Sicherheit in Netzen- Tiny-Fragment

Transkript

1 Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent

2 Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische Durchführung Mögliche Gegenmaßnahmen Distributed Denial of Service Funktionsweise Protokolltechnische Durchführung DDoS Varianten Tools zu DDoS Angriffen Mögliche Gegenmaßnahmen 2

3 Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: Tiny-Fragment Fragment-Attacke Veranstaltung Dozent

4 Tiny-Fragment Fragment-Attacke Basiert auf die Fragmentierung von IP-Pakete Filterregel werden auf allen Pakete gleich angewandt Ziel: Befehle in ein internes Netz durch Umgehung von Filterregeln schmuggeln 4

5 Protokolltechnische Durchführung (1) Nach IP-Standard soll ein Router Pakete mit Größe 68 Byte ohne Fragmentierung zulassen Eine TCP-Verbindung kann auf zwei IP-Pakete aufgeteilt werden Das Filtern des ersten Fragments bestimmt die Regel, die auf alle anderen Pakete angewendet wird Die interessanten Teile des TCP-Headers (Flags) werden im zweiten Paket übertragen 5

6 Protokolltechnische Durchführung (2) Paket eins: Fragment Offset = 0 6

7 Protokolltechnische Durchführung (3) Paket zwei: Fragment Offset = 1 7

8 Mögliche Gegenmaßnahmen Alle Pakete verwerfen, die FO = 1 haben Eine minimale Paketlänge im Paketfilter einstellen und alle kleineren Pakete verwerfen Probleme: diese Regeln werden bei allen Transportprotokollen angewendet Es werden nicht alle Fragmentierungsattacken blockiert Lösung IF FO=1 and PROTOCOL=TCP then DROP PACKET 8

9 Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: Distributed Denial of Service (DDOS) Veranstaltung Dozent

10 Funktionsweise Ziel: Verfügbarkeit bestimmter Rechner und/oder Dienste drastisch einzuschränken Der Angreifer benutzt eine Vielzahl von unterschiedlichen Systemen Zur Erhöhung der Wirksamkeit werden Systeme die über eine breitbandige Verbindung verfügen (Internet 2) 10

11 DDoS Netz DDoS Netz besteht aus: Angreifer Agenten eigentliche Angreifer Handlern kontrollieren die Agenten Opfer 11

12 DDoS-Varianten Mail-Bombing Broadcast-Storms Smurf Fraggle TCP-SYN-Flooding Ping-of-Death Ping Flooding Etc. 12

13 Tools zu DDoS Angriffe Trinoo UDP-Flood TFN2k (Tribe Flood Network 2000) Generiert UDP-, TCP-SYN-, ICMP-Echo Request-, ICMP-Broadcast-Flood Stacheldraht Kombiniert die Merkmale von Trinoo und TFN - UDP-, TCP-SYN-, ICMP- Echo Request-, ICMP-Broadcast-Flood Shaft Mstream Trinity v3 13

14 Schutzmaßnahmen gegen Mißbrauch als Teil eine DDoS Netzes Sicherung der Systeme gegen Einbruch Abschalten von Directed Broadcasts Scans nach DDoS Komponenten Überprüfung des Netzverkehrs auf DDoS Daten 14

15 Maßnahmen zur Abschwächung und Aufklärung von DDoS Angriffen Probleme: Die Ermittlung der angreifenden Agenten wird durch die falschen IP- Adressen erschwert Der Abwehr muss möglichst nahe an der Quelle (Agenten) erfolgen Paketfilter (Ingress- und Egress-Filter) Aufbau eines Systems zur Verfolgung von Datenströmen im Netz Bandbreitenbeschränkung bestimmter Verkehrsströme 15

16 Literatur [detoisien] [ddos-tut] [hagedorn] [itrace] [möller] [rfc1858] [rfc3128] Detoisien, E.: Systemadministratin: Angriffe von Außen, Mittner, P., Schmid, I., Studer, B.: DDOS Attacken Tutorial, Hagedorn, A: Distributet Denial of Service Angriffswerkzeuge und Abwehrmöglichkeiten, IETF(Hrsg.): Internet Draft, ICMP Traceback Messages, Möller, K., Kelm, S.: Distributed Denial of Service Angriffe, IETF(Hrsg.): RFC1858, Security Considerations for IP Fragment Filtering, IETF(Hrsg.): RFC3128, Protection Against a Variant of the Tiny Fragment Attack,