Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
11.6. PORTSCANNER-ATTACKEN AM BEISPIEL NMAP<br />
Decoys: Mittels IP-Spoof<strong>in</strong>g werden Portscans von beliebigen IP-Adressen vorgetäuscht, um die Herkunft<br />
des eigentlichen „Portscans“ zu verschleiern. (Siehe Abschnitt 11.6.3)<br />
UDP-Portscann<strong>in</strong>g: Die Prüfung von offenen UDP-Ports ist vor allem zeitaufwendiger als die von<br />
TCP-Services, da e<strong>in</strong> offener Port ke<strong>in</strong> Antwortpaket auf e<strong>in</strong>en Verb<strong>in</strong>dungsversuch zurückgibt,<br />
so daß über die ausbleibende Reaktion mittels „Timeouts“ entschieden werden muß, ob e<strong>in</strong><br />
UDP-Dienst auf dem Port Verb<strong>in</strong>dungen annimmt.<br />
GUI-Frontend: Nmap besitzt auch auch e<strong>in</strong> grafisches Frontend. Script-Kiddies, die nicht gerne<br />
Kommandozeilen bedienen, haben damit auch e<strong>in</strong>e Möglichkeit „Portscans“ durchzuführen.<br />
Im Folgenden werden beispielhaft noch drei weitere Möglichkeiten des Tools nmap genauer vorgestellt.<br />
11.6.1 F<strong>in</strong>-Scans<br />
Wie bereits <strong>in</strong> Abschnitt 11.3.2 angedeutet, verlangt die rfc 793 das <strong>in</strong> Abbildung 11.3 gezeigte Verhalten:<br />
E<strong>in</strong> offener Port sendet (ähnlich wie bei e<strong>in</strong>em Verb<strong>in</strong>dungsversuch bei e<strong>in</strong>em geöffneten<br />
UDP-Port) ke<strong>in</strong> Feedback auf e<strong>in</strong> F<strong>in</strong>-Paket zurück, sofern zu diesem Paket ke<strong>in</strong>e offene Verb<strong>in</strong>dung<br />
existiert, während der geschlossene e<strong>in</strong> rst zurückliefert. Anhand e<strong>in</strong>es Timeouts wird entschieden,<br />
ob e<strong>in</strong> Server auf dem entsprechenden TCP-Port lauscht.<br />
Diese Art des Kontaktversuchs wird von vielen älteren <strong>Systemen</strong> nicht aufgezeichnet.<br />
Attacker Victim Attacker Victim<br />
FIN<br />
FIN<br />
RST<br />
Offener Port<br />
Geschlossener Port<br />
Abbildung 11.3: Zeitlicher Ablauf e<strong>in</strong>er Probe mit gesetztem f<strong>in</strong>-Flag<br />
11.6.2 Betriebssystemerkennung<br />
Der TCP-Stack verschiedener Betriebssysteme liefert auf bestimmte IP-Pakete erkennbar unterschiedliche<br />
Ergebnisse, so daß Rückschlüsse auf das Betriebssystem durch folgende Tests gezogen werden<br />
können:<br />
¯ „Probes“ mit verschiedenen Flags (auch ungültigen) und SYN-Floods,<br />
¯ Beobachten des Verhaltens und der Vorhersagbarkeit von Sequenznummern und der TCP-Fenstergröße,<br />
¯ Prüfen der im ACK Feld enthaltene Informationen bei Antworten auf „Scan-Probes“,<br />
¯ Verhalten bezügl. verschiedener ICMP-Pakete,<br />
¯ Reaktion des TCP-Stacks auf das TOS (Type of Service) Feld,<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 183