-
Fragmentierte Datenpakete mit gesetztem SYN-Flag dienen
dazu, das Opfer zu veranlassen, eine Vielzahl von Paketen mit gesetzten
SYN- und ACK-Flags abzuschicken. Ein Paket mit gesetztem SYN-Flag dient
dazu, eine Verbindung einzuleiten (s. im einzelnen unter Keep State) und wird
im ,normalen' Verkehr mit einem Paket mit SYN/ACK-Flag beantwortet. Der
Sender des Paketes mit gesetztem SYN-Flag müsste jetzt eigentlich mit einem
Paket ...
mehr
-
Nach der im WebInterface angezeigten Kurzbeschreibung
werden TCP-Pakete mit irregulären Flags geblockt, wenn man diese Option
aktiviert. Unter Keep State habe ich erklärt, wie eine Verbindung unter TCP
zustande kommt (3-way-handshake: 1. Paket mit SYN-Flag - 2. Paket mit
SYN+ACK-Flag - 3. Paket mit ACK-Flag). Leider können Angreifer Datenpakete
so manipulieren, dass darin Flag-Kombinationen enthalten sind, die im
Protokoll nich ...
mehr
-
Wie bei ,Ping of Death' macht sich der Angreifer den Umstand zu
Nutze, dass große IP-Pakete in kleine zerlegt (fragmentiert) werden. Die Stelle,
an die die Stücke im Paket gehören, wird durch einen Offset-Wert angegeben.
Manipuliert man diesen Offset-Wert dergestalt, dass ein späteres Paket
in ein anderes Paket ,hineingeschrieben' wird, entstehen negative Werte, die
den Rechner zum Absturz bringen. Der Angriff funktioniert auf Win ...
mehr
-
Mit entsprechenden Programmen (z.B. unter Windows mit tracert.
exe) können UDP-Daten-Pakete verschickt werden, um zu ermitteln, welche
Route ein Datenpaket wahrscheinlich nehmen wird. Die Pakete werden
dabei für einen nicht verwendeten Dienst (UDP-Pakete der Transportschicht
mit ungültiger Portnummer) verschickt. Die sendenden Programme setzen dabei
den TTL-Wert (time to live) im header des Paketes zunächst auf 1 und erhöhen
di ...
mehr
-
vom Prinzip her ähnlich wie SYN Flood und Smurf, allerdings wird
das Opfer hier mit UDP-Paketen überflutet. Wie dies relativ einfach funktioniert,
beschreibt PivX Solution [57]. Der Angreifer missbraucht einen Gameserver,
indem er diesem per UDP eine Anfrage schickt. Die Gameserver beantworten
solche Anfragen, indem sie Auskunft über ihren Zustand, die Anzahl
der Spieler usw. liefern. Das anfragende UDP-Paket enthält eine falsche I ...
mehr
-
Das Internet Protokoll hat eine Reihe von IP-Protokoll-
Typen, die undefiniert oder für eine spätere Verwendung reserviert sind [55].
Mit dieser Option im DoS defense Setup (!) soll es möglich sein, diese Typen
zu sperren. Nach meiner persönlichen Auffassung gehört diese Sperre aber
nicht ins DoS defense Setup und kann ebenso gut im ,Filter Setup' mit geregelt
werden.
ftp (File Transfer Protocol) Mit diesem Protokoll können Dat ...
mehr
-
ICMP (Internet Control Message Protocol) dient hauptsächlich dem Austausch von
Status- und Fehlermeldungen. Eigentlich sollte ICMP auf allen Ports verboten werden,
weil hierdurch Firewalls ausgehebelt werden können (vgl. Jürgen Schmidt c't
11/97, S. 332). Allerdings funktioniert dann auch ,Ping' nicht mehr. Eigentlich sollte
es keine nennenswerten Schwierigkeiten geben, wenn ICMP bei einem privaten Internet-
Rechner generell verbot ...
mehr
-
GMP (Internet Group Management Protocol) ist ein Hilfsprotokoll und unterstützt die
Gruppenkommunikation. Es benutzt Class-D-IP-Adressen und wird für das Rundsenden
an mehrere Interfaces eingesetzt. Eine Multicasting-Übertragung (z.B. für
eine Videokonferenz) ist wirkungsvoller als eine Punkt zu Punkt Übertragung. Das
Protokoll kann ebenfalls für Hackerangriffe missbraucht werden.
...
mehr
-
MAP (Internet Message Access Protocol) ist ein Verwaltungs- und Übertragungsverfahren
für e-mails (wird von den Providern seltener unterstützt, bietet im Gegensatz
zu POP3 die Möglichkeit, die elektronische Post bereits auf dem Server zu bearbeiten/
zu löschen)
I
P (Internet Protocol) dient der Adressierung und Fragmentierung der Datenpakete
und übermittelt diese vom Sender zum Empfänger
...
mehr
-
P-Adresse (s. Socket, IP-Adressen) So kann man die IP-Adresse zu einem bestimmten
Hostnamen finden:
Wenn Sie Windows NT/2000/XP benutzen geben Sie ein:
Start � Ausführen nslookup [Enter] {Hostname} [Enter] eingeben
Für Windows 95/98 können Sie unter www.pcpitstop.com/internet/nslook.asp das
kleine Programm nslook kostenlos herunterladen, das ähnliche Funktionen hat.
