Denial of Service and Intrusion Detection

Denial of Service and Intrusion Detection

• What is a DoS attack and how can it be initiated? Which one is done mostly?

Eine Denial of Service (DoS)-Attacke ist eine Attacke auf die Verfügbarkeit der Netzwerkressourcen. DoS_Angriffe belasten den Internetzugang, das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer größeren Anzahl Anfrage als dieser verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden. Wenn möglich, ist es jedoch wesentlich effizienter, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind WinNuke, die Land-Attacke, die Teardrop-Attacke oder der Ping of Death.

Dos-Attacken können in vielen Wegen eingeleitet werden:

Übertragungsfehler

Datenverkehrsumleitung

DNS-Attacken

„Verbindungsüberflutungen“

• What is an echo chargen attack?

• What is the speciality of a ping of death attack?

Als Ping of Death bezeichnet man eine spezielle Denial-of-Service-Attacke (DoS-Attacke), mit dem Ziel, das angegriffene System zum Absturz zu bringen.

• Describe smurf attacks and their impacts?

Als Smurf-Angriff bezeichnet man eine besondere Art eines Denial-of-Service-Angriffs auf ein Computersystem oder -netzwerk.

Dabei sendet ein Angreifer Ping-Pakete (ICMP-Pakete des Typs Echo Request) an die gerichtete (directed) Broadcast-Adresse eines Netzwerks. Als Absender wird in diese ICMP-Pakete die Adresse des anzugreifenden Computers eingetragen. Im Zielnetz leitet der Router die Broadcast-Anfrage an alle Geräte im lokalen Netz weiter. Das hat zur Folge, dass alle angeschlossenen Computer dem Opfer auf die vermeintliche Anfrage antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen. Durch die Verstärkung kann ein Angreifer seine zur Verfügung stehende Bandbreite vervielfacht auf das Opfer richten. Dadurch soll die Internetverbindung oder das Betriebssystem des Opfers überlastet werden.

Rechnernetze, die gerichtete Broadcast-Anfragen aus dem Internet lokal weiterleiten und dadurch einen Smurf-Angriff ermöglichen, werden Smurf-Amplifier genannt. Das Opfer sieht bei einem Smurf-Angriff nur die IP-Adressen der Amplifier, nicht die des eigentlichen Angreifers. Heutzutage gibt es kaum noch Smurf-Amplifier, da Hosts in der Standardkonfiguration nicht mehr auf Broadcast-Pings antworten und Router Pakete nicht weiterleiten, die an eine Broadcast-Adresse gerichtet sind.

Der Name Smurf kommt von der Datei "smurf.c" – Der Quellcode von dem Programm, das 1997 von TFreak veröffentlicht wurde.

• Show in an example how a teardrop attack is carried out.

• Why are DDoS attacks more efficient than DoS attacks?

DDoS-Attacken verwenden mehrere Geräte und Internetverbindungen, die oft global verteilt sind und als Botnet fungieren. Eine DDoS-Attacke ist daher schwerer um zu leiten. Da nicht nur ein Angreifer sondern mehrere vorhanden sind, werden die Ressourcen des Zielservers mit mehreren hundert und tausenden Anfragen von einer Vielzahl von Geräten überflutet.

Der Unterschied zwischen einer DDoS- einer DoS-Attacke ist, dass bei ersteren der Zielserver mit hunderten oder sogar tausenden Anfragen überlastet wird. Daher ist sehr viel schwerer für einen Server einer DDoS-Attacke standzuhalten als einer einfacheren DoS-Attacke.

• How does an Intrusion Detection System work? What is the difference to an Intrusion Prevention System? Which goals do they have?

Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.

Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Unterschied zu Intrusion Prevention System:

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

• Name the differences between host-based and network-based IDSs.

Host-basierte IDS

Vorteile:

• Sehr spezifische Aussagen über den Angriff.
• Kann ein System umfassend überwachen.

Nachteile:

• Kann durch einen DoS-Angriff ausgehebelt werden.
• Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basierte IDS

Vorteile:

• Ein Sensor kann ein ganzes Netz überwachen.

·         Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile:

·         Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.

·         Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).

• What can be done with the responses of an IDS.

Eine IDS kann einige verschiedene Typresponses auslösen:

·         Überwachen der Attacken und sammeln von Daten

·         Systeme schützen und vor Ausdehnung schützen 

·         Einen Menschen warnen