Schreiben:

Erkunden Sie Unsere Umfassende Sammlung von PDF-Artikeln und Studien


Beim UDP-Scan wird ein 0 Byte UDP-Datagramm an den entfernten Port des Rechners gesendet


Kurze Zusammenfassung:    Ein Drittel der 1400 befragten Verantwortlichen gaben an, dass sie im Falle eines Angriffes nur unzureichend in der Lage seien, auf den Vorfall zu reagieren. Dabei werden die Produkte SE-Linux, Bastille-Linux, LIDS, Grsecurity und Openwall vorgestellt. mybet.com eingesetzt zu werden, mit dem Ziel der Erpressung von Geld. Leider wird kostenlosen Programmen oft nicht genug vertraut und auf den Einsatz solcher Software verzichtet. Andererseits ist der kommerzielle Internet Security Scanner sehr teuer und so wird diese Investion oft gescheut, da der Return on Investment meist nicht erkannt wird. So stehen Unternehmen dann auch oft ratlos da, wenn sie angegriffen werden, wie die Studie von Ernst und Young gezeigt hat. Man muss hierbei zwischen "Hackern", "Script Kiddies", und "Crackern" unterscheiden. Unter dem Begriff "Social Engineering" versteht man das Ausnutzen des Faktors Mensch bei der IT-Sicherheit. Es kann verwendet werden, um die eigene Firewall, das Intrusion Detection System, den IP Stack oder weitere Dinge auszutesten. Da es ein kommandozeilenorientiertes Tool ist, kann man damit sehr gut scripten. Nemesis ist her- vorragend dazu geeignet, IP Paktete mit den verschiedensten Optionsflags zu generieren. Deshalb soll hier auf eine detailliertere Beschreibung verzichtet und darauf hingewiesen werden, die im Anhang gelisteten Programme zu benutzen. ICMP-Pakete werden mittels IP-Paketen verschickt und man kann sie nicht mit Protokollen wie z.B. TCP vergleichen, da sie ein Teil des Internet-Protokolls sind, der nicht deaktiviert werden kann. Als Sender von ICMP- Paketen treten Sendestationen auf, bei denen ein Fehler entdeckt wurde und empfangen wird das Paket vom Absender des Originalpaketes. Mittels eines Typenfeldes kann man die verschiedenen ICMP-Nachrichten klassifizieren. Die Wichtigsten hierbei sind Destination unreachable, source Quench und Redirect. Damit kann man der sendenden Station mitteilen, welche Internetverbindung abgebrochen ist. Dieser, auf dem Echo Request Paket basierende Angriff, wird auch Ping of Death genannt. Dazu muss er mindestens logisch zwischen diese beiden Computer geschaltet sein, ansonsten muss sich der Angreifer physisch zwischen den beiden Rechnern befinden, was meist nicht der Fall ist. Oft ist dies ein nicht bekannter Internetrouter, sondern der Rechner des Angreifers, der dann als Router fungiert und den Verkehr zwischen beiden kontrolliert und weiterleitet. Postiv hierbei ist, dass das System nicht neu gebootet und auch kein Kernelpatch eingespielt werden muss, um die Schutzfunktionen zu aktivieren. Es loggt die Anzahl der eintreffenden SYN- Pakete mit. So war es z.B. Webserver, bei denen diese Fehler wiederholt auftreten, erlauben es einem Angreifer z.B. das virtuelle Rootverzeichnis des Webservers zu verlassen und sich auf der Festplatte des Rechnersystems umzusehen. Allerdings kann man diese Art des Scannens sehr leicht erkennen und entsprechend protokollieren. Beim TCP Stealth FIN-Scan verschickt Nmap TCP- Pakete mit gesetztem FIN-Flag an die entsprechenden Ports der entfernten Maschine und wartet auf die Antwort auf dieses TCP-Paket. Wenn er offen ist, wird die Anfrage einfach ignoriert. Im Gegensatz zum TCP Stealth FIN-Scanning werden beim TCP Stealth XMAS-Scan TCP-Pakete mit gesetzten FIN, URG und PSH Flags generiert und verschickt. Beim TCP Stealth NULL-Scan werden TCP-Pakete generiert, bei denen kein Optionsflag gesetzt ist und an den 23 3.3.3 Portscanning mit Nmap als Angriffsvorbereitung Port des entfernten Hosts gesendet wird. Sollte es der Fall sein, dass der Port geschlossen ist, so antwortet er hier auch wieder mit einem TCP-Paket mit gesetztem RST-Flag. Beim UDP-Scan wird ein 0 Byte UDP-Datagramm an den entfernten Port des Rechners gesendet. Sollte diese ICMP Nachricht ausbleiben, so ist der Port offen. das Mitschneiden von Login- Informationen aus einem bestehenden Netzwerkdatenstrom. Hier lagern Daten und das eigentliche Programm im gleichen Speicher. Jedoch treten Buffer Overflows nur bei assemblierten oder compilierten Programmiersprachen auf. Dies geschieht mittels der Verwendung von Pointern und Arrays. Diese Stelle wird meistens nicht im originalen Code zu finden sein, sondern in einem eigens eingeschleusten Angriffscode, oft auch Shellcode genannt. Ein Wurm kann eine Schadensroutine haben, muss es aber nicht. So wird der Anwender zum Klicken auf die Datei animiert und der Wurm kann starten und sich seine Ziele im Internet aussuchen. Beim Starten des Programms scheint es, als ob sich das Programm gleich wieder beendet, im Hintergrund wird jedoch der Trojaner gestartet. Eines haben Trojaner gemeinsam, meistens installieren sie sich tief im Systemkern und werden so bei jedem Neustart des Systems mitgeladen. Meistens helfen sie dem Angreifer, einfachen Systemzugriff zu erlangen, z.B. kann ein Rootkit jedesmal, wenn man sich auf einen speziellen Port hin verbindet, eine Shell erstellen, mit der man dann am System arbeiten kann, ohne vorher ein Passwort eingegeben zu haben. Wenn man nun mit den genannten Methoden gescannt wird, so zeigt Nmap keine offenen Ports auf dem eigenen Server an. Diese Analyseprogramme finden kritische Programmanweisungen und bieten auch gleich eine Beschreibung bzw. Jedoch ist hierbei jede Lese-, bzw. Schreibaktion auf ein Array zu kontrollieren, was sehr viel Systemressourcen aufbrauchen kann. Sollte dies eintreten, wird das Programm durch diese Funktion erfolgreich beendet und der Buffer Overflow Exploit verpufft wirkungslos. Im Gegensatz dazu ist das Programm chkrootkit Bestandteil jeder aktuellen Linuxdistribution und es ist ein Systemprogramm, d.h. es kann nur mit Rootrechten gestartet werden. Das Programm Rootkit Hunter kann von rootkit.nl kostenlos bezogen werden. Es akzeptiert eine Menge Parameter und scannt nach mehr als 20 Rootkits. Daraufhin senden alle ans Netzwerk angeschlossenen Rechner einen Echo-Response an die falsche IP-Adresse. Im Gegensatz dazu kann man das User-Datagramm-Protokoll dazu missbrauchen, einen so genannten UDP-Flooding Angriff zu starten, indem man tausende von UDP-Paktete an einen Internetrechner versendet

