Distributed Denial of Service - Verteilte Attacken und Abwehrmöglichkeiten

Größe: px
Ab Seite anzeigen:

Download "Distributed Denial of Service - Verteilte Attacken und Abwehrmöglichkeiten"

Transkript

1 Distributed Denial of Service - Verteilte Attacken und Abwehrmöglichkeiten Autor: Adai Malki Universität Paderborn

2 2 Autor: Adai Malki 1 Einleitung Grundlagen Motive des Angreifers Ziele von DoS Attacken Distributed Denial of Service - DDoS Attacke Distributed Reflection Denial of Service - DRDoS Attacke DDoS Attacken IP Spoofing - Verschleierungstechnik für eine DoS Attacke Diverse Infizierungstechniken Random Scanning Hitlist Scanning Topological scanning / Signpost Scanning Local subnet scanning Automatisierungsgrad von DDoS Attacken Manueller Angriff Halbautomatischer Angriff Vollautomatischer Angriff Flood Attacken - Überlastung der Bandbreite bzw. Ressourcen TCP SYN Flood Smurf IP UDP Flood ICMP Flood Ausnutzung von Sicherheitslücken in der Logik bzw. Software Ping of Death Teardrop Land Echo/Chargen DDoS Angriffswerkzeuge Trinoo alias trin Tribe Flood Network (TFN) Tribe Flood Network 2 (TFN2k) Stacheldraht DDOS Abwehrmaßnahmen Präventive Maßnahmen Reaktive Maßnahmen Angriffserkennung Reaktion Abwehrmechanismen IP-Traceback Verfahren D-WARD Chameleon

3 Title Suppressed Due to Excessive Length 3 5 Schlußbetrachtung und Zukunfsaussicht Literaturverzeichnis

4 4 Autor: Adai Malki 1 Einleitung Alles was wir heute tun, sei es Musik hören, Filme sehen. Flüge buchen, Autorouten ansehen, einkaufen, Nachforschungen erstellen und vieles mehr, tun wir in dem wir uns der Internetdienste bedienen. Das Internet ist fest in unserer Gesellschaft verankert und gehört mittlerweile zu dem sozialen Umfeld. Fast alle Unternehmen weltweit bieten Ihrer Dienstleistungen im Internet an, sogar existieren hunderte von Unternehmen, die nur über das Internet agieren. Darunter sind viele Suchmaschinen, Communities, Auktionshäuer und sogar Banken. Man könnte sagen, dass ein Teil der heutigen Weltwirtschaft vom Internet getragen wird. Wo Erfolg ist, ist auch viel Neid. Aus Neid folgt Missgunst und daraus Kriminalität. Die gefährlichste und effektivste Kriminalität im Internet ist eine DDoS-Attacke. Diese Art von Angriffen wird realisiert, in dem sich ein Dritter unbefugt Zugang zu einem Rechner verschafft und diesen infiziert. Somit erlangt er eine gewisse Kontrolle über den Rechner. Angreifer bilden sich so ein riesiges Angriffsnetzwerk mit dem Sie effektiv Dienstleistungen blockieren können. Die Motive der Angreifer gehen von der einfachen Selbstdarstellung bis zur Erpressung. Im folgendem beschreibe ich in Kapitel 2 die Grundlagen von und gebe eine Einführung über DoS-Attacken. In Kapitel 3 gehe ich auf die genaue Funktions- und Vorgehensweise von DDoS- Attacken ein und stelle einige Angriffsarten und -tools vor. Kapitel 4 beinhaltet Abwehrmöglichkeiten und Konzepte von einigen Abwehrmechanismen. Mein Resümee gebe ich in Kapitel 5 wieder.

5 Title Suppressed Due to Excessive Length 5 2 Grundlagen Denial of Sevirce (DoS) Attacken sind Angriffe mit dem Ziel, die Nutzung der Dienste oder einer bestimmten Ressource eines Rechners/Servers so zu manipulieren, dass diese für einen berechtigten Benutzer nicht mehr zu Verfügung stehen. Eine favorisierte und immer wieder gern verwendete gern verwendete Methode ist die Überlastung eines Rechners/Servers. Somit können Webseiten, Web-Services oder EDV-Systeme nicht mehr zur Verfügung stehen. 2.1 Motive des Angreifers Die Angreifer nutzen die DoS-Angriffe, um letztendlich Ihre eigenen Ziele zu erreichen. Diese können folgende Motive antreiben: Selbstdarstellung Viele Angreifer, meist Hacker, wollen mit solchen Aktionen Ihre Macht, Überlegenheit und Ihr Können demonstrieren. Dies wollen Sie nicht nur den Nicht-Hackern beweisen, sondern es finden auch untereinander Konkurrenzkämpfe statt, denn jeder will der Beste sein. Wirtschaftliche Zwecke Vielen nutzen diesen Service, um ihrer Konkurrenz zu schwächen oder gänzlich auszuschalten. Ein zusätzlich relevanter Aspekt für Hacker, um solche Tools zu entwickeln, ist der lukrative Schwarzhandel.Eine große Anzahl haben nebenbei auch kriminelle Absichten, wie z.b. das Erpressen von großen Konzernen und führenden Internetunternehmen. 2.2 Ziele von DoS Attacken Die Ziele einer DoS Attacke können weiterhin in drei Kategorien aufgeteilt werden: 1. Überlastung der Bandbreite 2. Überlastung der Ressource 3. Ausnutzung vorhandener Sicherheitslücken In der 1. Kategorie geht der Angriff gezielt an das Netwerk und seine Verbindungswerkzeuge, z. B. an Router. Jeder Router kann nur eine bestimmte Menge an Daten gleichzeitig bearbeiten. Der Angreifer startet seine DoS Attacke und nimmt somit die ganze Kapazität der Bandbreite des Routers in Anspruch. All seine bereitgestellten Dienste wie z. B. Internetserver, können nicht mehr von anderen Benutzern genutzt werden. In der 2. Kategorie geht der Angriff gezielt auf die Ressourcen eines Systems. Die Funktionsweise ähnelt der der 1. Kategorie. Hier nutzt man die Eigenschaft, dass jeder Webserver nur eine bestimmte Anzahl an Verbindungen herstellen kann. Diese füllt man mit sinnlosen oder ungültigen Anfragen,