Auf www.swhois.net unter ,nslookup' kann ebenfalls der Hostname ...
mehr
-
P-Adressen werden im Format x.x.x.x dargestellt, wobei die Punkte nur der besseren
Lesbarkeit dienen; die Netzwerkkomponenten lesen die dargestellte Zahl als eine
Zahl. Jedes ,x' kann (theoretisch) Werte zwischen 0 und 255 (28 = 1 byte = 8 bit) annehmen.
Die IP-Adresse ist also eine Zahl mit 32 bit.
Um dieses Zahlenformat zu verstehen, muss man sich klarmachen, dass ein bit nur
die Werte 0 und 1 annehmen kann. Daher werden die IP-A ...
mehr
-
PX/SPX-kompatibles Protokoll (Internetwork Packet Exchange/Sequential Packet
Exchange-kompatibles Protokoll): Das IPX/SPX-Protokoll wurde ursprünglich von
Novell entwickelt. Die Microsoft Version entspricht diesem Protokoll. In Netzen mit
älteren Novell-Servern ist dieses Protokoll zwingend erforderlich (neuere Novell-
Versionen unterstützen TCP/IP). In (reinen) Windows-Netzen kann es als Alternative
zu NetBEUI eingesetzt werden, i ...
mehr
-
Java ist eine im Jahre 1995 von der Firma Sun Microsystems eingeführte plattformunabhängige
Programmiersprache. Alle gängigen Browser (insbesondere Internet Explorer,
Netscape Navigator, Opera) sind in der Lage, sogenannte Java-Applets auszuführen.
Im Gegensatz zu den Java-Applikationen, die ,richtige' Programme sind,
handelt es sich bei den Applets nicht um eigenständige Programme. Vielmehr lädt
der Browser den sogenannten Byte- o ...
mehr
-
Keep State (Status halten) Um diese Checkbox bei den Filter-Regeln des WebInterfaces
zu verstehen, muss man sich klarmachen, wie der Verbindungsbau unter dem
TCP-Protokoll abläuft, wobei ich mich bemühe, dies hier stark vereinfacht wiederzugeben:
Der Client, der eine Verbindung zu einem Server aufbauen will, schickt ein
Datenpaket, bei dem das SYN-Flag gesetzt ist und welches eine zufällig gewählte
Sequenznummer (ISN = Initial Sequ ...
mehr
-
Loopback (Rückschleife) bezeichnet in IP-Netzen eine spezielle Diagnoseart, bei
der ein Datenpaket an eine der reservierten Adressen 127.xxx.xxx.xxx versandt wird.
Datenpakete mit diesen Adressen sollen und dürfen nicht in das Internet, sondern
sind an den absendenden lokalen Rechner selbst gerichtet. Dieses Verfahren dient
eigentlich der Überprüfung der korrekten Installation von TCP/IP. Manche Internetprogramme
nutzen Loopback fü ...
mehr
-
MAC (Media Access Control) gibt eine in alle Netzwerkkomponenten fest eingebaute
Adresse an, die weltweit einmalig sein soll (nicht mit IP-Adresse verwechseln). MACAdressen
sehen z.B. so aus: 00-80-C7-6D-A4-6E. Die MAC-Adresse des Routers
wird im Hauptbildschirm der Router-Konfiguration angezeigt. Wer sich wundert, dass
IP-Adressen notwendig sind, obwohl alle Netzwerkkomponenten weltweit bereits eine
eindeutige MAC-Nr. haben, sollt ...
mehr
-
NetBEUI (NetBIOS Extended User Interface) ist ein Netzwerkprotokoll, das als Weiterentwicklung
aus NetBIOS (s. dort) entstanden ist. Es wird zur Vernetzung (kleinerer)
Windows-Netze verwandt und ist nicht routingfähig. Unter Windows XP wird das
Protokoll nicht mehr automatisch installiert, ist aber auf der CD enthalten. Eine Anleitung
zur Installation finden Sie unter [23].
...
mehr
-
NetBIOS (Network Basic Input / Output System) ist eine Programmierschnittstelle
(API = Application Program Interface) zur Einrichtung von Kommunikationssitzungen,
zum Senden und Empfangen von Daten und zur Benennung von Netzwerkobjekten.
NetBIOS ist kein Netzwerkprotokoll, kann aber an eine Vielzahl von Protokollen (u.a.
IPX/SPX und TCP/IP) gebunden und - obwohl selbst nicht routingfähig - über
TCP/IP geroutet werden, wodurch erheb ...
mehr
-
Proxy- (Caching-) Server (Stellvertreter) nimmt die Anfragen der angeschlossenen
Klienten hinsichtlich der Ziel- und Quelladressen entgegen und besorgt die gewünschten
Daten aus dem Internet. Häufig wird ein Cache zwischengespeichert,
wodurch die Anfragen schneller beantwortet werden können, wenn sich die gewünschten
Daten bereits im Cache befinden. Es gibt externe (z.B. bei t-online) und
lokale (z.B. Jana) Proxy-Server, die im Pri ...
mehr
-
(R)ARP ([Reserve] Address Resolution Protocol) dient der Umsetzung von 48-bit-
Ethernet-Adressen in 32-bit-IP-Adressen.
...
mehr
