoll mit den Windows Sockets kompatibel sein. Dafür bedarf es einer speziellen DLL 22 -Version. Für den Zugriff auf die Internet Protokolle TCP, UDP und IP stellt Microsoft unter den 16-Bit-Betriebssystemen die Programmierschnittstelle winsock.dll und unter den 32-Bit-Betriebssystemen wsock32.dll zur Verfügung. Eine allgemeine Schnittstelle zur Internetprogrammierung ist die Microsoft Foundation Classes (MFC). Sie kann grundsätzlich in vier Gruppen eingeteilt werden: Low Level Protokolle (TCP/UDP/IP) Anwendungsprotokolle Dateidienste Ausnahmebehandlungen Die MFC lassen sich unterteilen in: Low Level Win Socket-Klassen (vgl. Abbildung 6-1) und den Klassen auf der Anwendungsprotokoll-Schicht (vgl. Abbildung 6-2). CAsyncSocket CSocket CAsyncSocket CSocket WinSocket WinSocket TCP-/UDP-/IP- Datenpakete Internet TCP-/UDP-/IP- Datenpakete Abbildung 6-1: Schichten der Low Level Win Socket Klassen 22 DLL - Dynamic Link Libery 28

30 Kapitel 6 Lösungsansatz Die einzelnen Klassen setzen auf den Netzwerkschichten auf. Dabei stellt TCP-/UDP-/IP-Datenpakete die TCP/UDP/IP-Implementierung von Windows dar. Auf die Low Level-Ebene greifen die Klassen CSocket und CAsyncSocket zu. Beide Klassen unterstützen die Protokolle TCP und UDP. CFtpConnection CHttpConnection CGopher Connection CFtpConnection CHttpConnection CGopher Connection WinInet WinInet WinSocket WinSocket TCP-/UDP-/IP- Datenpakete Internet TCP-/UDP-/IP- Datenpakete Abbildung 6-2: Schichten der Anwendungsprotokoll-Klassen Die Anwendungsprotokoll-Klassen besitzen eine höhere Abstraktion in der Programmierung. Es wird nicht direkt auf TCP- oder UDP-Ebene zugegriffen, sondern mit den Anwendungsprotokoll-Klassen direkt auf die Anwendungsschicht im ISO/OSI-Modell zugegriffen. Zu den Anwendungsprotokoll-Klassen gehören die Klasse CFtpConnection zur Datenübertragung, die Klasse CHttpConnection zur Übertragung von HTML-Dokumenten und die Klasse CGopherConnection für Gopher- Übertragungen. 6.2 Network Driver Interface Der zweite Ansatz setzt auf die unteren Schichten des ISO/OSI-Modells auf. Es ist zu untersuchen ob eine Verbindung zwischen zwei Rechnern auf den untersten Ebenen beendet werden kann. Für die Realisierung ist die Network Interface Card-Ebene des Betriebssystems MS Windows NT zu betrachten. Dies entspricht in dem ISO/OSI- Modell der Physikalischen Schicht (Schicht 1) und einem Teil Sicherungschicht (Schicht 2). In Abbildung 6-3 ist die Einordnung der MS Windows NT Netzwerkebenen in das ISO/OSI-Modell abgebildet. 29