6 6 Autor: Adai Malki so dass auf echte Anfragen nicht mehr reagiert wird. Die 3. Kategorie ist am leichtesten durchzuführen, sofern man die Sicherheitslücken eines Systems kennt. Hier werden Fehler im Programm dazu benutzt, um ein kompletten Absturz des Systems zu erreichen. Häufig werden Sicherheitslücken auch dafür genutzt, um Bots unbemerkt auf den Systemen zu installieren. Am meisten sind die Haus-Pc s davon betroffen. Ein Bot ist ein kleines Programm, das beim erhalten eines Befehls einen DoS Angriff startet. Angreifer nutzen die Bots, um die Durchschlagkraft ihrer Attacken zu verstärken. Erfolgt diese Attacke von mehreren Systemen koordiniert, so spricht man folglich von Distributed Denial of Service (DDoS), also verteilten DoS- Angriffen. 2.3 Distributed Denial of Service - DDoS Attacke Am Ende der 90er Jahre trat eine neue DoS-Idee auf, nämlich die DDoS Attacke. Einige Opfer der DDoS Attacke waren u.a. die Internetportale Yahoo und das Auktionshaus ebay. Um einen DDoS Angriff zu starten, errichten sich böswillige Benutzer - Angreifer zuerst ein Netzwerk aus infizierten Rechnern - Hosts, damit die Resonanz des Angriffs und somit die Überlastung des Zielsystems erreicht wird. Die Angreifer scannen systematisch das gesamte Netzwerk auf der Suche nach Wirte, die so genannten Host, die Sicherheitslücken aufweisen. Verwundbare Hosts sind die, die keine Antivirus-Software haben oder diese nicht mehr auf dem aktuellsten Stand sind. Die Angreifer nutzen diese Sicherheitslücken, um sich unbefugten Zugang zu den Hostsystemen zu beschaffen, damit sie ihre Angriffswerkzeuge unbemerkt installieren können. Infizierten Hosts nennt man Zombies. Die Zombies bilden das Angriffsnetzwerk und sind bereit, auf Befehl des Angreifers, eine gezielte Attacke auszuführen. Des Weiteren werden die Zombies ebenfalls für das scannen des Netzwerkes genutzt. Dank vorgefertigten und frei verfügbaren Programmen ist das Scannen, Finden und das Infizieren von verwundbaren Host sehr einfach geworden. Diese Programme arbeiten selbständig und absolut automatisiert, so dass man in einer relativ kurzen Zeit ein großes Angriffsnetzwerk bilden kann. Die Angriffsnetzwerke können folglich der Abbildung 1 von einen oder mehreren Angreifern kontrolliert werden und haben meist eine Master - Slave Struktur. 2.4 Distributed Reflection Denial of Service - DRDoS Attacke Anders als beim typischen DDoS Angriff besteht das Angriffsnetzwerk des DRDoS s folglich [1] aus Handler/Master, Agenten/Slave und Reflektoren. Das Angriffsszenario auf diese Weise bis zu einem bestimmten Punkt so

7 Title Suppressed Due to Excessive Length 7 Abb. 1. AngriffsNetzerk führt eine DDoS Attacke aus ähnlich wie die DDoS Attacke. Der Angreifer hat Kontrolle über die Handlerund diese haben kontrolle über die Agenten. Der Unterschied bei der DR- DoS Attacke ist, dass die Agenten den Befehl bekommen, einen Paketstrom in Form von Anfragen an nicht infizierte Hosts - Reflektoren zu senden. Wobei sie anstatt ihrer eigenen IP-Adresse, diejenige des Opfers einsetzen. Diese Anfragen bauen wiederholt neue Verbindungen zu den Reflektoren auf. Daraufhin ermahnen die Reflektoren, im Glauben das es sich um den infizierten Host handelt, das eigentliche Opfer mit einer höheren Verkehrsbelastung. Folglich der Abbildung 2 führen die Reflektoren die tatsächliche Attacke aus, ohne dass sie sich bewusst sind, ein Teil des Angriffs selbst zu sein. Betrachtet man DDoS und DRDoS, wird es deutlich, dass DRDoS effektiver ist als DDoS. Dies begründet sich zum einen, dank den Reflektoren, durch die Involvierung von mehreren Hosts und somit ist auch die Angriffsverteilung besser. Zum anderen führt die DRDoS Attacke folglich der Abbildung 2, durch die bessere Verteilung zu einer höheren Verkehrsbelastung und somit zum schnelleren erreichen des Angriffzieles.

8 8 Autor: Adai Malki Abb. 2. AngriffsNetzerk führt eine DRDoS Attacke aus 3 DDoS Attacken Bevor man einen DDoS Angriff starten kann, müssen einige Vorkehrungen getroffen werden. In diesem Kapitel stelle ich die wichtigsten Vorbereitungen und Angriffe vor. 3.1 IP Spoofing - Verschleierungstechnik für eine DoS Attacke Ip-Spoofing ist eine Methode mit dem man die Identität eines Dritten annehmen kann, um seine eigene Identität zu verbergen. Die Abbildung 3 zeigt eine normale Kommunikation zwischen Sender und Empfänger. Die Abbildung 4 zeigt wie Client A sich die Identität von B aneignet und ein gefälschtes Paket an den Server sendet.

