Zone Alarm Testbericht

Ping-AT-Attacks (Denial-of-Service Attacke)
Der amerikanische Modemhersteller Hayes hat Ende der 70er Jahre eine einheitliche, zeilenorientierte und offene Befehlsprache für Modems entwickelt, die sogenannten AT-Befehle. Anhand dieser AT-Befehle ist es möglich, jedes Modem anzusprechen, in welches diese Sprache implementiert ist. Inzwischen sind in allen modernen Modems die AT-Befehlssprache implementiert, so daß Modems von Betriebssystemen und Programmen meist universell angesprochen werden können.
Ist ein Modem offline, befindet es sich prinzipiell im Kommandomodus, d.h. es kann über AT-Befehle angesprochen werden. Geht es dagegen online, wechselt es in den Übertragungsmodus und ist in dieser Zeit nicht über AT-Befehle ansprechbar, es sei denn, man übergibt dem Modem drei Escape-Zeichen (im Fachjargon mit \"+++\" gekennzeichnet), die das Modem als Befehl zum Umschalten in den Kommandomodus interpretiert. Aus Sicherheitsgründen muß zwischen diesem Umschaltkommando in den Kommandomodus und dem ersten AT-Befehl mindestens eine Pause von 1 Sekunde vorhanden sein. Leider verzichten einige Modemhersteller aus patentrechtlichen Gründen auf diese Pause, so daß bei diesen Modellen der Umschaltbefehl in den Kommandomodus und ein kompletter AT-Befehl direkt hintereinander ohne Zeitverzug eingegeben werden können. Und genau darauf beruht der folgende Angriff:
Ein Absender schickt an einen Empfänger über das Internet ein spezielles Ping-Paket, das z.B. die Sequenz \"+++ATH0\" (Umschalten in den Kommandomodus und Beenden der Verbindung) enthält. Laut Ping-Protokoll antwortet der Rechner des Empfängers auf die Ping-Anfrage mit der Spiegelung des Paketes. Kennt das Modem nun keine Pause zwischen dem Umschalten in den Kommandomodus und dem ersten AT-Befehl, wird es den Paketinhalt des Antwort-Pings als abzuarbeitende Sequenz interpretieren und die Verbindung beenden.
Ping Flooding (Denial-of-Service Attacke)
Das Ping Flooding gehört zu den Denial-of-Service Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein angepingter Host quittiert hierzu einen Ping mit einer echoartigen Antwort, einem sogenannten \"Pong\".
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombadiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping of Death bzw. Large Packet-Attacks (Denial-of-Servie Attacke)
Ein weiterer, besonders hinterhältiger Veteran der Denial of Service-Attacks sind die Large Packet-Attacks, unter Insidern Ping of Death genannt (obwohl die Attacke nichts mit dem eigentlichen Ping-Programm zu tun hat).
Die Wirkungsweise von Large Packet-Attacks ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB (65.535 Bytes) große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Plugin
Ein Plugin ist ein kleines Zusatzprogramm zu einem Anwendungsprogramm, mit dem dieses um zusätzliche Funktionen erweitert wird.
Port-Scanner
Im Internet hat jeder Dienst seinen eigenen Port, so steht zum Beispiel für HTTP der Port 80 und für FTP der Port 21. Diese Ports können fast immer frei belegt werden. Oft dienen solche Ports auch für spezielle Admin-Programme, mit denen man den Server betreuen kann. Mit einem Port-Scanner kann man nun herausfinden welche Ports vom Zielrechner zur Zeit belegt bzw. offen sind.
PPP
Point-to-Point Protocol, Kommunikationsmethode für TCP/IP zwischen zwei Partnern, die meist über eine DFÜ-Verbindung zum Einsatz kommt. In der Regel benutzen Internet-Provider PPP für die Einwahlzugänge.
Proxy
Ein Proxy übernimmt als Stellvertreter für Clients die Kommunikation mit Servern in einem anderen Netz ( auch dem Internet ). Im unterschied zur Firewall ändert er aber die Datenpakete - er schickt sie unter der eigenen Adresse und dem passenden Port ins Internet und leitet die Antwort dann an die entsprechenden Clients zurück. Die Client-Anwendungen müssen zur Benutzung eines Proxy umkonfiguriert werden, sodass sie alle Anforderungen an ihn richten. Außerdem muß der Proxy den jeweiligen Dienst unterstützen.
