Wie angekündigt wird diese Woche das Beispiel aus About Security #57 zu Ende geführt und das Hijacking von TCP/IP-Verbindungen beschrieben. Um den in About Security #57 beschriebenen Angriff zu vollenden, kann ein SYN-Flooding-Angriff (s. About Security #58) zum Ausschalten des vertrauenswürdigen Rechners A verwendet werden:
- Der Angreifer C errät eine gültige Sequenznummer des Opfers B.
- Er macht den vertrauenswürdigen Rechner A mit einem SYN-Flooding-Angriff handlungsunfähig.
- Er baut eine Verbindung zu B auf, bei der er die Adresse von A als Quelladresse und die erratene Sequenznummer angibt.
- B sendet seine Antwort auf das gefälschte Paket an A, der diesmal nicht antwortet.
- Der Angreifer C kann ungestört weitere Pakete an B senden, der ihn aufgrund der Quelladresse für den vertrauenswürdigen Rechner A hält.
die Themen bisher
Da B die Antworten weiter an A sendet, kann C eine mögliche Änderung in den Sequenznummern von B nicht erkennen. Der Angriff muss also möglichst schnell abgeschlossen werden. Meist wird sofort eine Hintertür eingerichtet, über die dann ungestört weitere Aktionen durchgeführt werden können.
TCP-Hijacking
Beim TCP-Hijacking (passender ist TCP-Connection-Hijacking) schaltet sich
der Angreifer in eine bestehende Verbindung ein. Dazu belauscht er den
Datenverkehr und übernimmt in einem geeigneten Moment die Kontrolle
über eine ausgewählte Verbindung, indem er entsprechend
manipulierte TCP-Pakete an die Kommunikationspartner sendet. Ziel eines
solchen Angriffs ist z.B. die komplette Übernahme der Verbindung
einschließlich Abhängen eines der Kommunikationspartner, das
Einschleusen von Befehlen oder das Umgehen von Schutzmaßnahmen.
Vor dem Angriff: Sniffen
Voraussetzung für ein TCP-Hijacking ist das Belauschen (Sniffen) der
Pakete mindestens eines der Opfer. Beim Sniffen werden Pakete, die für
einen anderen Empfänger bestimmt sind, nicht wie vorgesehen verworfen,
sondern ausgewertet. Am einfachsten geht dies bei über einen Hub
verbundenen Rechnern. Da der Hub alle empfangenen Pakete an alle
angeschlossenen Rechner weiterleitet kann ein Rechner, dessen Netzwerkkarte
in den sog. 'Promiscous-Mode' versetzt wurde, auch die nicht für ihn
bestimmten Pakete auswerten. Der Angreifer erfährt aus diesen Paketen
zum einen, wann eine für ihn interessante Verbindung aufgebaut wird.
Dies kann z.B. eine Telnet-Sitzung sein, in die er eigene Befehle
einschleusen möchte. Zum anderen erfährt er die Sequenznummern,
die er zum Einschleusen seiner Pakete in die bestehende Verbindung
benötigt.
Es geht los: Verbindung stören, Pakete einschleusen
Der erste Schritt des Angriffs besteht darin, die Verbindung zu
desynchronisieren. Eine Desynchronisation liegt vor, wenn die Sequenznummer
eines empfangenen Pakets nicht mit einer erwarteten Sequenznummer
übereinstimmt. Nach der Desynchronisation kommt es zu einem
'ACK-Storm': Die Kommunikationspartner erkennen falsche Sequenznummern,
verwerfen die empfangenen Pakete und fordern mit ACK-Paketen die
'richtigen' Pakete (d.h. die mit der erwarteten Sequenznummer) an. Eine
Kommunikation ist so natürlich nicht möglich.
Der Angreifer kann den ACK-Storm begrenzen, indem er selbst die falschen Pakete bestätigt (acknowledget). Er kann auch als Vermittler arbeiten, indem er die Pakete 'übersetzt' (also gültige Sequenznummern einträgt) und ansonsten unverändert weiterleitet, oder aktiv in die Kommunikation eingreifen und die Nutzdaten nach seinen Wünschen manipulieren.
Der Angreifer wartet bis zum gewünschten Zeitpunkt, z.B. nach dem erfolgreichen Telnet-Login, und startet dann den Angriff. Dazu stehen ihm mehrere Möglichkeiten zur Verfügung:
- Desynchronisation durch RST/SYN-Pakete
-
- Der Angreifer sendet ein RST-Paket ('Reset') mit der Adresse des Clients als Quelladresse an den Server, gefolgt von einem SYN-Paket mit neuer initialer Sequenznummer
- Der Server antwortet mit einem SYN/ACK-Paket mit seiner neuen Sequenznummer
- Die Verbindung ist nun desynchronisiert und der Angreifer kann seine Pakete einschleusen (s.o.).