9 Title Suppressed Due to Excessive Length 9 Abb. 3. IP-Spoffing - Gültige Senderadresser Abb. 4. IP-Spoffing - Gefälschte Senderadresse 3.2 Diverse Infizierungstechniken Die Angreifer können verschiedene Arten der Techniken verwenden, meist Scanning-techniken, um verwundbare Hosts zu finden und zu infizieren [2] [3] [4]. Auf diese Art und Weise beginnt der Aufbau eines Angriffsnetzes. Die wichtigsten Infizierungsverfahren sind folgende: Random Scanning In dieser Technik überprüft der Angreifer oder ein infizierte Host zufällig IP- Adressen in einem bestimmten IP-Adressraum nach weiteren verwundbaren Hosts. Sobald bald man einen Host findet, der Sicherheitslücken aufweist, verschafft man sich Zugang und infiziert diesen mit dem gleichen Programm. Diese Technik verursacht selbst sehr viel Verkehr, da viele Hosts dieselben

10 10 Autor: Adai Malki Adressen überprüfen. Jedoch hält das nicht lange an, da die Anzahl neu entdeckter IP-Adressen relativ schnell sinkt. Ein Vorteil für den Angreifer ist, dass diese Scannmethode sehr schnell das Infizierungsprogramm verbreitet. Dieses wird offensichtlich verständlich, wenn wir die Analyse von [5] über die Zerstreuung des Code-Roten Wurmes (CRv2) betrachten, der ebenfalls das Random Scanning für die Verbreitung verwendet Hitlist Scanning Der Angreifer sammelt eine Liste mit verwundbaren Host bevor er sein Angriffsnetz aufbaut. Nun beginnt der Angreifer die Liste abzuarbeiten. Sobald bald er einen Host findet, der Sicherheitslücken aufweist, verschafft er sich Zugang und infiziert diesen. Weiterhin teilt der Angreifer die Liste, mit den noch nicht überprüften Hosts in die Hälfte und übergibt eine Hälfte dem infizierten Host. Nun suchen sowohl Angreifer als auch der infizierte Host anhand ihrer Liste, nach demselben Verwahren, neue verwundbare Hosts. Dieses Verwahren garantiert, dass alle Hosts mit Sicherheitslücken gefunden werden und durch die ständige Listenhalbierung eine schnelle Abarbeitung der Liste erfolgt. Weiterhin wird mehrfaches Überprüfen einer Host folglich [6] ausgeschlossen. Nun wie am Anfang erwähnt, muss der Angreifer, bevor das Scannen beginnt, eine Liste zusammenstellen. Somit hat er genügend Zeit sich langsam eine Liste zu erstellen. Ein weiterer Vorteil eines langsamen Scannens zur Listenerstellung ist folglich [7], das dies, aufgrund der niedrigen Frequenzerzeugung, unbemerkt bleibt. Weiterhin sollte erwähnt werden, dass es öffentliche Server wie der Netcraft- Survey [3] existieren, die solche Hitlisten ohne Scannen erstellen können Topological scanning / Signpost Scanning Topologisches Scannen verwendet die Informationen, die auf dem infizierten Host vorhanden sind, um neue Ziele zu finden. In dieser Technik sucht ein infizierter Host in den Laufwerken nach URLs, die er infizieren möchte. Dann überprüft er diese URLziele auf Sicherheitslücken. Die Tatsache, dass diese URLs gültige Webserver sind, bedeutet, dass der infizierte Host mögliche Ziele direkt vom Beginn der Scannphase überprüft. Aus diesem Grund ist die Genauigkeit dieser Technik extrem gut und vergleichbar mit dem HitList Scanning. Folglich kann topologisches Scannen ein großes Angriffsnetzwerk extrem schnell herstellen Local subnet scanning Diese Art des Scannens kann zu anderen Techniken hinzugefügt werden und fungiert hinter einer Firewall, wo bereits ein infizierter Host vorhanden ist.

11 Title Suppressed Due to Excessive Length 11 Unter Verwendung dieser Technik kann ein einzelner Host viele verwundbare Hosts hinter der Firewall infizieren. Das Code-Rot II [6] und der Nimda Wurm [8] verwenden Local subnet scanning. Weitere Infizierungstechniken wie permutation scanning, central source propagation, back-chaining propagation und autonomous propagation finden man in [7] oder horizontal Scanning, vertical Scanning, coordinated Scanning und stealthy Scanning in [6]. 3.3 Automatisierungsgrad von DDoS Attacken Die Durchführung der Infizierungstechniken kann folglich [6] manuell oder automatisiert laufen. Anhand des Automatisierungsgrad differenzieren wir zwischen manuellen, halbautomatischen und automatischen DDoS Angriff Manueller Angriff Der Angreifer scannt manuell das Netzwerk nach verwundbaren Hosts. Er verschafft sich den Zugang, installiert und führt das Angriffsprogramm aus. Diese Methode wurde bei den früheren DDoS Angriffe durchgeführt. Heutzutage wurden alle Infizierungsprozesse automatisiert Halbautomatischer Angriff In den halbautomatischen Angriffen laufen die Infizierungsprozesse völlig automatisch ab. Jedoch ist der Zeitpunkt, der Zielopfer, die Art und Dauer des Angriffes noch nicht injiziert. Hier besteht das DDoS Netz aus der Master- Slave-Struktur, wie in Abbildung 1. Der Angreifer nutzt diese Struktur um sein Injizierungspaket über das Angriffsnetzwerk zu verteilen und damit den Angriff zu starten. Basierend auf dem Kommunikationsmechanismus, der zwischen Handler und Agent stattfindet, unterteilen wir den halbautomatischen Angriff folglich [6] nach direkter und indirekter Kommunikation. Direkter Kommunikation Bei der direkten Kommunikation müssen Handler und Agenten ihre Identitäten gegenseitig kennen, um miteinander in Verbindung zu bleiben. Dies geschieht meistens, in dem die Identität des Händlers in das Infizierungsprogramm implementiert wird. Sobald ein Agent vom Handler infiziert wird, sendet er anhand der implementierten Identität eine Bestätigung mir der eigenen Identität an den Handler. Nun kennen sich Händler und Agent untereinander. Ein großer Nachteil für den Angreifer ist bei dieser Prozedur, dass sobald ein infiziertes Host entdeckt wird, das ganze Angriffsnetzwerk transparent und erkannt werden kann.