31 Kapitel 6 Lösungsansatz IOS/OSI-Modell Microsoft Modell Anwendungen Anwendungsschicht Standart: Erweiterte Anwendunge: Systemmeldungen: Darstellungsschicht Sitzungsschicht FTP Telnet SMTP NFS Drucker Server Fehlerbehandlung Transportschicht Netzwerkschicht Transport Driver Interface Ebene TDI Ebene Sicherungsschicht Logical Link Control Sicherungsschicht Media Access Control Physikalische Schicht Network Interface Card Ebene NIC Ebene Abbildung 6-3: Eingliederung der Windows NT Netzwerkebenen ins ISO/OSI- Modell 6.3 Verbindungsübernahme Die Idee des dritten Ansatzes besteht darin, eine TCP-Verbindung, die zwischen zwei Kommunikationspartnern besteht, zu übernehmen und die Verbindung zu beenden. Analog zum Juggernaut-Angriff (vgl. Kapitel 2.5) wird von einem dazwischen liegenden Prozeß die Verbindung übernommen. Der Unterschied hier liegt in der Initiierung der Übernahme, da die Übernahme vom eigenen System erfolgen soll (vgl. Abbildung 6-4). Dem zweiten Verbindungspartner der bestehenden Verbindung (Rechner B) wird vorgetäuscht, der richtige Kommunikationspartner dieser Verbindung zu sein. Dies geschieht indem durch den Prozeß zur Verbindungsübernahme auf dem Rechner B Pakete mit einer höheren Sequenznummer an den gleichen Sende- und Empfangsport geschickt werden. Dadurch kann die Verbindung übernommen werden. 30

32 Kapitel 6 Lösungsansatz Rechner A Rechner B Prozeß zum Übernehmem der Verbindung an Rechner B, Port 23, Sequneznr. 45 Port 1024 Sequneznr.44 Port 23 Sequneznr.44 Prozeß 1 Verbindung Prozeß 2 Abbildung 6-4: Verbindung durch einen anderen Prozeß übernehmen Mit senden des Abort-Signals von Rechner A aus wird die Verbindung mit Rechner B korrekt abgebaut (Abbildung 6-5). Prozeß zum beenden der Verbindung Abort Signal zu Recher 2 senden Prozeß 1 Ver- bindung Prozeß 2 Beenden der Verbindung Abbildung 6-5: Beenden einer Verbindung durch einen anderen Prozeß Dieser Ansatz läßt sich nicht mit den MFC-Klassen programmieren, da diese nur die exklusive Verwendung eines Ports für eine Anwendung erlauben. Weiterhin ist mit dem MFC-Klassen nicht möglich, die aktuelle Sequenznummer eines Paketes festzustellen. Es ist deshalb notwendig, für die Programmierung auf tieferen Netzwerkschichten zuzugreifen. 31

33 Kapitel 7 Realisierung 7 Realisierung 7.1 Windows Sockets Es sind drei Programme entwickelt worden: ClosePort, ServiceScanner und ServiceServer. Diese Programme werden folgend weiter erläutert ClosePort Das Ziel des Programms ist es alle Ports zu blockieren, um eine Verbindung für eine Kommunikation direkt abblocken zu können. Das Programm ClosePort (Abbildung 7-1) belegt sukzessiv alle Ports von 1 bis mit einem Windows Socket. Abbildung 7-1: ClosePort Es wird eine Schleife durchlaufen, welche nacheinander zunächst eine Socket erstellt und anschließend auf dem Socket hört (vgl. Abbildung 7-2). Schleife von 1 bis Erzeuge Socket Höre auf Socket Abbildung 7-2 Struktogramm ClosePort Wenn ein Port bereits von einem anderen Programm belegt ist, kann dieser Port nicht erneut belegt werden. Mit den MFC-Klassen ist es nicht möglich einen Socket aus einem anderen Programm heraus zu schließen. So bleibt das andere Programm auf dem Port aktiv. Wenn z.b. ein Http-Server auf dem Port 80 aktiv ist und ClosePort gestartet wird, bleibt der Server weiterhin aktiv, da der Port nicht mehrfach belegt 32

