DoS (Denial Of Servies) Angriffe
- DoS-Attacks und wie man sich schütz
2.0 Einführung
Zuerst einmal, was sind DoS(DenialOfServies)-Attacks !?
Darunter versteht man das ausnützen von Systemfehler oder Programmfehler,
um eine Computer zum Absturz zu bringen oder zu stören !
DoS-Attacks werden von Hacker benützt, um bei schwierigen Situationen
die System-Admins hinzuhalten oder lästige User zu stören !
Deshalb erläutere ich hier mal ein paar DoS-Attacks und wie man sich davor
Schütz !
2.1 Die einfachen DoS-Attacks
2.1.1 Ping-Attacks
Ping-Attacks sind sehr wirkungsvolle Angriffe, weil bei dem Angegriffenen
die Bautrate enorm gesenkt wird. Ping-Attacks funktionieren bei jedem
Rechner ! Der Angreifer tippt z.B: folgendes ein:
ping -f xxx.xxx.xxx.xxx (IP)
xxx.xxx.xxx.xxx steht dabei für die IP oder die Userhost !
Wirkung:
Durch diesen einfachen Befehl werden so schnell wie möglich Packete an die
gewählte IP geschickt. Aber die gewählte IP kann die Packete nicht so schnell
verarbeiten, als wie sie ankommen, deswegen wird die Rechenzeit und die
Bautrate enorm gesenkt.
Schutz:
Schützen kann man vor Ping-Attacks nicht 100%, es sei den der Server unter-
stütz so was. Aber man kann die Packete ablehnen, dazu installiert man
ein PingFlood-Programm oder aktiviert es bei den meisten Programmen z.B:
bei MIAMI steht für registierten User so ein Funktion zur verfügung !
2.1.2 Win95 Ping-Attacks
Beim Win95 Ping-Attack benützt man Ping-Attacks aber gezielt auf den Port
65510. Der Port ist einer von vielen Fehler von Win95 bzw. Windoof95.
Wird eine Ping Attack darauf ausgeführt, stürtz der Rechner ab.
Diese geschieht mit folgendem Befehl:
ping -l 65510 address.to.the.maschine
Schutz:
Schützen muss sich ein AMIGA User zwar nicht, aber man kann sich schützen,
indem man eine Firewall aufbaut, die gezielt den Port 65510 überwacht !
2.1.3 Finger-Attacks
Bei FingerAttacks wird eine Wiederholschleife erzeugt, bei der sich der
Angegriffene immer wieder selber fingert. Das geschied mit folgendem Befehl:
finger §erstes.system.com $zweites.system.com
(oder)
finger ******************system.welches.wir.angreifen
Wirkung:
Durch diese Zeilen wird ein Wiederholschleife erzeugt, welche die Bautrate
und die Rechenleistung ernorm sinkt, kann sogar zum Absturz führen !
Schutz:
Den Dienst finger ausschalten oder eine Firewall einrichten, bei der finger
nur vom fremden Rechner angenommen wird. Das verhindert die Wiederholschleife
mit dem eigenem Rechner!
2.1.4 Systemfehler-Attacks
Zu denn einfachsten DoS-Attacks gehören auch die bekannten Systemfehler
von bestimmten Betriebsysteme. Davon will ich ein paar für LINUX, Win95,
WinNT und UNIX erläutern.
2.1.4.1 ISS 2.0 WWW Server auf Windows NT
Hier muss man nur den Rechner per Telnet auf Port 80 verbinden, und denn
Befehl:
:GET ..Ö..
eingeben und Windows NT stürtz ab, vorrausgesetz, es ist der ISS 2.0 WWW
Server installiert.
Schutz:
Schützen kann man sich mit einer Firewall, die den Port 80 schliest.
2.1.4.2 Windows NT 3.50 und 3.51
Diese Windowsversionen haben genauso wie Windows95 den Dot Bug. D.h senden
man einen einfachen Befehl, per Telnet mit zwei Punkten nach dem Befehl,
bleibt WindowsNT steht. Beispiel Befehle sind:
:DIR ..Ö
:SEND ..Ö
Schutz:
Neuere Windows Version installieren oder gleich LINUX. ;-)
2.1.4.3 Windows NT und Telnet
WindowsNT mit Telnet hat so viele Bugs, wie ein ATOM Elektronen.
Verbindet man eine Windows NT Maschine per Telnet mit Port 6558 und gibt
anschliesend einen Buchstaben ein und drückt Enter. So wird WindowsNT
zu 100% ausgelastet.
Ein Beispiel:
Telnet 5.1
:connet *.*.*.*,6558
Connetion establish
:a
Schutz:
Windows löschen und LINUX draufhauen oder AMIGA kaufen oder MAC ! ;-)
2.1.4.4 Windows NT mit Telnet und komischen Zeichenketten
Ein weitere Bug in WinNT mit Telnet ist folgender Bug, wenn man sich per
Telnet mit WindowsNT verbindet auf Port 53,135,1031 oder 1040 und einfach
ein paar Zeichen sendet und sich anschliesend wieder auslogt, so wird
WindoofNT zu 100% beansprucht, es kann sogar abstürzen. Ein Beispiel:
Telnet 5.1
:connet *.*.*.*,(53,135,1031,1040)
Connetion establish
:fdkljkdflö
:close
Disconnetion
Schutz:
Wie immer WindowsNT löschen oder gleich ein anderes Betriebsystem kaufen.