12 12 Autor: Adai Malki Indirekte Kommunikation Hier verwenden die Angreifer irgendeinen gesetzmäßigen Kommunikationsservice, um ihre Angriffsmodalitäten im gesamten Angriffsnetzwerk zu synchronisieren. Folglich [6] nutzen Angreifer IRC (Internet chat program) Kanäle für die Ausführung der Attacke. Ein IRC hat den Vorteil, dass es ein legaler Dienst ist, wodurch die Infizierung nicht entdeckt wird. Die Kommunikation wird nun mittels des IRC s realisiert. Eine Implementierung der Handleridentität im Infizierungsprogramm ist nicht mehr notwendig. Dadurch verringert sich das Risiko, dass beim Entdecken eines einzelnes infiziertes Hosts, das gesamte Angriffsnetzwerk auffliegt Vollautomatischer Angriff Beim automatischen Angriff wird auf die Kommunikation zwischen den Angreifer und das Angriffsnetz verzichtet. Die Attacke erfolgt, in dem man schon beim Infizierungsprogramm alle notwendigen Daten wie Zeitpunkt, Zielopfer, Art und Dauer des Angriffes implementiert. Daher empfiehlt es sich, den automatischen Angriff für einmalige Attacken zu benutzen. Der Nachteil ist natürlich, dass beim Erkennen eines infizierten Hosts, der gesamte Angriffsplan bekannt ist. Das Opfer kann Vorkehrungen treffen und sich auf die Attacke vorbereiten. Der Angriff scheitert. Des Weiteren besteht folglich [6] die Möglichkeit, bei dem Infizierungsprogramm etwas Ähnliches wie ein Backdoor - Hintertür einzubauen. Dies ermöglicht dann mittels IRC eine spätere Änderung der Angriffsmodalitäten. 3.4 Flood Attacken - Überlastung der Bandbreite bzw. Ressourcen Dieser Art von Angriff ist darauf ausgerichtet, die Bandbreite oder die Ressourcen eines System bzw. Dienstes so zu überlasten, dass dieser nicht mehr in der Lage ist Anfragen von regulären Benutzern zu bearbeiten TCP SYN Flood Der Angreifer nutzt den Fehler im TCP three-way handshaking Verhalten aus, indem er Anfragepakete zum Aufbau einer Verbindung mit unerreichbaren bzw. gefälschten Absenderadressen zum Opfer sendet [9]. Das Opfer ist nicht in der Lage, den Aufbau einer Verbindung abzuschließen und somit verschwendet er seine Ressourcen. Eine verhältnismäßig kleine Menge der gefälschten Pakete wäre in der Lage Arbeitsspeicher, CPU und andere Ressourcen zu lähmen bzw. den kompletten Absturz eines Server zur erreichen Smurf IP Der Angreifer sendet, mit der Opfer-IP gefälschte Internet Control Message Protocol (ICMP) Echo-Pakete an die Broadcast-Adresse eines großen Netzw-

13 Title Suppressed Due to Excessive Length 13 erkes. Daraufhin senden folglich [10] alle Systeme im Netzwerk ihre ICMP- Echoantworten zum Opfer. Dieses führt zu einer schnellen Auslastung der Bandbreite und reguläre Anfragen können somit nicht mehr oder nur teilweise vom Opfer bearbeitet werden UDP Flood Das User Datagram Protocol (UDP) ist ein verbindungsloses Protokoll, d. h. Daten können ohne einen Verbindungsaufbau übertragen werden [11]. Eine UDP Flood Attacke wird realisiert, indem der Angreifer ein UDP-Paket zu einem zufällig ausgewählten Ports vom Opfersystem sendet. Daraufhin versucht das Opfersystem herauszufinden, welche Anwendung auf diesen Port wartet. Sobald feststeht, dass keine Anwendung wartet, sendet das Opfersystem eine ICMP-Paket -Zieladresse nicht erreichbar- an die gefälschte Absenderadresse. Treffen genügend UDP-Pakete auf diverse Ports beim Opfer an, führt diese Attacke zu einem Systemabsturz ICMP Flood Bei dem ICMP Flood gibt es grundlegend zwei Arten von Angriffen, Flutungen bzw. Überlastungen und Atomisierungen [12]. Das Fluten wird normalerweise durch zwei Methoden realisiert. Die erste sendet Pings, keine IRC-Pings sondern ICMP-Pings. Die zweite sendet UDP-Pakate welche in Software wie z. B. PointCast genutzt werden. Die Idee ist, eine enorme Anzahl an Daten zu senden, dass das System so verlangsamt wird und somit vom IRC, durch das Pingtimeout getrennt wird. Atomisierung zerstreut Bots (Infizierungsprogramme) in bestimmten Betriebsystemen wie Windows 95 und Windows NT. Die Idee dahinter ist, ein nicht behandelbares Informationspaket an das Betriebssystem zu senden. Daraufhin stürzt oder bricht das System ab. Folglich CERT NUKE führt WinNuke zu dem Blue Screen Phänomen. 3.5 Ausnutzung von Sicherheitslücken in der Logik bzw. Software Bei dieser Art von Attacken werden speziell deformierte Pakte vom Angreifer an das Opfer gesendet. Die Pakete sind so manipuliert, dass sie die Sicherheitslücken eines bestimmten Betriebssystems ausnutzen, um diesen zum Absturz zu bringen Ping of Death Ein Angreifer schickt dem Opfer ein ICMP Echo Request Paket, das viel größer ist als die maximale Standart-IP-Paketgröße. Hierdurch wird, aufgrund eines Implementierungsfehlers des IP-Protokolls auf diverse Betriebssystemen beim Empfänger einen Buffer Overflow erzeugt. Durch das Buffer Overflow werden beim Empfänger möglicherweise interne Variablen überschrieben und infolge dessen wird ein Systemabsturz erreicht.

