Denial of Service and Intrusion Detection
- What is a DoS attack and how can it be initiated? Which one is done mostly?
Eine Denial of Service (DoS)-Attacke ist eine Attacke auf die
Verfügbarkeit der Netzwerkressourcen. DoS_Angriffe belasten den Internetzugang,
das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer
größeren Anzahl Anfrage als dieser verarbeiten können, woraufhin reguläre
Anfragen nicht oder nur sehr langsam beantwortet werden. Wenn möglich, ist es
jedoch wesentlich effizienter, Programmfehler auszunutzen, um eine
Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese
auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind WinNuke, die
Land-Attacke, die Teardrop-Attacke oder der Ping of Death.
Dos-Attacken können in vielen Wegen eingeleitet werden:
Übertragungsfehler
Datenverkehrsumleitung
DNS-Attacken
„Verbindungsüberflutungen“
- What is an echo chargen attack?
- What is the speciality of a ping of death attack?
Als Ping of Death bezeichnet man eine spezielle Denial-of-Service-Attacke (DoS-Attacke),
mit dem Ziel, das angegriffene System zum Absturz zu bringen.
- Describe smurf attacks and their impacts?
Als Smurf-Angriff bezeichnet man eine besondere Art eines Denial-of-Service-Angriffs
auf ein Computersystem oder -netzwerk.
Dabei sendet ein Angreifer Ping-Pakete (ICMP-Pakete des Typs Echo
Request) an die gerichtete (directed) Broadcast-Adresse
eines Netzwerks. Als Absender wird in diese ICMP-Pakete die Adresse des
anzugreifenden Computers eingetragen. Im Zielnetz leitet der Router die
Broadcast-Anfrage an alle Geräte im lokalen Netz weiter. Das hat zur Folge,
dass alle angeschlossenen Computer dem Opfer auf die vermeintliche Anfrage
antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur
einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen. Durch
die Verstärkung kann ein Angreifer seine zur Verfügung stehende Bandbreite
vervielfacht auf das Opfer richten. Dadurch soll die Internetverbindung oder
das Betriebssystem des Opfers überlastet werden.
Rechnernetze, die gerichtete Broadcast-Anfragen aus dem Internet lokal
weiterleiten und dadurch einen Smurf-Angriff ermöglichen, werden Smurf-Amplifier
genannt. Das Opfer sieht bei einem Smurf-Angriff nur die IP-Adressen der
Amplifier, nicht die des eigentlichen Angreifers. Heutzutage gibt es kaum noch
Smurf-Amplifier, da Hosts in der Standardkonfiguration nicht mehr auf
Broadcast-Pings antworten und Router Pakete nicht weiterleiten, die an eine
Broadcast-Adresse gerichtet sind.
Der Name Smurf kommt von der Datei "smurf.c" – Der Quellcode
von dem Programm, das 1997 von TFreak veröffentlicht wurde.
- Show in an example how a teardrop attack is carried out.
- Why are DDoS attacks more efficient than DoS attacks?
DDoS-Attacken verwenden mehrere Geräte und
Internetverbindungen, die oft global verteilt sind und als Botnet fungieren.
Eine DDoS-Attacke ist daher schwerer um zu leiten. Da nicht nur ein Angreifer
sondern mehrere vorhanden sind, werden die Ressourcen des Zielservers mit
mehreren hundert und tausenden Anfragen von einer Vielzahl von Geräten
überflutet.
Der Unterschied zwischen einer DDoS- einer DoS-Attacke ist, dass bei ersteren der Zielserver mit hunderten oder sogar tausenden Anfragen überlastet wird. Daher ist sehr viel schwerer für einen Server einer DDoS-Attacke standzuhalten als einer einfacheren DoS-Attacke.
Der Unterschied zwischen einer DDoS- einer DoS-Attacke ist, dass bei ersteren der Zielserver mit hunderten oder sogar tausenden Anfragen überlastet wird. Daher ist sehr viel schwerer für einen Server einer DDoS-Attacke standzuhalten als einer einfacheren DoS-Attacke.
- How does an Intrusion Detection System work? What is the difference to an Intrusion Prevention System? Which goals do they have?
Grundsätzlich gibt es zwei Verfahren zur
Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so
genannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und
Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses
Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.
Der komplette Prozess unterteilt sich dabei in drei
Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die
Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der
Mustererkennung überprüft und verarbeitet das Intrusion Detection System die
gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“
(Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich
dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator
zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung
des vermeintlichen Eindringlings erfolgen.
Unterschied
zu Intrusion
Prevention System:
Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.
- Name the differences between host-based and network-based IDSs.
Host-basierte IDS
Vorteile:
Vorteile:
- Sehr spezifische Aussagen über den Angriff.
- Kann ein System umfassend überwachen.
Nachteile:
- Kann durch einen DoS-Angriff ausgehebelt werden.
- Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.
Netzwerk-basierte IDS
Vorteile:
Vorteile:
- Ein Sensor kann ein ganzes Netz überwachen.
·
Durch Ausschalten eines Zielsystems ist die
Funktion des Sensors nicht gefährdet.
Nachteile:
·
Keine lückenlose Überwachung bei Überlastung der
Bandbreite des IDS.
·
Keine lückenlose Überwachung in geswitchten Netzwerken
(nur durch Mirror-Port auf einem Switch).
- What can be done with the responses of an IDS.
Eine IDS kann einige verschiedene Typresponses auslösen:
·
Überwachen der Attacken und sammeln von Daten
·
Systeme schützen und vor Ausdehnung
schützen
·
Einen Menschen warnen