Rate
Auf FTP-Servern wird oft eine bestimmte Rate beim Downloaden der Daten gefordert. Das heißt, wenn man beispielsweise ein Programm mit 5 MB herunter lädt, muß man dafür auf dem Server ein Programm mit z.B. 3 MB hinaufladen. Dies entspräche einem Verhältnis von 5:3. Damit wird garantiert, daß ständig neue Programme in Umlauf gebracht werden.
Redirektor
Wenn eine Internetverbindung über einen Redirektor hergestellt wird, dann wird eine Anfrage auf einen anderen Server umgeleitet. Hacker und Cracker benutzen häufig diese Redirektoren, um ihre wahre Homepage versteckt zu halten.
Remailer
Mit Hilfe eines Remailers kann man anonyme Emails verschicken, die auch keine Provider-Kennung mehr enthalten.
Request
Einige Cracker bieten auf ihren FTP-Servern ein Request-Verzeichnis an, in dem jeder gesuchte Software eintragen kann. Wenig später wird diese meist von irgendjemandem, der diese Software hat, hinaufgeladen. Oft werden auch nur kleine Patches zum cracken von Programmen wie Spielen oder ähnlichem gesucht.
Rip
Gecracktes Programm. Voll funktionsfähig doch weitaus kleiner als die Orginalversion, da viele nicht unbedingt für das Programm notwendige Teile aus Speicherplatzgründen weggelassen wurden (wie z.B. Sound).
Routing
Vermittlung von Datenpaketen zwischen zwei unterschiedlichen IP-Teilnetzen. Router können über spezielle Protokolle die besten Wege zur Weiterleitung der Daten selbstständig miteinander aushandeln. Ein Datenpaket, daß nicht für das lokale Subnetz des sendenden Clients bestimmt ist, wird in den nächstgelegenen Router weitergeleitet. Kennt dieser die Zieladresse, schickt er das Paket direkt weiter. Ansonsten wird es so lange an andere Rechner durchgeschoben, bis es eine Maschine erreicht, die im gleichen Subnetz wie der angesprochene Zielrechner liegt.
Service Overloading (Denial-of-Service Attack)
Einen ähnlichen Weg wie beim Message Flooding, gehen die s.g. Service Overloading Attacks. Allerdings werden hier gezielt Services angesprochen, die einen Großteil der Rechnerressourcen aufzehren können. Dabei ist hier nicht die Menge der Nachrichten ausschlaggebend, sondern es kann hier unter Umständen sogar eine einzige Nachricht genügen. Bekannte Dienste (services), die für einen solchen Angriff anfällig sind, sind z.B. der Finger-Dienst, der auf den meisten Rechnern zur Verfügung steht. Aber auch speziellere Dienste, wie etwa ein Datenbankserver, die nicht genügend gesichert sind, kommen als Angriffspunkte in Frage. Bei einem Datenbanksystem kann eine entsprechend formulierte Abfrage (etwa ein Join über mehrere Tabellen) die Systemresourcen bis an die Grenzen belasten.
Sniffer
Sniffer hören den gesamten Datenverkehr ab, der über die angeschlossene Netzwerkkarte geht. So können beispielsweise bestimmte Passwörter oder Informationen herausgefiltert werden. Wobei dieser Name \"Sniffer\" Urheberrechtlich geschützt ist.
Spoofing
Darunter versteht man das Vortäuschen eines falschen Absenders von IP-Paketen ( = IP-Spoofing ). Es lassen sich auch Internetnamen spoofen, was dann DNS-Spoofing genannt wird. Wenn ein kompletter Internet-Bereich über einen Zwischenrechner umgeleitet wird, nennt man dies dann Web-Spoofing.
SSL
Im Internet wird eine sichere Verbindung meist mit Hilfe des SSL-Prottokolls aufgebaut. In einer solchen Verbindung werden alle Daten verschlüsselt übertragen, somit haben es Hacker sehr schwer solche Daten abzuhören. SSL steht für Secure Sockets Layer.
Syn-Attacks (Denial-of-Service Attacke)
Dieser Typ einer Denial-of-Service Attacke, ist die wohl hinterhältigste überhaupt. Hier wird das Drei-Wege-Handshaking von TCP benutzt, um sog. halboffene Verbindungen herzustellen. Da TCP ein sicheres Übertragungsprotokoll ist gibt es Mechanismen, um eine Verbindung zu synchronisieren. Dies wird über das Drei-Wege-Handshaking von TCP erledigt.
