„WE ARE GLAD TO TELL YOU THAT http://www.mastercard.com/ is DOWN AND IT’S CONFIRMED!“

So heißt es am 08. Dezember 2010 auf Twitter. Aktivisten des Kollektivs Anonymous greifen Webserver der Geldinstitute Mastercard und Visa an. Diese hatten am Tag zuvor Transaktionen der Plattform Wikileaks gesperrt. Der sogenannten „Operation Payback“ waren auch schon an den Tagen zuvor die Internetauftritte von verschiedenen Unternehmen zum Opfer gefallen: z.B. des Schweizer Finanzinstituts PostFinance. Während mastercard.com am Nachmittag wieder erreichbar ist, bleibt visa.com bis zum Abend offline. In den folgenden Tagen werden noch weitere Webseiten, einschließlich paypalblog.com und moneybookers.com, angegriffen und kurzzeitig offline gezwungen.

Doch wie funktionieren solche Angriffe und wie können sich Betreiber von Webseiten dagegen schützen? Diese Fragen beleuchtet die vorliegende Arbeit am Beispiel einers konkreten Angriffs - des TCP-SYN-Flood - ohne dabei viel Fachwissen vorauszusetzen.

Excerpt

Inhaltsverzeichnis

1 Einleitung

2 Denial of Service

2.1 Physikalischer Angriff

2.2 Erzeugung eines Ressourcenmangels

2.3 Ausnutzung von Implementierungsschwächen

2.4 Ausnutzung von Protokollschwächen

3 TCP-SYN-Flood

3.1 Das TCP-Protokoll

3.1.1 Der 3-Wege-Handshake

3.2 Angriff

3.3 Gegenmaßnahmen

3.3.1 Backlog oder Wartezeit variieren

3.3.2 Alte Verbindungen schließen

3.3.3 SYN-Cache

3.3.4 SYN-Cookies

3.3.5 Praxis

4 Ausblick

Zielsetzung & Themen

Die Arbeit untersucht die Funktionsweise von Denial-of-Service-Angriffen, mit einem spezifischen Fokus auf das TCP-SYN-Flood-Verfahren, und analysiert verschiedene technische Gegenmaßnahmen zur Absicherung von Netzwerksystemen.

Grundlagen von Denial-of-Service-Angriffen
Mechanismen des TCP-3-Wege-Handshakes
Struktur und Ablauf von SYN-Flood-Attacken
Vergleich technischer Schutzmaßnahmen wie SYN-Cache und SYN-Cookies
Gesellschaftliche und motivationale Aspekte von DDoS-Angriffen

Auszug aus dem Buch

3.2 Angriff

Die Idee eines SYN-Floods ist es, den 3-Wege-Handshake auszunutzen indem nur das erste SYN-Paket gesendet wird. Der Server erhält das Paket und sendet ein entsprechendes SYN-ACK-Paket als Antwort. Jetzt wartet der Server auf das ACK seitens des Client. Auch wenn dieses nicht eintrifft, muss der Server noch eine gewisse Zeit die Verbindung offen halten — das Paket könnte auch verzögert eintreffen — bevor er den Verbindungsaufbau abbricht. Während diese so genannte „halb offene Verbindung“ besteht muss der Server die Adresse des Clients und den Status der Verbindung zwischenspeichern, um ein ankommendes ACK-Paket zuordnen zu können und eine entsprechende Verbindung öffnen zu können.

Zur Speicherung dieser Daten sieht die TCP-Spezifikation (Postel, 1981) eine Datenstruktur vor, die „Transmission Control Block“ (TCB) genannt wird. Bei Empfang eines SYN-Pakets legt der Server also einen solchen TCB an und nutzt diesen dann, wenn er das ACK-Paket erhält, um die Verbindung aufzubauen, oder verwirft ihn nach einer bestimmten Wartezeit wieder. Wie genau diese Struktur implementiert wird, ist nicht festgelegt. Dementsprechend variiert die Größe eines TCB bei verschiedenen Betriebssystemen. Doch in jedem Fall verbraucht die Datenstruktur Platz im Systemspeicher. Da dieser aber immer begrenzt ist, kann ein Server nicht beliebig viele Verbindungen offen halten. Um zu verhindern, dass Speicher vollständig erschöpft wird, verwenden die meisten TCP-Implementierungen einen speziellen Puffer, in dem die Verbindungsdaten zu halb offenen Verbindungen gespeichert werden. Dieser wird „backlog queue“ oder auch kurz „backlog“ genannt. Wenn die Anzahl der Verbindungen, die der Server aufrecht erhält, diesen backlog füllt, werden neue SYN-Anfragen sofort mit RST-Paketen abgelehnt, oder sogar vollständig ignoriert.