Auszug aus dem Inhalt:    Es gibt 2 Arten von Rootkits Kernelrootkits sind meist sehr raffiniert geschriebene Programmcodes, die mit originalem Kernelcode ersetzt werden sollen, um die Angriffspuren eines Crackers zu verwischen Wenn man nun mit den genannten Methoden gescannt wird, so zeigt Nmap keine offenen Ports auf dem eigenen Server an Sollte dies eintreten, wird das Programm durch diese Funktion erfolgreich beendet und der Buffer Overflow Exploit verpufft wirkungslos mybet.com eingesetzt zu werden, mit dem Ziel der Erpressung von Geld Eines haben Trojaner gemeinsam, meistens installieren sie sich tief im Systemkern und werden so bei jedem Neustart des Systems mitgeladen Es kann verwendet werden, um die eigene Firewall, das Intrusion Detection System, den IP Stack oder weitere Dinge auszutesten Deshalb soll hier auf eine detailliertere Beschreibung verzichtet und darauf hingewiesen werden, die im Anhang gelisteten Programme zu benutzen Ein Wurm kann eine Schadensroutine haben, muss es aber nicht Es loggt die Anzahl der eintreffenden SYN- Pakete mit Im Gegensatz zum TCP Stealth FIN-Scanning werden beim TCP Stealth XMAS-Scan TCP-Pakete mit gesetzten FIN, URG und PSH Flags generiert und verschickt So stehen Unternehmen dann auch oft ratlos da, wenn sie angegriffen werden, wie die Studie von Ernst und Young gezeigt hat Hierbei wartet die betreffende Anwen- dung im Hintergrund und durchsucht den ankommenden Datenstrom nach entsprechenden Daten und zeichnet diese entsprechend mit Dazu wird nach einem Prozessmodell eine Richtlinie entwickelt, die auf die Aspekte Mensch, Strategie und Technik basiert Ein Drittel der 1400 befragten Verantwortlichen gaben an, dass sie im Falle eines Angriffes nur unzureichend in der Lage seien, auf den Vorfall zu reagieren Dazu muss er mindestens logisch zwischen diese beiden Computer geschaltet sein, ansonsten muss sich der Angreifer physisch zwischen den beiden Rechnern befinden, was meist nicht der Fall ist 2.2 Portscanner Nmap Nmap ist ein Portscanner, dessen Aufgabe es ist, ein Internetrechner auf offene Ports hin zu testen es kann nur mit Rootrechten gestartet werden das virtuelle Rootverzeichnis des Webservers zu verlassen und sich auf der Festplatte des Rechnersystems umzusehen

Beim UDP-Scan wird ein 0 Byte UDP-Datagramm an den entfernten Port des Rechners gesendet
Bildbeschreibung: Wenn er offen ist, wird die Anfrage einfach ignoriert Am Ende gibt es eine kurze Zusammenfassung und stellt kurz dar, ob und wenn etwas gefunden wurde Es gib...

Datum der Veröffentlichung:

Teile die Botschaft! Teile diesen Artikel in den sozialen Medien:    

Autor:     MSc. Sebastian Enger


Helfen Sie anderen, uns zu finden: Teilen Sie unseren Link!

Bitte verlinke uns:

Jetzt verlinken


Melde dich zum kostenlosen ArtikelSchreiber Newsletter an!
Mehr Werbeumsätze pro Monat? Selbstständiges Business? Finanziell frei werden? Erfahre hier wie!

Mit deiner geschäftlichen Email Adresse anmelden und erfahren wie: