Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen


Thèse Scolaire, 2012

19 Pages, Note: 1.0


Extrait


Inhaltsverzeichnis

1 Einleitung

2 Denial of Service
2.1 Physikalischer Angri
2.2 Erzeugung eines Ressourcenmangels
2.3 Ausnutzung von Implementierungsschwächen
2.4 Ausnutzung von Protokollschwächen

3 TCP-SYN-Flood
3.1 Das TCP-Protokoll
3.1.1 Der 3-Wege-Handshake
3.2 Angri
3.3 Gegenmaÿnahmen
3.3.1 Backlog oder Wartezeit variieren
3.3.2 Alte Verbindungen schlieÿen
3.3.3 SYN-Cache
3.3.4 SYN-Cookies
3.3.5 Praxis

4 Ausblick

Literatur

1 Einleitung

WE ARE GLAD TO TELL YOU THAT http://www.mastercard.com/ is DOWN AND IT'S CONFIRMED! (Greenberg, 08.12.2010) http://isitup.com/www.visa.com IT'S DOWN! KEEP FIRING!!! (Mills, 08.12.2010)

So heiÿt es am 08. Dezember 2010 auf Twitter. Aktivisten des Kollektivs An- onymous greifen Webserver der Geldinstitute Mastercard und Visa an. Diese hatten am Tag zuvor Transaktionen der Plattform Wikileaks gesperrt. Der sogenannten Operation Payback waren auch schon an den Tagen zuvor die Internetauftritte von verschiedenen Unternehmen zum Opfer gefallen: z.B. des Schweizer Finanzinstituts PostFinance. Während mastercard.com am Nachmit- tag wieder erreichbar ist, bleibt visa.com bis zum Abend o ine. In den folgen- den Tagen werden noch weitere Webseiten, einschlieÿlich paypalblog.com und moneybookers.com, angegri en und kurzzeitig o ine gezwungen. Ein Angri auf den Online-Händler Amazon verläuft dagegen nicht erfolgreich.

Im Rahmen der Wikileaks-A äre erhält diese Protestaktion viel Aufmerksam- keit seitens der Medien. Die Rede ist oft vom Cyberwar (Weisenthal, 08.12.2010) oder vom Datenkrieg (Frühauf und Schmidt, 09.12.2010). Der Jurist Ev- geny Morozov vergleicht die Angri e dagegen mit Sitzblockaden. (Morozov, 09.12.2010) Dieser Vergleich ist technisch betrachtet naheliegend. In diesem Fall haben Aktivisten freiwillig ihre Bandbreite zur Verfügung gestellt um ge- meinsam bestimmte Webseiten zu überlasten. Anders als oft verwendete Be- schreibungen, wie Hacker-Groÿangri (Spiegel, 08.12.2010) vermuten lassen haben sich die Angreifer keinen Zugri auf fremde Rechner verschafft.

Doch das ist bei weitem nicht immer so. Meist werden derartige Angri e von Kriminellen mit Hilfe von Botnets ausgeführt. Das sind Netzwerke bestehend aus Computern, die mit versteckten Trojanern in ziert sind. Diese einzelnen Bots können unter anderem dazu verwendet werden, ohne das Wissen des Anwenders Webserver anzugreifen. Diese Angri sform nennt man Distributed Denial of Service kurz DDoS.

2 Denial of Service

Denial of Service bedeutet übersetzt etwa Verweigerung des Dienstes . Der Be- gri beschreibt zunächst die Folge der Überlastung von Netzwerkinfrastruktur. Dienste werden in Netzwerken vorwiegend von Servern angeboten. Dement- sprechend bezieht sich der Begri DoS im Normalfall auf die Überlastung von solchen.

Wird z.B. eine kleine Webseite, mit nur wenigen täglichen Besuchern und keiner groÿen Infrastruktur, plötzlich um ein vielfaches häu ger aufgerufen, kann ein DoS auftreten. Der Server ist nicht auf einen solchen Ansturm vorbereitet und verweigert ab einer bestimmten Zahl an Aufrufen seinen Dienst. Ein solches Phänomen kann z.B. durch die Erwähnung einer kleinen Webseite in einem deutlich gröÿeren Medium ausgelöst werden. Nach dem IT-Online-Magazin slashdot.com spricht man deshalb auch vom Slashdot-E ekt . (Wikipedia DE Denial of Service )

Ein DoS kann aber auch durch einen mutwilligen Angri verursacht werden. Tatsächlich wird der Begri Denial of Service heute meist synonym für einen solchen Angri verwendet. Ein Angreifer kann einen DoS auf unterschiedliche Arten hervorrufen, indem er verschiedene Aspekte der Verbindung zum Server angreift.