14 14 Autor: Adai Malki Teardrop Der Angreifer sendet zwei Fragmente, die nicht richtig wieder zusammengebaut werden können, indem man den Offsetwert des Pakets manipuliert [13]. Dies führt zum Neustart oder Absturz des Opfersystems. Diese Angrriffsform ist in vielen anderen Varianten wie targa, SYNdrop, Boink, Nestea Bonk, TearDrop2 und NewTear vorhanden Land Der Angreifer sendet folglich [13] ein Paket, das die gleiche Absender- und Empfänger- IP-Adresse hat. Dadurch wird das Opfersystem verwirrt und es kommt zu einem Neustart oder Absturz Echo/Chargen Der Charge - Generator (chargen) ist entwickelt worden, um Zeichenströme zu produzieren. Es wird hauptsächlich für Testzwecke verwendet. Der Angreifer kann folglich [14] diese Schwachstelle nutzen, um die Ressource des Opfersystems auszuschöpfen. Durch Spoofing wird eine Netzwerksitzung manipuliert, um vorzutäuschen, dass man aus dem lokalen Netzwerk kommet. Verbindet man zudem noch Echodienste zusammen mit Chargediensten, entsteht eine Endlosschleife. Die manipulierte Sitzung führt eine große Menge an Daten in die Endlosschleife, wodurch der Angreifer eine hohe System- und Netzwerküberlastung erreicht. Wichtig zu erwähnen ist, dass der Angreifer sich nicht im Netzwerk aufhalten muss, um die Dienste zu manipulieren und die Attacke auszuführen. 3.6 DDoS Angriffswerkzeuge Inzwischen existieren viele Tools auf Basis der Master - Slave - Struktur. Sie unterscheiden sich in ihrer Kommunikation, ihren Angriffsmethoden oder in zusätzlichen Fähigkeiten. Jedoch haben diese Tools alle das gleiche Ziel, nämlich die Dienstleitungen eines bestimmten Rechners/Servers für reguläre Nutzer zu blockieren bzw. abzuschalten Trinoo alias trin00 Im Jahre 1999 wurde Trinoo zum ersten Mal im Internet bekannt. Die Abbildung 1 zeigt die Struktur von Trinoo. Im Trinoo-Angriffsnetz melden sich alle infizierten Agenten beim Handler an, woraus die Handler sich eine Liste aller aktiverten Agenten erstellen. Die Agenten, oft auch als Daemon bezeichnet, haben die Fähigkeit folglich [15] sich unter anderem als http-agenten zu tarnen, um unbemerkt zu agieren. Die Kommunikation zwischen dem Angreifer

15 Title Suppressed Due to Excessive Length 15 - Handler und Handler - Agenten läuft auf Basis von hohen UDP-Adressen. Wobei die Verbindung zwischen Angreifer und Handler Passwort geschützt läuft. Trinoo benutzt die folgenden Ports: Angreifer zum Handler: über TCP Handler zum Agenten: über UDP Agenten zum Handler: über UDP Der Angreifer kann mühelos die Attacke starten, d. h. den Befehl an die Handler senden. Diese wiederum befehlen den Agenten die DoS-Attacke auszuführen. Trinoo ist Open-Source, d. h. der Quellcode und deren Nutzung steht jedem zur freien Verfügung. Dabei muss man lediglich folgende Dateien komilieren: master.c - Der Handler ns.c - Der Agent Tribe Flood Network (TFN) Mit Hilfe von diesem Angriffstool führte man damals eine erfolgreiche Attacke u. a. auf das Internetportal yahoo aus. Die Struktur, d.h. der Aufbau sowie die Handler, Agenten und die Steuerungskontrolle, ist beim TFN vergleichbar mit Trinoo, siehe Abbildung 1. Die Kommunikation zwischen Angreifer und Handler kann auf viele Arten erfolgen, wie z. B. über TCP, UDP oder ICMP. Die Kommunikation zwischen Handler und Agent erfolgt über ein ICMP Echo- Reply-Paket. Weiterhin kann folglich [15] bei einer TFN Attacke IP-Spoofing genutzt werden, um eine Rückverfolgung zu vermeiden. Mit TFN können folgende Attacken durchgeführt werden: SYN Flood UDP Flood ICMP Flood Smurf Attacke Der Angreifer kann nun die Attacke starten, in dem er einen Befehl an den Handler sendet. Dieser befiehlt nun mit IMCP Echo-Reply-Paket den Agenten den DoS-Angriff durchzuführen. Des Weiteren bestimmt der Handler in der Header-ID des IMCP-Paketes, in Form einer Nummer, welche der o. g. Attacken der Agent ausführen soll Tribe Flood Network 2 (TFN2k) Die Struktur wurde ohne Veränderung von TFN übernommen [16], allerdings wurden einige neue Funktionen hinzugefügt, so dass man die Endeckung der Agenten erschwert:

16 16 Autor: Adai Malki Die Kommunikation wird jetzt mit dem CAST Algorithmus verschlüsselt. Weitere Angriffsformen wie z B. TCP SYN Flooding möglich. Handler und Agent können nun auch wahlweise über TCP, UDP oder ICMP kommunizieren Stacheldraht Stacheldraht ist ein gefährliches Angriffstool, das die Vorteile von Trinoo und TFN verbindet und erweitert. Den in beiden vorherigen Angriffstools werden die meisten Befehle unverschlüsselt und in Klartext versendet. Somit ist hijacking, also unautorisiertes Abhören oder Manipulieren der Kommunikation möglich. Stacheldraht hat folglich [17] diesen Schwachpunk mittels Verschlüsselung eliminiert. Die Kommunikation zwischen Angreifer und Handler ist verschlüsselt und Passwort geschützt. Zwischen Handler und Agenten ist die Kommunikation mittels symmetrischer Verschlüsselung gesichert. Der Handler kommuniziert über eine TCP-Verbindung mit den Agenten. Jedoch kommunizieren die Agenten mit dem Handler über den ICMP Echo-Reply- Pakete. Ein weiterer Vorteil von Stacheldraht ist, dass die Angreifer eine Art von Updatemöglichkeit haben. Dies bedeutet, dass auf Befehl alle Agenten ihr aktuelles Infizierungsprogramm löschen und durch ein Neues ersetzen können. Diese und weitere Tools, besonders Stacheldraht, zeugen vom Engagement und Erfindungsreichtum der Angreifer. Sie werden immer raffinierter und schwieriger Abzuwehren. Wobei die Gegenseite ihrerseits Forschungen in Abwehrmechanismen und in die Vorbeugung von Schwachstellen intensiv betreibt.