34 Kapitel 7 Realisierung werden kann. Wird hingegen ClosePort vor dem Http-Server gestartet, kann der Server den Port nicht belegen. Durch ClosePort werden alle freien Sockets bis Port Nummer belegt. Die Grenze Port Nummer ist frei gewählt. Ein Problem besteht darin, daß ClosePort für jeden Port einen eigenen Socket öffnet. Unter Microsoft Windows 95 kann es zu einer graduellen Vermehrung des durch das Betriebssystem beanspruchten Speicherplatzes kommen. Dies ist durch einen Fehler in dem Microsoft Windows 95 Kernel (Kernel32.dll) bedingt, der die Freigabe kleiner Datenstrukturen verhindert, welche durch das Öffnen und Schließen von Windows Sockets resultieren. Die Folge ist eine enorme Verringerung des Betriebssystemspeichers. Eine aktualisierte Version der Datei Kernel32.dll wird zur Lösung des Problem von Microsoft zur Verfügung gestellt. Microsoft Windows NT hat dieses Problem nicht. Ferner ist es jedoch, bedingt durch das Betriebssystem, nur möglich eine bestimmte Anzahl von Sockets gleichzeitig zu öffnen. Deshalb kann das Programm ClosePort nicht alle Ports eines Rechners blockieren ServiceScannner Der ServiceScanner (vgl. Abbildung 7-3) ist ein Programm zum systematischen Überprüfen eines Rechners nach belegten Ports. Das Programm arbeitet ebenso wie ClosePort (vgl. Kapitel 7.1.1) mit den MFC-Funktionen. Abbildung 7-3: ServiceScanner 33

35 Kapitel 7 Realisierung In das Feld Zielrechner wird die IP-Adresse oder der Netzwerk-Name des Zielrechners eingegeben. Durch betätigen des Start-Knopfes wird der Prüfvorgang eingeleitet. nein Wenn Eingabe Zielrechner und Taste Start gedrückt ja Schleife von 1 bis % Verbindung zum Zielrechner aufbauen nein Wenn Port auf Zielrechner antwortet ja % Portnummer ausgeben Abbildung 7-4: Struktogramm ServiceScanner Das Programm arbeitet dabei eine Schleife von 1 bis ab und versucht, zu jedem Port des Zielrechners eine Verbindung aufzubauen (vgl. Abbildung 7-4). Kann eine Verbindung aufgebaut werden, so wird die Portnummer, der Servicename und das verwendete Protokoll im Feld Konnektierbare Ports angezeigt. Das Programm eignet sich dazu, die Funktionsweise von ClosePort bzw. die belegten Ports eines Rechners zu überprüfen ServiceServer Ziel des Programms ServiceServer ist es gezielt einen Port belegen zu können, um ihn so für andere Anwendungen zu sperren bzw. einen Verbindungsaufbau zu diesem Port zu erkennen. Abbildung 7-5: ServiceServer Durch betätigen der Start-Taste wird ein Windows Socket für die angegebene Portnummer mit dem Status Listen erzeugt. 34

36 Kapitel 7 Realisierung nein Wenn Eingabe Portnummer und Taste Start gedrückt ja % Erzeuge Socket (Portnummer) Höre auf Socket (Portnummer) Abbildung 7-6 Struktogramm ServiceServer Initiiert ein Kommunikationspartner z.b. eine Telnet-Sitzung über den Port, so wird in dem Statusfeld die IP-Adresse des Kommunikationspartners ausgegeben. Der Status der Verbindung ist dann Established. Besteht bereits eine Verbindung zu einem Rechner und eine zweite Anfrage auf einen Port trifft ein, so wird die erste Verbindung geschlossen und die neue Verbindungsanfrage angenommen. Dieses Programm eignet sich dazu einzelne Ports zu sperren. Ist der ServiceServer auf einem Port aktiv, kann kein anderes Programm auf diesem Port eine Verbindung aufbauen. 7.2 Network Driver Interface Die Network Driver Interface Spezifikation greift direkt auf die Hardwareressourcen der Netzwerkkarte zu. Sie ist das unterste Bindeglied zwischen Netzwerkkarte Protokollimplementierung des Betriebssystems. Die Hardware wird nur von den NDIS- Funktionen angesprochen, alle anderen Netzwerkprotokollebenen greifen auf die NDIS-Funktionen zu. Die NDIS-Funktionen stellen eine fest spezifizierte Schnittstelle zwischen Netzwerkkarte und den über der NDIS liegenden Schichten dar. Microsoft stellt mit MS Windows 9x und MS Windows NT eine Reihe von NDIS-Bibliotheken zur Verfügung. Mit diesen Bibliotheken ist es möglich, ohne Wissen der Funktionsweise der Netzwerkkarte, auf standardisierte Funktionen zurückzugreifen. So ist eine einfache Programmierung der Netzwerkkarte gewährleistet. Diese standardisierten Funktionen stellen aber keine Möglichkeit zur Verfügung eine Verbindung zwischen zwei Rechnern zu terminieren. Die NDIS-Schnittstelle erlaubt auch den direkten Zugriff auf die Netzwerkkarte, d.h. es besteht die Möglichkeit direkt auf die hardwareabhängigen Funktionen der Netzwerkkarte zurückzugreifen. 35