2.1 Physikalischer Angri

Eine naheliegende Möglichkeit, einen DoS zu verursachen ist es, die physikali- sche Datenübertragung zu blockieren und somit jede Verbindung zum Server zu verhindern. Im einfachsten Fall bedeutet dies, eine Übertragungsleitung zu zerstören, also z.B ein Kabel durch zu schneiden. In drahtlosen Netzwerken besteht die Möglichkeit, einen Störsender einzusetzen um die Übertragung von Daten zu verhindern. Ein derartiger Angri ist immer dann möglich, wenn der Angreifer direkten Zugri zu Server oder Übertragungsmedium hat. In den meisten Fällen kann man einen physikalischen Zugri aber relativ leicht unterbinden.

2.2 Erzeugung eines Ressourcenmangels

Der Slashdot-E ekt entsteht dann, wenn die Ressourcen eines Servers vollständig ausgelastet sind, weil zu viele Clients sich mit dem Server verbinden möchten. Wenn ein Angreifer über genug Bandbreite verfügt, kann er diesen E ekt aber auch mutwillig herbeiführen. Die Idee hier ist es, den Server durch das Aufbauen von vielen validen Verbindungen zu überlasten. Wenn ein solcher Angri mithilfe eines Botnetzwerks ausgeführt wird, ist es fast unmöglich, ihn von einem normalen Besucheransturm zu unterscheiden. Daher beschränken sich die wirksamen Gegenmaÿnahmen auf ein Aufrüsten der Server-Hardware, bzw. eine Verteilung des Tra c auf mehrere Server.

2.3 Ausnutzung von Implementierungsschwächen

Ein Dienst kann auch durch das Ausnutzen einer Lücke in der Implementierung von Netzwerkprotokollen auÿer Kraft gesetzt werden. Eine solche Schwäche in der Implementierung des HTTP-Protokolls in vielen Webservern nutzt die 2009 verö entlichte Software Slowloris aus. Slowloris sendet regelmäÿig unvollstän- dige HTTP-Anfragen an einen Webserver und hält so mehrere Verbindungen zugleich o en. Da die Anzahl der o enen Verbindungen, die ein Webserver verwalten kann, begrenzt ist, werden als Folge reguläre Anfragen von anderen Usern abgeblockt. Dieser Angri ist aber nur gegen Webserver e ektiv, die die einzelnen Verbindungen in Threads verwalten, also jeder Verbindung einen sol- chen Unterprozess zuordnen. Während Slowloris z.B. einen Apache Webserver in der Standardkon guration auch heute noch erfolgreich angreifen kann, war der Microsoft Webserver IIS von Beginn an nicht betro en. (Hansen)

Implementierungsfehler können nahezu immer durch entsprechende Patches behoben werden. Eine andere Möglichkeit ist es, mithilfe von Paket ltern oder Firewalls gezielt Angri spakete mit bestimmten Eigenschaften zu blockieren. Bei einem Angri durch Slowloris ist es einfacher die Angri spakete zu blo- ckieren, anstatt die Verwaltung der HTTP-Verbindungen komplett zu ändern. Indem man z.B. die Anzahl der o enen Verbindungen pro IP herabsetzt, kann man zumindest den Angri von einer einzelnen Maschine weitgehend verhin- dern.

2.4 Ausnutzung von Protokollschwächen

Deutlich schwerer abzuwehren ist ein DoS-Angri , der eine Protokollschwä- che ausnutzt. Wenn bereits ein Fehler im Entwurf eines Protokolls einen DoS- Angri ermöglicht, gibt es meist nur wenige Möglichkeiten, das Problem zu beheben. Anders als eine Software kann ein Protokoll nicht einfach aktualisiert werden. Wie die Umstellung des Internet Protocol von Version4 auf Version 6 zeigt, ist eine solche Aktualisierung ein lange andauernder Prozess. Also muss man eine Protokollschwäche zunächst durch die Implementation kompensieren. Neuere Protokolle werden mit den heutigen Sicherheitsanforderungen als Grundlage erstellt. Doch man muss bedenken, dass die als Basis für das Inter- net genutzten Protokolle der TCP/IP-Familie schon vor mehr als 30 Jahren entwickelt wurden.