Zusammenfassung der Kapitel

1 Einleitung: Beleuchtet die Relevanz von DoS-Angriffen anhand der „Operation Payback“ und stellt die technische Bedrohung durch Distributed Denial of Service dar.

2 Denial of Service: Erläutert die grundlegenden Konzepte von DoS-Angriffen, von physikalischen Angriffen bis zur gezielten Ausnutzung von Implementierungs- und Protokollschwächen.

3 TCP-SYN-Flood: Detaillierte Analyse des TCP-Protokolls, der Funktionsweise des 3-Wege-Handshakes und der methodischen Durchführung eines SYN-Flood-Angriffs sowie potenzieller Gegenmaßnahmen.

4 Ausblick: Diskutiert die Entwicklung der Motivation bei DDoS-Angriffen und die Herausforderungen bei der Abwehr zukünftiger, komplexerer Angriffsszenarien.

Schlüsselwörter

Denial of Service, DoS, DDoS, TCP, SYN-Flood, 3-Wege-Handshake, Netzwerksicherheit, Backlog, SYN-Cache, SYN-Cookies, IT-Sicherheit, Protokollschwächen, Botnet, Webserver, Internet-Protokoll

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit befasst sich mit der technischen Funktionsweise von Denial-of-Service-Angriffen (DoS) und konzentriert sich dabei speziell auf die methodische Durchführung und Abwehr von TCP-SYN-Flood-Attacken.

Welche zentralen Themenfelder werden behandelt?

Die zentralen Themen umfassen die Grundlagen der Netzwerkkommunikation mittels TCP, die Schwachstellen innerhalb des 3-Wege-Handshakes sowie verschiedene Schutzmechanismen zur Vermeidung von Ressourcenerschöpfung auf Servern.

Was ist das primäre Ziel oder die Forschungsfrage?

Das Ziel ist es, aufzuzeigen, wie ein SYN-Flood-Angriff funktioniert und welche technischen Strategien (wie SYN-Cache oder SYN-Cookies) implementiert werden können, um die Verfügbarkeit von Diensten unter Angriff zu gewährleisten.

Welche wissenschaftliche Methode wird verwendet?

Es handelt sich um eine theoretische und technische Analyse, die auf IT-Sicherheitskonzepten, Protokollspezifikationen sowie der Auswertung aktueller IT-Sicherheitsvorfälle basiert.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in eine allgemeine Einführung in DoS-Szenarien und eine tiefgehende, technische Betrachtung des TCP-SYN-Floods, inklusive der Analyse von Abwehrmethoden und deren Praxistauglichkeit.

Welche Schlüsselwörter charakterisieren die Arbeit?

Zu den wichtigsten Begriffen gehören DoS, DDoS, TCP-Protokoll, SYN-Flood, 3-Wege-Handshake, SYN-Cache und SYN-Cookies.

Warum ist das TCP-Protokoll besonders anfällig für SYN-Floods?

Aufgrund des Verbindungsaufbaus („3-Wege-Handshake“) muss der Server Ressourcen für „halb offene“ Verbindungen reservieren, was bei einer hohen Anzahl gefälschter SYN-Anfragen zur Erschöpfung des Speichers führt.

Was unterscheidet SYN-Cookies von anderen Gegenmaßnahmen?

SYN-Cookies ermöglichen den Verbindungsaufbau, ohne während des Handshakes Zustandsdaten im Server-Speicher ablegen zu müssen, da die notwendigen Informationen in einer kryptografischen Sequenznummer kodiert werden.

Welche Rolle spielt die Motivation hinter DDoS-Angriffen?

Wie im Ausblick dargelegt, verschiebt sich die Motivation zunehmend von kriminellen Erpressungsversuchen hin zu politisch motiviertem „digitalem Protest“ durch aktivistische Kollektive.

Excerpt out of 19 pages - scroll top

Details

Title: Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen
Grade: 1.0
Author: David Lindner (Author)
Publication Year: 2012
Pages: 19
Catalog Number: V232191
ISBN (Book): 9783656548980
ISBN (eBook): 9783656550730
Language: German
Tags: DoS DDos Denial of Service Abwehr anonymous lulzsec wikileaks cyberwar operation payback botnet trojaner tcp flood tcp-syn-flood slashdot-effekt syn
Product Safety: GRIN Publishing GmbH

Quote paper: David Lindner (Author), 2012, Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen, Munich, GRIN Verlag, https://www.hausarbeiten.de/document/232191

Funktionsweise und Abwehr von Denial of Service-Attacken am Beispiel von TCP-SYN-Anfragen