- Desynchronisation durch Infiltration
- Der Angreifer sendet ein Datenpaket mit der Adresse des Clients als Quelladresse und gültiger Sequenznummer an den Server, der es normal verarbeitet (d.h. z.B. enthaltene Befehle ausführt). Danach ist die Verbindung desynchronisiert, da das nächste Paket des Clients mit der bereits 'verbrauchten' Sequenznummer versehen ist.
- Angriff ohne Rücksicht auf Verluste ("Take-No-Prisoners", "Simple Hijack")
-
Ähnlich wie bei der Infiltration wird ein Paket mit Anweisungen in
die Verbindung eingeschleust, es gibt aber keinen Tarnungsversuch.
Diese Angriffe sind nur bei unaufmerksamen Opfern erfolgreich, da sie
durch die danach gestörte Verbindung und die eingeschleusten
Anweisungen auffallen.
Zur Tarnung kann an den Client eine fingierte Fehlermeldung des angegriffenen Protokolls ('Session closed' o.ä.) und/oder ein FIN- oder RST-Paket gesendet werden. Auch eine Resynchronisierung der Verbindung kann den Angriff vertuschen. - Übernahme während des Verbindungsaufbaus ("Early Desynchronization")
- Der Angreifer antwortet an Stelle des Clients auf ein SYN/ACK-Paket mit einem RST- und einem SYN-Paket; das weitere Vorgehen entspricht dem der Desynchronisation durch RST/SYN-Pakete.
In der nächsten Woche wird die Beschreibung des TCP-Hijackings fortgesetzt. Dann geht es u.a. um das ARP-Spoofing, durch das auch geswitchte Netzwerke belauscht werden können.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
- About Security #1: IT-Sicherheit – Was ist das eigentlich?
- About Security #2: Angriffsszenarien
- About Security #3: Eindringlinge abwehren
- About Security #4: Gefährdung aus der Peripherie
- About Security #5: Der Pufferüberlauf
- About Security #6: Ausnutzung von Pufferüberlauf-Schwachstellen
- About Security #7: Gegenwehr – Pufferüberläufe verhindern
- About Security #8: Vorbeugung – Pufferüberläufe verhindern
- About Security #9: Sourcecode Audit – Pufferüberläufe finden
- About Security #10: Software-Audit – Schwachstellensuche in Binaries
- About Security #11: SQL-Injection
- About Security #12: SQL-Injection verhindern
- About Security #13: Mit Stored Procedures gegen SQL-Injection
- About Security #14: Cross-Site Scripting
- About Security #15: Cross-Site Scripting verhindern
- About Security #16: Skriptcode einschleusen
- About Security #17: HTTP Request Smuggling
- About Security #18: Spielarten des HTTP Request Smuggling, 1
- About Security #19: Spielarten des HTTP Request Smuggling, 2
- About Security #20: HTTP Request Smuggling erkennen und verhindern
- About Security #21: HTTP Response Splitting, 1
- About Security #22: HTTP Response Splitting, 2
- About Security #23: Caches vergiften
- About Security #24: Caches indirekt vergiften
- About Security #25: Entführen von Webseiten
- About Security #26: Gefahren für Webanwendungen
- About Security #27: Gefahren für Webserver
- About Security #28: Standorte für Webserver
- About Security #29: Die Firewall, 1
- About Security #30: Die Firewall, 2
- About Security #31: Die Firewall, 3
- About Security #32: Die Firewall, 4
- About Security #33: Die Firewall, 5
- About Security #34: Die Firewall, 6
- About Security #35: Die Firewall, 7
- About Security #36: Die Firewall, 8
- About Security #37: Logfiles – Welche Daten speichern?
- About Security #38: Logfiles – Wie auswerten?
- About Security #39: Paketfilter-Logfiles manuell auswerten
- About Security #40: HTTP-Proxy-Logfiles manuell auswerten,1
- About Security #41: HTTP-Proxy-Logfiles manuell auswerten, 2
- About Security #42: Intrusion-Detection-Systeme – Grundlagen
- About Security #43: Intrusion-Detection-Systeme – Positionierung
- About Security #44: IDS-Kommunikation
- About Security #45: IDS in hochverfügbaren Netzen
- About Security #46: Angriffe auf IDS
- About Security #47: Beispiele für IDS-Regeln
- About Security #48: Umsetzung der IDS-Beispiele mit Snort
- About Security #49: Intrusion Prevention
- About Security #50: Honeypots
- About Security #51: Ein Honeypot – Honeyd
- About Security #52: Firewall, IDS, IPS & Honeypot
- About Security #53: Security Policy
- About Security #54: Security Policy, 1
- About Security #55: Security Policy, 2
- About Security #56: Security Policy, 3
- About Security #57: Angriffe auf TCP/IP - Spoofing
- About Security #58: Angriffe auf TCP/IP - DoS