17 4 DDOS Abwehrmaßnahmen Title Suppressed Due to Excessive Length 17 Die DDoS Angriffe sind, meist Dank Ihres großen Angriffsnetzwerkes, in der Lage einen immensen Schaden bei dem Opfer anzurichten. Aus diesem Grund sind viele Unternehmer, die von der Internetdienstleistung abhängig sind, daran Interessiert solche Attacken abzuwehren. Folglich [18] kann man die Gegenmaßnahmen in zwei Kategorien aufteilen. Die erste Kategorie behandelt, die Vorkehrungen zur Verhinderung der Entstehung von Angriffsnetzwerken, also eine präventive Gegenmaßnahme. Die zweite Kategorie behandelt den Angriff selbst, d. h. die Aufspürung und Abwehr von einer Attacke. 4.1 Präventive Maßnahmen Präventive Gegenmaßnahmen können auf mehreren Wegen durchgeführt werden. Einige wichtige Maßnahmen sind: Vorhandene Sicherheitslücken bzw. Schwachstellen beseitigen Neue Sicherheitsmechanismen entwickeln Sicherheitsprogramme kostenlos im Internet anbieten Diese Maßnahmen müssen nicht nur von den Dienstanbietern beachtet werden, sondern auch von allen Rechnern im Internet. Wie bereits erwähnt ist es wichtig gerade im Vorfeld den Aufbau eines Angriffsnetzwerkes zu verhindern, um somit die Attacke unwirksam zu machen. Eine zusätzliche Möglichkeit wäre die Veränderung der Protokolle, so dass die notwendigen Ressourcen bei einem Verbindungsaufbau zum größten Teil vom Client zur Verfügung gestellt werden. Dies bedeutet, dass der Angreifer viel mehr Host infizieren muss, um ein effektives Angriffsnetzwerk aufzubauen. Weiterhin kann innerhalb von Netzwerken den Benutzern eine bestimmte Ressourcenanzahl zugewiesen werden. Dies würde verhindern, dass einige Benutzer die gesamten Netzwerkressourcen ausschöpfen. Folglich [18] verfolgen viele Unternehmen den Ansatz vorhandene Ressourcen zu vergrößern und die Hardware durch Redundanz mit automatisierter Lastenverteilung zu erweitern. Es ist eine einfache, jedoch sehr kostspielige Lösung und somit nicht von jedem Unternehmen in eigener Regie durchführbar. Dieses gab vielen Unternehmen einen Grund sich auf dieses Gebiet zu spezialisieren. Akamai ist einer der führende internationale Anbieter für Dienstleistungen auf dem Gebiet der Beschleunigung von Online-Inhalten, -Unternehmensprozessen und -Anwendungen. Die Akamai Edge-Platform ist der Grundstein der gesamten Technologie und die Quelle einer der größten verteilten Computing-Plattformen der Welt, die Schwächen im Internet in Angriff nimmt, indem Probleme und Sicherheitslücken vermieden werden. Die Akamai-Plattform beinhaltet über sichere Server, die sich in über 900 der weltweiten Netzwerke befinden und in 69 Ländern eingesetzt werden.

18 18 Autor: Adai Malki 4.2 Reaktive Maßnahmen Diese Maßname behandelt zum einen das Aufspüren, also das Erkennen einer Attacke und zum Anderen die notwendigen Gegenmassen zum Stoppen oder gar Verhindern der Attacke Angriffserkennung Nicht alle Angriffe führen zu einem Systemabsturz. Wenn nun ein Systemabsturz die einzige Möglichkeit wäre eine Attacke zu erkennen, würden viele Angriffe unbemerkt bleiben. Weiterhin würde dies bedeuten, dass keine Abwehrmaßnahmen gegen diese Angriffe unternommen werden. Also können die unbemerkten Angriffe weiterhin das System schwächen. Des Weiteren hätte der Angreifer die Möglichkeit seine Angriffsstrategie zu verbessern und somit auch seine Angriffskraft zu verstärken. Das könnte zu enormen Schäden bei der nächsten Attacke führen [18]. Die Maßnahmen zu Erkennung sollten daher an der richtigen Stelle stattfinden. Spezifische Eigenschaften der Angriffsmethoden können in einer Datenbank gespeichert werden, um Attacke im Voraus erkennen zu können. Z. B. könnte man eine Land-Attacke daran erkennen, dass die empfangenen Pakete dieselbe Absender- und Empfängeradresse haben. Eine weitere Möglichkeit wäre, auf spezielle Formatierungen der Pakete zu achten. TFM2K hat z. B. eine spezifische Sequenznummer aus Nullen und Einsen. Offene Ports müssen überprüft werden, um die Kommunikation zwischen Handler und Agenten abzuhören und somit die Attacke aufzudecken. Des Weiteren sollte der Flow zwischen den Hosts auf Anomalien beobachten werden. Ferner ist das Benutzen von Intrusion Detection System (IDS) eine große Unterstützung bei der Aufspürung von Angriffen. Das IDS kann das System überwachen, Muster von System erstellen und diese als Vergleichsgrundlage für die Muster- und Anomalieerkennung nutzen. Mittlerweile sind viele Tools auch in der Lage noch nicht bekannte Angriffe anhand von Systemanalysen aufzuspüren Reaktion Findet ein Angriff statt und wird dieser auch bemerkt, so stellt sich die Frage, wie nun das Opfer darauf reagieren kann. Eine mögliche Reaktion wäre, den gesamten Datenverkehr zu blockieren, wobei der Angreifer auch sein Ziel erreicht hätte. Jedoch könnte man bei genügenden Ressourcen und redundanter Hardware, einfach den gesamten Datenverkehr auf weitere Server verteilen. Zusätzlich könnte man durch diverse Verfahren wie IP-Traceback versuchen, die Agenten und evtl. das gesamte Angriffsnetz zu enttarnen. Das ist aber ein schwieriges Unterfangen, da die meisten Angriffe mittels IP-Spoofing verschleiert sind. Ein guter Ansatz ist, so viele Daten wie nur möglich über den Angriff zu sammeln und diese an alle erreichbaren Router bzw. Zwischenstationen zu senden. Aus den gesammelten Daten kann dann das Opfer und die

