Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 11. CRACKER-TOOLS AM BEISPIEL<br />
¯ Fragmentierung von Paketen und<br />
¯ TCP-Optionen.<br />
In e<strong>in</strong>er eher scherzhaften Anmerkung bef<strong>in</strong>det [Fyodor 1998], daß man verschiedene Versionen des<br />
Betriebssystems W<strong>in</strong>dows bis auf Patchlevel an der Reaktion auf „Denial of Service“-Angriffe erkennen<br />
könne, die man <strong>in</strong> e<strong>in</strong>er bestimmten Reihenfolge oder Chronologie anwenden müsse. Er fügt<br />
h<strong>in</strong>zu, es sei e<strong>in</strong>e gewisse Versuchung, diese Funktionalität <strong>in</strong> nmap zu <strong>in</strong>tegrieren.<br />
Nmap erkennt aber die meisten Betriebssysteme schon zuverlässig genug, um Angreifern die Auswahl<br />
der erforderlichen „Exploits“ zu ermöglichen.<br />
11.6.3 Decoys<br />
Abbildung 11.4 zeigt e<strong>in</strong> fiktives Netzwerk, <strong>in</strong> dem e<strong>in</strong> Rechner „victim“ von e<strong>in</strong>em anderen „h4x0r“<br />
gescannt wird, der mehrere andere Portscann<strong>in</strong>g-Attacken mit falschen Absenderadressen losschickt<br />
(„spooft“).<br />
Für den angegriffenen Rechner sieht es so aus, als würde er von allen Rechnern gescannt, deren<br />
Adressen „h4x0r“ benutzt.<br />
Abbildung 11.4: Nmap Attacke mit gefälschten IP-Adressen<br />
Diese Methode hat auch für den Cracker den Vorteil, daß das Tool „scanlogd“ etwa ab dem fünften<br />
gefundenen Portscan nur noch lakonisch „more possible portscans follow“ <strong>in</strong> das Systemlog e<strong>in</strong>trägt.<br />
Damit läßt sich die Herkunft des Angriffs (hier Rechner „h4x0R“) verbergen.<br />
Sofern der Angriff aus dem LAN erfolgte, läßt sich allerd<strong>in</strong>gs dennoch der wahre Urheber feststellen,<br />
<strong>in</strong>dem mit der Software „argus“ alle ungewöhnlichen IP-Pakete mitsamt den Hardware-Adressen<br />
aufgezeichnet werden. Alle Portscan-Pakete von „h4x0r“ tragen auch se<strong>in</strong>e MAC-Adresse, durch die<br />
er zu identifizieren ist. Allerd<strong>in</strong>gs ändert sich die Lage, wenn der angegriffene Rechner außerhalb des<br />
LANs bef<strong>in</strong>dlich ist. Sobald die IP-Pakete über e<strong>in</strong>e andere Netzwerkhardware, wie z.B. e<strong>in</strong>en Vermittlungsrechner<br />
(Router), übertragen wurden, kann die ursprüngliche Hardwareadresse nicht mehr<br />
festgestellt werden 25 .<br />
Nmap bietet somit e<strong>in</strong>e wirksame Methode, die Herkunft von Portscann<strong>in</strong>gs zu verschleiern.<br />
25 Die Möglichkeit, auch die MAC-Adressen zu fälschen, sofern die Netzwerkhardware diese Möglichkeit zur Verfügung<br />
stellt, bietet nmap nicht. Sie wäre wohl auch, wenn überhaupt, deutlich schwieriger zu implementieren.<br />
184 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>