Das Beispiel Slowloris basiert in gewisser Weise auch auf einer solchen Proto- kollschwäche. Die Möglichkeit unvollständige Anfragen zu senden ist im HTTP- Protokoll nämlich als Feature integriert, um Verbindungsfehler auszugleichen. Dieser grundlegende Angri funktioniert also gegen jeden Webserver und ist auch nicht durch einen Patch zu beheben. Auch wenn die beschriebene Implementierungslücke nicht besteht, kann diese Eigenschaft des HTTP-Protokolls in einem DDoS-Angri genutzt werden um die Ressourcen des Servers zu er- schöpfen.

Eine der bekanntesten DoS-Attacken, die ein Protokoll angreift, ist der so genannte TCP-SYN-Flood .

3 TCP-SYN-Flood

3.1 Das TCP-Protokoll

Das Transmission Control Protocol ist, wie der Name nahelegt, ein Pro- tokoll für den Austausch von Daten.

Im OSI-Schichtenmodell (siehe Abb. 1) ist TCP auf der 4. Ebene, der 5 Transportschicht angesiedelt. Es ist das im modernen Internet meist genutzte Protokoll zur Datenübertra- gung. Dieser Erfolg hängt vor allem mit der Zuverlässigkeit des Protokolls zusammen.Ein zuverlässiges Protokoll sorgt dafür, dass gesendete Daten vollständig, in richtiger Reihenfolge und ohne Duplikate beim Empfänger ankommen. Zu diesem Zweck verwendet TCP u.a. eine Segmentierung

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: OSI-Schichtenmodell

Ein standardisiertes Referenzmodell für Kommunikationssysteme. Im Internet verwirklichen manche Protokolle mehrere Schichten.

der Daten in Verbindung mit Sequenznummern und Empfangsbestätigungen sowie Prüfsummen. Zudem funktioniert TCP verbindungsorientiert, d.h. es wird zunächst eine Verbindung zwischen zwei Endpunkten (Sockets) aufgebaut. Danach können Daten in beide Richtungen versandt werden. Es gibt im TCP-Protokoll also keine wirkliche Unterscheidung zwischen Server und Client.

Die eigentliche Datenübertragung läuft in Form von Paketen ab. Diese bestehen aus einem Header, in dem Eigenschaften des Pakets, wie Sequenznum- mern, Prüfsummen oder bestimmte Control-Flags, festgelegt werden und einem Nutzdaten-Block, der die zu übertragenen Daten enthält. Im normalen Internet ist die Gröÿe eines TCP-Pakets auf 1500 Byte limitiert. Ohne die je 20 Byte für IP- und TCP-Header bleiben 1460 Byte für die tatsächlichen Daten.

[...]

Fin de l'extrait de 19 pages

Résumé des informations

Titre
Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen
Note
1.0
Auteur
Année
2012
Pages
19
N° de catalogue
V232191
ISBN (ebook)
9783656550730
ISBN (Livre)
9783656548980
Taille d'un fichier
664 KB
Langue
allemand
Mots clés
DoS, DDos, Denial, of, Service, Abwehr, anonymous, lulzsec, wikileaks, cyberwar, operation, payback, botnet, trojaner, tcp, flood, tcp-syn-flood, slashdot-effekt, syn
Citation du texte
David Lindner (Auteur), 2012, Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen, Munich, GRIN Verlag, https://www.grin.com/document/232191

Commentaires

  • Pas encore de commentaires.
Lire l'ebook
Titre: Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen



Télécharger textes

Votre devoir / mémoire:

- Publication en tant qu'eBook et livre
- Honoraires élevés sur les ventes
- Pour vous complètement gratuit - avec ISBN
- Cela dure que 5 minutes
- Chaque œuvre trouve des lecteurs

Devenir un auteur