37 Kapitel 7 Realisierung 7.3 Verbindungsübernahme Die Übernahme einer Verbindung ist bereits als Basement Research Kill (BRkill) bekannt. Durch ein Fehler in der TCP/IP-Implementierung von MS Windows 95 und MS Windows NT wird es einem Dritten erlaubt eine bestehende Verbindung auf diesen Rechnern zu beenden. Dafür wird nur die IP-Adresse und der TCP Port der Verbindung des Windows Rechners benötigt. Mit diesen Informationen ist es möglich, ein Connection Reset an den Windows Rechner zu senden. Beim BRkill wird ein Push Acknowledge (vgl. Kapitel 3.3.2) benutzt, um ein Connection Reset zu generieren. Das zurückgesendete Acknowledge-Feld enthält die letzte Acknowledge-Nummer der bestehenden TCP-Verbindung. Mit diesem Wissen ist es möglich, dem Windows Rechner ein Reset-Bit mit der letzten Acknowledge-Nummer als Sequenz-Nummer zu schicken. Das Acknowledge-Feld wird dabei auf 0 gesetzt. Die bestehende Verbindung wir dann abgebaut. Das Senden des Reset-Bits muß in einer relativ kurzen Zeitspanne geschehen. Es darf kein weiteres neues Paket mit einer höheren Acknowledge-Nummer vom Windows Rechner gesendet werden. Andernfalls würde die Sequenz-Nummer des Paketes mit dem Reset-Bit nicht mehr akzeptiert, weil sie zu niedrig wäre, und das Paket würde verworfen. Die Realisierung von BRkill enthält die Möglichkeit eine Reihe von höheren Sequenz-Nummern (Acknowledge-Bit + n) zu senden, um das Problem zu umgehen. Wenn auf dem Zielrechner viele bestehende TCP-Verbindungen existieren, ist es schwer eine bestehende Verbindung zu beenden, da eine Reihe von Acknowledge- Nummern existieren und nicht bekannt ist welche benötigt wird, um die Verbindung zu beenden. Mit steigender Anzahl von bestehenden Verbindungen wird es somit schwieriger eine bestimmte Verbindung auf diese Art zu beenden. Es ist nicht empfehlenswert diese Realisierung zur Verbindungsunterbrechung in der Praxis einzusetzen. Der entscheidende Nachteil besteht darin, daß sie auf einem Fehler in der TCP-Protokoll-Implementierung des Microsoft Betriebssystems aufbaut. Dieser Fehler ist in den Betriebssystemen MS Windows 95 und MS Windows NT 4.0 noch vorhanden, wird aber durch entsprechende Service Packs beseitigt. Desweiteren wird beim Beenden einer Verbindung mit BRkill auf dem Windows Zielrechner die Fehlermeldung The connections has been reset by the remote host ausgegeben. Dies stellt in dem Fall des Beendens der Verbindung durch einen Dritten nicht den Sachverhalt dar. 36