2.1.4.5 Solaris 2.4 und Telnet
Hier gibt es flogenden Bug, wenn man sich per Telnet verbindet und anschliesend
mit eine bersonderen Art wieder trennt. So wird Solaris 2.4 stehen bleiben
oder sogar abstürzen. Ein Beispiel:
Telnet 5.1
:connet *.*.*.*
(Control ü)
:quiet
Wirkung:
Diese veranlasst Solaris in eine Wiederholschleife zu gehen.
Schutz:
Entweder Telnet abschalten oder denn Proper Patch installieren.
2.1.4.6 Novells Netware FTP
Es ist bekannt, das der Novells Netware FTP Server Speicherplatz verliert,
wenn man mehrere(mutlible)FTP-Verbindungen zu den Server herstellt. Wenn man
nun davon ausgehen kann, das es nur ein kleiner Server ist, mit ca 64 MB Ram
so könnten ca. 10 Menschen, die je 8 MB Ram hätten ihn ohne Probleme so weit
bringen, das er abstürzt wegen Speicherplatzmangel.
Lösung:
Firewall installieren und Multipleverbindungen nicht erlauben.
2.2 Komplexe DoS-Attacks
Die ganzen Komplexen DoS-Attacks bauen auf das TCP/IP Protokoll auf,
weshalb es immer wieder neue gibt! Ich will hier nur ein paar der
wichtigsten erläutern.
2.2.1 Angriffe auf standards Ports (UDP-Service)
Es ist relative einfach die Standartports dazu zu bringen, dass sie in eine
Wiederholschleife fallen. Dazu spielt man denn Rechner vor, er hätte von
sich her eine Packet anfragen an sich selbst gestellt und dieser denkt dann
er müsse das Packet beantworten. Weil das Packet aber nicht vom ihn kam,
schickt er immer wieder an sich selbst Packete. Dazu benützt man die Lokale IP
das ist 127.0.0.1, diese IP ist bei jedem Rechner dies selber, sie ist für die
Verbindung von Modem zu sich selbst zuständig. Also so gesehen für die eigene
Verarbeitung. Die ganzen Standartsports, die dafür in Frage kommen sind
leider bei jedem TCP/IP Programm an. Normalerweise stellen sie auch keine
Gefahr da, aber sie werden immer öfters für s.g UDP-Servies Loops verwendet.
Ein Beispiel für Standartsports sind echo(7), daytime(13), chargen(19),
time(37), domain (53), aunrpc(111) usw.
Um nun das System down zukriegen benützt man ca folgendes System:
von-IP= 127.0.0.1
zur-IP= *.*.*.*
Packet type=UDP(TCP funktioniert vielleicht auch)
von UDP port 13
zum UDP port 13
Schutz:
Eine gute Firewall sollte helfen und man sollte die unbenötigeten Dienste
abschalten. Erläuterungen dazu im Kapitel "Schutz vor Hackern".
2.2.2 EMail Bomben
EMailbomben sind nicht anderes als EMAIL die per Wiederholschleife ein Postfach
sprenngen. Dazu gibt es haufen Programm in Netz, die so was machen.
Wirkung:
Dein Postfach ist überfüllt und Du kannst es evt. nicht mehr benützen.
Lösung:
EMail Anbieter suchen, der ein Schutz vor EMAIL Bomben bietet. GMX hat so
einen Schutz. Mehr unter http://www.GMX.de .
2.2.3 Viren und Trojaner
Viren sind kleine Programme, die sich selbst duplizieren und sich meist sehr
gut verstecken z.B: in anderen Programmen. Es gibt friedliche Viren aber auch
feindlich Viren, die deine ganzen Daten oder sogar beim PC deine Hardware über
das BIOS zerstören könne. Viren sind meist als Anhang bei irgendwelche Mails
dann mit den Namen Unzip oder Viewer, damit man meint, man braucht es um
die EMAIL zu lesen. Das ist aber meist falsch.
Schutz:
Der Schutz vor Viren ist sehr schwer, es gibt zwar immer wieder Virenkiller
aber auch immer wieder neue Viren. Deswegen sollte man, wenn man im Internet
ist einen guten Virenkiller haben und ihn mindestens 1x in der Woche
aktualisieren. Auch sollte man 1x Monat die ganze Festplatte checken lassen.
Aktuelle Virenkiller gibt es im Aminet unter http://de.aminet.net .
2.2.4 SHH Login blocken
Wenn man sich per SHH zu einen Rechner verbindet und bei der Passworteingabe
wartet. Wird das SHH Login für andere User gesperrt, bis man was ein gibt
oder die Verbindung trennt. Es kann sein, das dieser Hack nur noch bei
alten Systemen funktioniert. Da liegt an einen Fehler in der Konfiguration.
2.3 Schlusswort
Ich werde in nächster Zeit diese Liste erweiter bzw. extra nach AMIGA Bugs
suchen. Wenn ihr weiter kennt, dann schickt sie mir doch bitte zu ! Danke !