19 Title Suppressed Due to Excessive Length 19 benachbarten Stationen durch gezieltes drosseln der Bandbreite den Angriff vom Opfer fernhalten. Ein sehr wichtiger Aspekt ist die Nachanalyse, in [18] als die postmortem analysis (Autopsieanalyse) zu bezeichnen. Diese Analyse sollte zumindest die folgenden Fragen beantworten: Welche Gegenmaßnahmen waren erfolgreich oder nicht? Wie gut reagierte der Netzwerkbetreiber? Welche und wie Abwehrmechanismen die beste oder schlechteste Unterstützung in der Reaktion auf den Angriff geboten haben? Wie genau funktionierte der Angriff? Es ist wichtig alle gewonnen Informationen an das Nachbarsystem zu senden, damit diese bei einem erneuten Angriff schon im Vorfeld die Attacke abwehren oder zu mindest schwächen können. 4.3 Abwehrmechanismen Abwehrmechanismen dienen dazu, eine DDoS Attacke auf die eine oder andere Art auszuschalten. Einige sind auf das Verhindern einer Attacke, andere auf die Abwehr der aktuellen Attacke und wiederum andere auf die Enttarnung der Angreifer von einer Attacke spezialisiert IP-Traceback Verfahren Hier stelle ich den Ansatz über eine mögliche Rückverfolgung, bis hin zu der Quelle eines Angriffes vor, welches in Paper [19] näher erläutert wird. Eine vollkommene Lösung zu diesem Problem wird durch den möglichen Gebrauch von falschen oder spoofed IP-Adressen, um den zutreffenden verursachenden Ursprung eines Angriffs zu waschen erschwert. Dem Opfer bleiben nach einer Attacke nur wenig nützliche Informationen. In [19] will man das Problem durch den Einsatz von globalen Mechanismen lösen. Alle Router sollen so erweitert werden, dass sie jedes empfangene Paket mit einer Art Signatur kennzeichnen und erst danach weiterleiten. Dies hätte zu Folge, dass man anhand aller Signaturen in einem Paket, die Quellen dessen eingrenzen kann. Vergleich mit einem Reiseausweis, das beim Einreisen bzw. Ausreisen gestempelt wird (z.b. Landname). Die Signatur würde geschickt in den IP-Headler eingebaut. Genauer gesagt im Identifikationsfeld, dessen Aufteilung nun so aussieht: 3 offset Bits um 8 mögliche Fragmente zu repräsentieren, 5 Bits um die Distanz zu repräsentieren und 8 Bits für die Identifikation des Edge-Fragmentes. Des Weiteren nutzen Sie einen 32-Bit Hash, womit die Routeradresse auf 64 Bit vergrößert wird. Dadurch können mit 8 verschiedenen Fragmenten alle Edge- Pakete unterschieden werden. Wir benutzen ein 32-Bitdurcheinander, das die Größe jeder Fräseradresse zu 64 Bits verdoppelt. Dieses deutet an, dass 8 verschiedene Fragmente erforderlich sind jeden Rand darzustellen. Wichtig ist auch, dass man mit nur 5 Bits, 31 Hops und somit alle Interwege darstellen

20 20 Autor: Adai Malki kann. Das Problem der Rückverfolgung ist damit nicht gelöst, da es noch einige Beschränkungen und offene Fragen im Paper existieren. Die Wichtigsten sind: Backward Kompatibilität Hier ist das Problem, dass der Veränderte Header bei dem IPsec-Verfahren Schwierigkeiten aufwirft. Da die neuen IPsec kein Identifikationsfeld mehr haben könnte man diese Problematik umgehen, indem man ein anders Feld nutzt. Verteilte Attacken Die praktische Implementierung, die im Paper beschrieben wurde, hat bei großen verteilten Angriffen Probleme, die Fragmente richtig zusammenzustellen. Der Ursprung, den Angreifer auswendig machen Mit dieser Methode kann zwar der Absender des Paketes auswendig gemacht werden, jedoch nicht der wahre Angreifer. Die Pakete werden zuerst auf den Befehl des Angreifers, über den Handler an die Agenten gesendet und erst diese stellt die Angriffspakete her. Daraus folgt, dass man den Ursprung eines Agenten hat. Das kann helfen dem Angreifer näher zu kommen. Doch um diesen auswendig zu machen, braucht man weitere und bessere Rückverfolgungsmechanismen D-WARD DDoS Network Attack Recognition and Defense (D-WARD) ist ein Ansatz zur direkten Abwehr an der Quelle DDoS-Angriffen. Entwickelt wurde es von [20]. D-WARD setzt Regelwerke, so genannte Policies, für alle Rechner innerhalb eines, von ihn betreuten Netzwerk, fest. Das Regelwerk beinhaltet die Rechte des Nutzers und die ihm zur Verfügung stehenden Ressourcen. Des Weiteren sind Mustermodelle vom Datenverkehr vorhanden, um Anomalien erkennen zu können. Weiterhin prüft es die Kommunikationsprozeduren, z.b. ob bei einem TCP-Verbindungsaufbau genügend korrekte Antwortpakete zurückkommen. Verursacht ein Nutzer Datenströme, die nicht dem Mustermodel entsprechen, so wird dieser in seiner Aktivität beschränkt. Man senkt seine zur Verfügung stehende Bandbreite. Um letztendlich den gewünschten Effekt der DDoS-Abwehr zu erreichen, müsste D-WARD weitreichend und am Besten in allen Systemen integriert werden Chameleon In diesen Absatz stelle ich, basierend auf das Paper [21], das Modell und eine kurze Erläuterung von eines sehr jungen reaktiven Mechanismus zu Abwehr von DDoS Attacken vor. Genau gesagt wird ein verteiltes Informationssystems vorgestellt, dass in der Lage ist, trotz eines Angriffes von einem alten Insider, eine Menge an Anfragen auf einer korrekten und skalierbaren Weise zu bearbeiten.

