Angriffsszenarien

[r3nslow]

Hallo, ich bräuchte mal dringend Hilfe. Ich bin zur Zeit Student und besuche ein Seminar namens Sicherheit in Kommunikationssystemen. Hier sollen wir ein 60-Minuten-Referat halten. Ich habe folgendes Thema erwischt:

Angriffsszenarien
a) ?Funktzionsweise? von ARP- und DNS-Spoofing
b) Übernahme einer TCP-Verbindung
c) allgemeine Schwachstelle der eingesetzten Protokolle

Die Punkte a, b und c sind nur Hinweise, was auf jeden Fall in dem Referat vorkommen soll. Das füllt wahrscheinlich die 60 Minuten noch nicht ganz aus, deshalb wüsste ich gerne was es noch für Attacken gibt, quasi wonach ich googlen soll. Ich hab neben ARP- und DNS-Spoofing und TCP-Hijacking noch die Man-in-the-middle-attack. Aber dann wirds auch schon dünn. Was gibt es noch? Am besten soll ich die Attacken dann natürlich auch vorführen und Schutzmaßnahmen vorstellen, also fallen wohl DDoS-Attacken raus. Bitte helft mir, was kann ich noch vorstellen? Morgen soll ich auch schon meinem Prof sagen, was als Grundwissen vorausgesetzt wird und die wesentlichen Punkte meines Referats parat haben, quasi dringend!. Tausend Dank im voraus.

 

[Heinzelotto]

Original von r3nslowAm besten soll ich die Attacken dann natürlich auch vorführen und Schutzmaßnahmen vorstellen, also fallen wohl DDoS-Attacken raus

naja, den Syn-Flood könntest du noch vorstellen, obwohl er ein Dos-Angriff ist. Da gibts sogar Gegenmittel, also wüsste ich nicht, was dagegensprechen würde

 

[lightsaver]

also wenn du das ordentlich erklärst mit beispielen, gegenmaßnahmen... (also das was du schon geschrieben hast), dann dürftest du die 60 min locker voll bekommen

 

[r3nslow]

syn-flood klingt super, danke. und naja, vielleicht krieg ich wirklich schon die 60 min voll. Aber wenn`s doch noch was gäbe, wär nicht schlecht wahrscheinlich.

 

[:::Lük:::]

Ich denke theoretisch könntest du mit einem dieser Themen gut 60 Min. erreichen (wenn du tiefgehend beschreibst). Und so eine Vorführaktion ist meist auch sehr langwierig und dürfe verständlich dargestellt gut 20 Min in Anspruch nehmen.

 

[IsNull]

a) ?Funktzionsweise? von ARP- und DNS-Spoofing

ist ja eine Man-in-the-middle-attack *scnr*

 

[r3nslow]

@:::Lük::: Naja, im Prinzip hast du da recht, aber allzu tiefgehend kann ich da auch nicht gehen, weil dieses Seminar auf die Vorlesung Datenkommunikation aufbaut. Also wird schon ein gewisses Grundwissen vorausgesetzt. Ich brauch also nicht anzufangen das OSI-Modell zu erklären oder das TCP-Protokoll. Ich bin mir einfach noch nicht so sicher, ob das was ich habe ausreicht.

@IsNull: äh, ...., ja, das ist durchaus ein argument. Ich hab mir diese ganzen Angriffsarten noch nicht so im Detail angeschaut, erst mal nur was es so gibt. Hab ich halt wieder eins weniger *ankopflang*. Weiß keiner mehr eine Attacke über die ich noch berichten könnte (und die am besten auch noch vorführbar ist?)

 

[Grafix]

Original von r3nslow
Ich hab mir diese ganzen Angriffsarten noch nicht so im Detail angeschaut, erst mal nur was es so gibt.

Dann könnte das hier vielleicht helfen: Animation ARP-MIT
Sehr simpel gehalten, aber bringt es auf den Punkt.

Desweiteren gibt es eine ganze Rubrik@Wikipedia zu dem Thema: Spoofing

 

[cr]

Hier ein paar Angriffsszenarien in Netzwerken:

Information Leaking -> zur Demonstration einfach nmap Portscan oder ähnliches

Schwache Authentifizierung -> brute Force/dictionary Angriff auf den entsprechenden Dienst (SSH, FTP usw) -> THC Hydra zur Demonstration

Klartextprotokolle -> IRC oder FTP zb -> MITM Logins sniffen usw zb mit dsniff oder ettercap

Remote Exploits -> Beispiele gibts genug (Bufferoverflows, Race Conditions usw) -> MSF zur Demonstration

Websicherheit -> SQL Injektionen, XSS, HTTP Manipulationen usw -> zur Demonstration einfach was selber coden, owasp seite ma angucken

Denial Of Service -> Syn Flood -> syn_flood.c

Schwachstellen in der Implementierung -> Windows -> zur Demonstration TCP/IP Spoofing mit Scapy gegen Windows XP

Wlan Angriffe ?!

... usw

Naja sollte auf jeden Fall für 60 Minuten reichen und auch von der Gliederung her so ok sein. Falls du Fragen hast zu den Angriffen oder dem Schutz kannst dich ja mal im IRC melden.

 

[Elderan]

Hallo,
allein über b) könnte man schon 60 Minuten sprechen.
Du fängst bei Ip Spoofing, früher (~95) haben die Server z.B. nur auf IP basis authentifiziert und wenn man seine IP spoofen konnte, konnte man jede Menge unfug machen.
Als dann Authentifzierungsmech. eingeführt wurden kam das TCP Hijacking 'in die Mode', sprich man stiehlt eine Verbindung von einem registierten User.
Hört sich zwar alles relativ leicht an, wo lag da aber die herrausforderung (Eindringling musste ohne Antwort arbeiten)

Naja, heutzutage ist IP Spoofing auf TCP Ebene nicht mehr so möglich [1]. Was hat dazu geführt, welcher Schutz verhindert dies (was hat sich an den Sequenznummern geändert).
Bei UDP kann man weiterhin IPs recht leicht spoofen, wofür verwendet man dies? Skype verwendet dies z.B. um NAT Router auszutricksen [2].
Natürlich wieder was soetwas für Systemadmins bedeutet.

Und wenn dir sonst nix mehr einfällt, einfach mal [3] durchblättern.


[1] http://www.phrack.org/issues.html?issue=64&id=15#article
[2] http://www.heise.de/security/result.xhtml?url=/security/artikel/82054&words=Skype&T=skype
[3] http://de.wikipedia.org/wiki/Kategorie:Sicherheitslücke

PS: Hmm du hast das Thema Angriffsszenarien? Gehört das auch Port-Scan dazu, DoS etc, Remote Buffer Overflows/Remote Exploits?