Der Kern dieser Arbeit besteht aus einer Case Study in Form eines lokalen Netzwerks, in dem ein Mirai-Botnetz mit IP-Kameras konfiguriert wird. Hierbei wird das Netzwerk mit Wireshark untersucht und das Ergebnis hinsichtlich der Umsetzung und Schwierigkeiten zusammengefasst. Im Vorfeld dieser Untersuchung werden die benötigten Grundlagen zu DDoS-Attacken, die zum Einsatz kommenden Kommunikationsprotokolle und die Definition des Internet der Dinge beschrieben. Die Thesis endet mit einem abrundenden Fazit, welches sich mit den zuvor aufgestellten Thesen und den neu erlangten Erkenntnissen auseinandersetzt.
Inhaltsverzeichnis
1 Einleitung
1.1 Zielsetzung
1.2 Aufbau der Arbeit
2 Grundlagen
2.1 Charakteristik einer DDoS-Attacke
2.2 Kommunikationsprotokolle
2.2.1 OSI- und TCP/IP-Modell
2.2.2 Internet Protocol (IP)
2.2.3 Transmission Control Protocol (TCP)
2.2.4 TCP 3-Wege Handshake
2.2.5 User Datagram Protocol (UDP)
2.2.6 Internet Control Message Protocol (ICMP)
2.3 Aufbau und Architektur von DDoS-Attacken
2.3.1 Agent-Handler Model
2.3.2 Internet Relay Chat Model
2.4 DDoS-Angriffstypen
2.4.1 Schichten-Spezifische DDoS-Attacken
2.4.2 Direkte und reflektierende DDoS-Attacken
2.4.3 Direkte und indirekte DDoS-Attacken
2.4.4 Volumenabhängige DDoS-Attacken
2.4.5 Übertragungsratenabhängige DDoS-Attacken
2.5 Internet der Dinge (IoT) und DDoS
2.6 Nennenswerte DDoS-Attacken in der Vergangenheit
2.7 Maßnahmen gegen DDoS-Attacken
3 Grundlagen zu Mirai (Malware)
3.1 Mirai-Attacken in der Vergangenheit
3.2 Analyse des Quellcodes
4 Case Study - Mirai Botnetz
4.1 Netzwerktopologie der Testumgebung
4.2 Analyse der verwendeten IoT-Geräte
4.2.1 Port-Analyse der IP-Kameras
4.2.2 Zugriff per HTTP
4.2.3 Zugriff per Telnet
4.2.4 Architektur und Betriebssystem
4.2.5 Sicherheitsaspekte
4.3 Konfiguration des DNS/DHCP-Servers
4.4 Konfiguration des Mirai Servers
4.4.1 Konfiguration apache2 und tftp
4.4.2 Konfiguration Mirai-CNC
4.4.2.1 Update und Installation der benötigten Pakete
4.4.2.2 Installation und Konfiguration des Cross-Compilers
4.4.2.3 Herunterladen der Mirai-Source-Dateien
4.4.2.4 MySQL-Datenbank erstellen und User anlegen
4.4.2.5 Source-Files anpassen
4.4.2.6 Mirai Source kompilieren (Debug)
4.4.2.7 Mirai Source kompilieren (Release)
4.4.2.8 Webserver konfigurieren
4.4.2.9 FTP-Server konfigurieren
4.4.3 Konfiguration Mirai-Loader
4.5 Inbetriebnahme des Mirai-CNC und Mirai-ScanListener
4.5.1 Mirai-CNC
4.5.2 Mirai-Scanlistener
4.6 Kompromittierung der IP-Kameras mit dem Mirai-Loader
4.7 Analyse der Mirai-DDoS-Attacken
4.7.1 UDP-Flood
4.7.2 SYN-Flood
4.7.3 ACK-Flood
4.7.4 TCP-Stomp-Flood
4.7.5 UDP-Flood (plain)
4.7.6 Valve Gameserver-Flood
4.7.7 DNS-Flood
4.7.8 GREIP-Flood
4.7.9 GREETH-Flood
4.7.10 HTTP-Flood
4.8 Schwierigkeiten und Probleme
4.9 Hack me, if you can!
4.10 Ergebnis der Case Study
5 Fazit
Zielsetzung & Themen
Die zentrale These dieser Arbeit ist die Annahme, dass es für einen ambitionierten Informatiker möglich ist, ein Mirai-Botnetz in einer praktischen Fallstudie aufzubauen und DDoS-Attacken durchzuführen. Ziel der Arbeit ist es, die Funktionsweise des Mirai-Botnetzes sowie die Sicherheitsrisiken von IoT-Geräten und entsprechende Schutzmaßnahmen zu analysieren.
- Analyse der Funktionsweise und Architektur von Mirai-Botnetzen.
- Untersuchung von Sicherheitslücken bei IoT-Geräten (speziell IP-Kameras).
- Praktischer Aufbau einer lokalen Testumgebung zur Simulation von DDoS-Angriffen.
- Analyse des Netzwerkverkehrs verschiedener DDoS-Angriffsvektoren mittels Wireshark.
- Diskussion von Gegenmaßnahmen und Sicherheitsstandards für IoT-Hersteller.
Auszug aus dem Buch
1 Einleitung
Im letzten Quartal des Jahres 2016 ging das Thema „DDoS-Attacken“ durch die Fachpresse und sorgte in der Öffentlichkeit und insbesondere bei Global Playern wie Netflix, Google und Dyn für Unruhe. Die Problematik von DDoS-Angriffen ist zwar seit vielen Jahren ein bekanntes Problem und stellt Sicherheitsforscher vor große Herausforderungen. In Zeiten, in denen immer mehr Kühlschränke, Babyphone und Überwachungskameras über das Internet kommunizieren können, öffnen sich neue Angriffsziele für Hacker, die nur schwierig zu bekämpfen sind. Mangelndes Sicherheitsbewusstsein beim Endverbraucher, schlecht programmierte Software, ausbleibende Update-Mechanismen, fehlende Sicherheitskonzepte und nicht änderbare Passwörter haben aufgezeigt, dass so genannte „Internet of Things“-Geräte ein dankbares Angriffsziel für Kriminelle darstellen. So kam es, dass im 4. Quartal 2016 ein Botnetz Namens Mirai (Japanisch für Zukunft) auf sich aufmerksam machte.
Der Name des Botnetz ist vermutlich auf die Anime-TV-Serie „Mirai Nikki“ zurückzuführen, die laut der Homepage „krebsonsecurity.com“ offensichtlich mit dem Autor in Verbindung steht. Mirai legte seinen Fokus darauf, tausende IoT-Geräte zu kompromittieren und in ein Botnetz aufzunehmen. Daraus resultierten DDoS-Angriffe mit stärken > 1Tb/s, die den DNS-Anbieter Dyn am 21.10.2016 an der Ostküste der USA trafen. Kunden wie z.B. Netflix, Amazon und Google konnten dadurch zeitweise ihre Angebote nicht online anbieten. Am 30.09.2016 veröffentlichte der Autor von Mirai zudem den Source-Code und eine Anleitung auf der Internetseite des Hackerforums „hackforums.net“. Grund hierfür waren seine erfolgreichen Tests und die Tatsache, dass er genug Geld damit verdient hatte. Viele Nachahmer missbrauchten diese Programme fortan und sorgten zusätzlich für Probleme im Internet. Die aktuelle Brisanz dieses Themas ist der Grund, dass sich diese Bachelorarbeit mit dem Thema „Moderne DDoS-Attacken“ auf das Mirai-Botnetz und die Analyse der dabei verwendeten IoT-Geräte konzentriert.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die Entstehung und aktuelle Brisanz der Mirai-DDoS-Angriffe im Jahr 2016 sowie das Ziel der vorliegenden Arbeit.
2 Grundlagen: Erläutert die technischen Charakteristika von DDoS-Attacken, die relevanten Kommunikationsprotokolle und verschiedene Angriffsarchitekturen.
3 Grundlagen zu Mirai (Malware): Analysiert die Hintergründe der Mirai-Malware, ihre Verbreitung und ihre Auswirkungen auf das Internet.
4 Case Study - Mirai Botnetz: Dokumentiert den praktischen Aufbau einer Testumgebung, die Konfiguration der Malware und die Analyse spezifischer DDoS-Angriffsmethoden.
5 Fazit: Reflektiert die gewonnenen Erkenntnisse zur Sicherheitslage von IoT-Geräten und fordert verbesserte Sicherheitsstandards durch Hersteller.
Schlüsselwörter
DDoS-Attacken, Mirai, Botnetz, IoT, IP-Kameras, Netzwerksicherheit, TCP, UDP, Malware, Netzwerkanalyse, Wireshark, Sicherheitslücken, Botnet-Architektur, Angriffssimulation, IT-Sicherheit
Häufig gestellte Fragen
Worum geht es in dieser Bachelorarbeit grundsätzlich?
Die Arbeit behandelt die Analyse des Mirai-Botnetzes, welches IoT-Geräte für massenhafte DDoS-Angriffe missbraucht, und untersucht dessen Funktionsweise durch eine praktische Fallstudie.
Welche zentralen Themenfelder werden abgedeckt?
Die Schwerpunkte liegen auf den Grundlagen von DDoS-Attacken, der Architektur von IoT-Geräten, der Konfiguration von Botnet-Infrastrukturen und der Analyse spezifischer Angriffsvektoren.
Was ist das primäre Ziel der Untersuchung?
Das primäre Ziel ist es, nachzuweisen, wie ein Mirai-Botnetz in einer lokalen Testumgebung aufgebaut werden kann, um daraus Rückschlüsse auf die Funktionsweise und Sicherheitsmängel von IoT-Geräten zu ziehen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Fallstudie (Case Study), in der ein lokales Netzwerk mit infizierbaren IP-Kameras aufgebaut und der resultierende Netzwerkverkehr mittels Wireshark analysiert wurde.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil beschreibt detailliert die Konfiguration des Mirai-Servers (CNC, Loader), die Kompromittierung der Hardware und die Durchführung verschiedener Attacken wie UDP- oder SYN-Floods.
Welche Schlüsselbegriffe charakterisieren die Arbeit?
Die wichtigsten Begriffe sind DDoS-Attacken, Mirai, IoT-Sicherheit, Botnetz, Malware-Analyse und Netzwerksicherheit.
Warum sind IP-Kameras besonders anfällig für Botnet-Angriffe?
Oftmals sind diese Geräte mit fest codierten, nicht änderbaren Passwörtern und offenen Telnet-Ports ins Internet gestellt, was Hacker-Angriffe sehr einfach macht.
Welche Herausforderungen traten während der Konfiguration auf?
Der größte Aufwand lag in der Recherche korrekter Konfigurationshinweise und der Analyse des Quellcodes, da offizielle Anleitungen lückenhaft oder irreführend waren.
Was ergab die Analyse der verschiedenen DDoS-Angriffsvektoren?
Die Angriffe wie UDP-, SYN- oder HTTP-Floods zeigten unterschiedliche Auswirkungen auf die Netzwerklast, wobei spezifische Vektoren für unterschiedliche Zielsysteme optimiert sind.
Welche Schlussfolgerung zieht der Autor zur Sicherheit von IoT-Geräten?
Der Autor fordert zwingend notwendige Sicherheitsstandards, da Hersteller aus Kostengründen die Verantwortung oft auf den Endverbraucher abschieben, welcher Sicherheitsrisiken meist nicht erkennt.
- Arbeit zitieren
- Christian Rehbein (Autor:in), 2017, Moderne DDoS-Attacken, München, GRIN Verlag, https://www.grin.com/document/372379