Dabei gibt es, wie der Name schon ahnen läßt, drei Schritte, die durchgeführt werden:
1) Der Client sendet eine Synchronisationsnachricht (SYN) an den Server
2) Der Server antwortet mit einem entsprechenden Acknoledgment (ACK/SYN)
3) Darauf sendet der Client sein Acknoledgement (ACK) an den Server
Mit diesen drei Schritten ist das Handshaking abgeschlossen. Nach Schritt 2 befindet sich auf dem Server ein Eintrag für die Verbindung, der bestehen bleiben muß, bis der Client seine Antwort gesendet hat. Eine Verbindung in diesem Stadium nennt man halboffen.
Ein SYN-Attack nutzt nun die Tatsache aus, daß der Server die halboffenen Verbindungen speichern muß, bis er eine Antwort darauf erhält. Wird diese Antwort allerdings nie gesendet, so muß der Server die halboffene Verbindung trotzdem im Speicher behalten. Tatsächlich hört das Opfer erst nach einiger Zeit auf, auf die Bestätigung zu warten, wodurch natürlich recht schnell die gesamte Bandbreite des Rechners \"aufgebraucht\" ist.
In den Implementierungen von diesem Protokoll wird in der Regel eine Query benutzt, die einen gewissen endlichen Speicher für die halboffenen Verbindungen zur Verfügung stellt. Erstellt nun ein Angreifer eine größere Menge dieser halboffenen Verbindungen, so ist abzusehen, daß der Speicher der Query irgendwann zu Ende ist. An dieser Stelle ist es dem Server nun nicht mehr möglich eine weitere TCP-Verbindung aufzubauen. Er kann somit nicht mehr auf Anfragen seiner Clients reagieren. Im schlimmsten Falle kann es sogar dazu führen, daß der Serverrechner durch den Überlauf der Query abstürzt, wodurch er dann völlig lahmgelegt wäre. Weiterhin tritt bei manchen fehlerhaften TCP-Implementierungen der Fehler auf, daß bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschickt wird, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Teardrop
In diesem Verfahren wird ein Rechner durch Überlagern von IP-Paketen zum Absturz gebracht.
Tracen
Tracen bedeutet, die IP zurückverfolgen.
Trojanische Pferde
Ein Trojanisches Pferd ist ein Programm, welches vorgibt, ein nützliches Programm zu sein, jedoch erst beim Aufruf sein wahres Gesicht zeigt und meist mit dem zerstörerischen Werk beginnt. Trojanische Pferde haben normalerweise nicht die Möglichkeit, sich selbst zu vermehren. Zeitweise gab es im Internet viele Trojanische Pferde, z.B. getarnt als neueste Packerversion. Viele Anwender haben dann solche Programme heruntergeladen. Als sie diese dann starteten, stellte sich heraus, daß es in Wirklichkeit ein Trojanisches Pferd war, daß zum Beispiel die Festplatte löschte oder anderes anstellte. Auch kann es sein, daß der Packer tatsächlich dann das Programm ist, welches man haben wollte. Jedoch ist der Packer, dann aber nicht das einzige Programm welches ausgeführt wird :-(.
Viren
Ein Computervirus ist ein Programm, daß die Fahigkeit besitzt, sich selbständig an andere Dateien, meist ausführbaren Programmen anzuhängen. Viren vervielfältigen sich von selbst, was sie von den Trojanischen Pferden und den Logischen Bomben unterscheidet. Im Gegensatz zum Wurm benötigt ein Computervirus einen fremden Programmcode, den sogenannten Wirtscode, in den sich der Virus einnistet. Der Ablauf des Wirtscodes wird meist nicht geändert. Das befallene Programm dient lediglich als Transportmittel.
Warez
Unter Warez versteht man geknackte Vollversionen von kommerziellen Programmen oder Sharewareprogrammen. Wenn auf einer Software ein Kopierschutz ist, wird dieser entfernt und dann die Software auf sogenannten Warez-Seiten vertrieben.
Wingate
Eine besondere Art von Proxy, der auf Windows-Rechnern läuft.
Würmer
Ein Wurm ist ein Computervirus, welches sich selbst vervielfältigt, sich dabei jedoch nicht an ein anderes Programm anhängt, sondern eine Kopie von sich selbst erstellt. Würmer können somit nicht Bestandteil anderer Programmabläufe werden und sind meist nur dann eine Gefahr, wenn man ein solches Programm aufruft.
So meine Damen und Herren dies wird mein bis lang längester Bericht sein!
Mfg Recado*erschöpft*
Ps: bewertet gut..!thz