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Botnetze & DDoS-Attacken

Botnetze & DDoS-Attacken Botnetze & DDoS-Attacken Perstling, Tabibian 8. Juni 2012 Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 1 / 33 Übersicht Botnetze Bots Aufbau und Kommunikation (C&C, zentralisierte/dezentralisierte

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004

NET 4: Security. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004 NET 4: Security Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs Bioinformatik, in Hagenberg Sommersemester 2004 FH-Prof. Dipl.-Ing. Dr. Gerhard Jahn email: Gerhard.Jahn@fh-hagenberg.at 28. Mai

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 14: Schwächen von und Angriffe auf die Internet-Protokolle

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Netzwerke für den Einsatz mit dem BIM-Server

Netzwerke für den Einsatz mit dem BIM-Server Netzwerke für den Einsatz mit dem BIM-Server Kurzerklärungen...2 LAN - Local Area Network (Lokales Netzwerk)...4 LAN-Beispiele...4 Beispiel 1: LAN mit zwei Computern ohne weitere Netzwerkgeräte...4 Beispiel

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Diplomanden- und Doktorandenseminar. Implementierung eines Gnutella-Clients für IPv6

Diplomanden- und Doktorandenseminar. Implementierung eines Gnutella-Clients für IPv6 Diplomanden- und Doktorandenseminar Implementierung eines Gnutella-Clients für IPv6 1. Motivation 2. IPv6 3. Gnutella 4. Portierung Frank Sowinski 17.12.2002 Motivation Gute Gründe für IPv6 Das Anwachsen

Mehr

Distributed Denial of Service Angriffswerkzeuge und Abwehrmöglichkeiten

Distributed Denial of Service Angriffswerkzeuge und Abwehrmöglichkeiten Distributed Denial of Service Angriffswerkzeuge und Abwehrmöglichkeiten Fachgebiet Sicherheit in der Informationstechnik - TU Darmstadt Prof. Dr. Claudia Eckert Betreuer: Thomas Buntrock Axel Hagedorn

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

DDOS Attacken. Tutorial

DDOS Attacken. Tutorial DDOS Attacken Tutorial P. Mittner, I. Schmid, B. Studer 1 Herbst 2000 Grundlagen Distributed Denial of Service Attacken (DDoS) 1.1 Übersicht Im Gegensatz zu einer einfachen Denial-of-Service-Attacke werden

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 3: Security Engineering Helmut Reiser,LRZ, WS 10/11 IT-Sicherheit 1 Inhalt (1) 1. Security Engineering Vorgehensmodell 2. Sicherheitsprobleme: Handelnde

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Klausur - Computernetzwerke

Klausur - Computernetzwerke Klausur - Computernetzwerke Márk Félegyházi Zeit: 1.5 Stunden, keine Hilfmaterialien Gesamtpuntke: 50 2011.04.12 Name der/den Studenten(innen): NEPTUN: ===================================================

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Hacker Hackerprofile in amerikanischer Terminologie

Hacker Hackerprofile in amerikanischer Terminologie Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Verteilte Systeme/Sicherheit im Internet. Distributed Denial-of-Service (DoS): Vorgehen, Gegenmaßnahmen

Verteilte Systeme/Sicherheit im Internet. Distributed Denial-of-Service (DoS): Vorgehen, Gegenmaßnahmen ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Verteilte Systeme/Sicherheit im Internet Distributed Denial-of-Service (DoS):, Gegenmaßnahmen Seminar Datenverarbeitung

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Anonymes Kommunizieren mit Mixminion

Anonymes Kommunizieren mit Mixminion Anonymes Kommunizieren mit Mixminion Seminar Peer-to-Peer Netzwerke Claudius Korzen Institut für Informatik Albert-Ludwigs-Universität, Freiburg SS 2009 28. Juli 2009 1/ 35 Überblick 1 Motivation 2 Grundlagen

Mehr

Angriffe auf Windowssysteme

Angriffe auf Windowssysteme Angriffe auf Windowssysteme von Markus Diett Ruhr-Universität Bochum Lehrstuhl Kommunikationssicherheit Seminar: IT-Sicherheit Wintersemester 2003/2004 Fachsemster: 5 Matrikel-Nr.: 108 001 21522 6 Betreut

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 1 1. QUARTAL 2014

VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 1 1. QUARTAL 2014 VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 1 ZUSAMMENFASSUNG Dieser Bericht enthält Beobachtungen und Erkenntnisse, die aus den Angriffsminderungen abgeleitet wurden, die im Auftrag

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies ECO AK Sicherheit Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies Dietmar Braun Gunther Nitzsche 04.02.2009 Agenda Anomalien und Botnetz-Entwicklung

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung - Dienst wird in den Betriebssystemen Windows 2000 Advanced Server und Windows 2000 Datacenter Server bereitgestellt.

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Algorithmische Grundlagen des Internets II

Algorithmische Grundlagen des Internets II Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets II schindel@upb.de Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen,

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

3 Das verbindungslose Vermittlungsprotokoll IP

3 Das verbindungslose Vermittlungsprotokoll IP Das verbindungslose Vermittlungsprotokoll IP 27 3 Das verbindungslose Vermittlungsprotokoll IP In diesem Kapitel lernen Sie das verbindungslose Vermittlungsprotokoll IP näher kennen. Nach dem Durcharbeiten

Mehr

Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Universität Hamburg

Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Universität Hamburg Conflood a non-distributed DoS-Attack Konstruktion und Analyse des Angriffs im Rahmen der Bachelorarbeit an der Florens Wasserfall (6wasserf@informatik.uni-hamburg.de) Kjell Witte (6witte@informatik.uni-hamburg.de)

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Mobilität in IP (IPv4 und IPv6)

Mobilität in IP (IPv4 und IPv6) Mobilität in IP (IPv4 und IPv6) Prof. B. Plattner ETH Zürich IP Next Generation - Mobilität (1) Uebersicht Formen der Mobilitätsunterstützung 1 Echt mobile Benutzer (drahtlos erschlossene Laptops)» Handover

Mehr

DDoS-Ratgeber. Gefährdungspotenzial und Schutz für mein Unternehmen. Mit integriertem Kurztest. Quelle: depulsio GmbH

DDoS-Ratgeber. Gefährdungspotenzial und Schutz für mein Unternehmen. Mit integriertem Kurztest. Quelle: depulsio GmbH DDoS-Ratgeber Gefährdungspotenzial und Schutz für mein Unternehmen Mit integriertem Kurztest Der Preis der Nichtverfügbarkeit Im Zuge sogenannter hacktivistischer Protestaktionen wurden und werden in unregelmäßigen

Mehr