This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und etwas anderes

Einführung in Netzwerkangriffe

Kurze Beschreibungen von Netzwerkangriffen

Datenfragmentierung

Fragmentierte IP-Übertragung

Ping-Flutangriff

PingOfDeath oder SSPing

UDP-Bombe

SYN Überschwemmung

Benutzerdefinierte IP-gekapselte Protokolle

TFTP verwenden

Schlumpfangriff

Land angreifen

Einführung eines falschen Servers in das Internet durch Erstellen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gerichteten „Sturms“ falscher DNS-Antworten auf den angegriffenen DNS-Server

Einführung eines falschen DNS-Servers im Internet durch Abfangen einer DNS-Abfrage

DNS-Flooding-Angriff

Spoofing von DNS-Angriffen

IP-Spoofing-Angriff

Imposante Pakete

Schnüffeln - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Paketerfassung auf dem Router

Auferlegen einer falschen Route an einen Host mithilfe von ICMP

Winnuke

Falscher ARP-Server

Vorhersage TCP-Sequenznummer (IP-Spoofing)

Lokaler Sturm

IP-Hijacking

Erkennung und Schutz von Angriffen

Scan-Methoden

ARP verwenden

Netzwerkscanning mit DNS

UDP-Bombe

TCP-Port-Scan

UDP-Port-Scan

Stealth-Scan

Passiver Scan

Einladung zum System und die Gefahr der darin enthaltenen Informationen

Ein paar Tipps zur Recherche im Netzwerk

Einige andere Möglichkeiten, um Informationen zu erhalten

Löcher und Verwaltungsfehler in Windows NT

Spam

So schützen Sie das Mailsystem vor Spammern

Wie Spammer funktionieren

Löcher IIS, WWW, FTP

Einführung in Netzwerkangriffe

Das wachsende Interesse an TCP / IP-Netzwerken ist auf das schnelle Wachstum des Internets zurückzuführen. Dies lässt Sie jedoch darüber nachdenken, wie Sie Ihre Informationsressourcen vor Angriffen durch ein externes Netzwerk schützen können. Wenn Sie mit dem Internet verbunden sind, wird Ihr System möglicherweise angegriffen. Die IP-Protokollfamilie ist die Grundlage für den Aufbau von Intranet-Netzwerken und des globalen Internets. Obwohl die Entwicklung von TCP / IP vom US-Verteidigungsministerium finanziert wurde, ist TCP / IP nicht vollständig sicher und ermöglicht die verschiedenen in diesem Kapitel beschriebenen Arten von Angriffen. Um solche Angriffe ausführen zu können, muss ein potenzieller Angreifer die Kontrolle über mindestens eines der mit dem Internet verbundenen Systeme haben. Einer der Ansätze zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht darin, eine separate Klasse von Bedrohungen zu isolieren, die nur Computernetzwerken eigen sind. Wir werden diese Klasse von Bedrohungen als die Klasse der Fernangriffe bezeichnen. Dieser Ansatz zur Klassifizierung erscheint aufgrund des Vorhandenseins grundlegender Merkmale beim Aufbau von Netzwerkbetriebssystemen legitim. Das Hauptmerkmal eines Netzwerkbetriebssystems besteht darin, dass seine Komponenten im Raum verteilt sind und die Kommunikation zwischen ihnen physisch über spezielle Netzwerkverbindungen (Koaxialkabel, Twisted Pair, Glasfaser usw.) und programmgesteuert über den Nachrichtenmechanismus erfolgt. In diesem Fall werden alle Steuernachrichten und Daten, die von einer Komponente des Netzwerkbetriebssystems an eine andere Komponente gesendet werden, über Netzwerkverbindungen in Form von Austauschpaketen übertragen. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Klasse von Bedrohungen - Remote-Angriffe. Bei dieser Art von Angriff interagiert der Angreifer mit dem Empfänger der Informationen, dem Absender und / oder den Zwischensystemen und ändert und / oder filtert möglicherweise den Inhalt von TCP / IP-Paketen. Diese Arten von Angriffen scheinen oft technisch schwierig zu implementieren, für einen guten Programmierer ist es jedoch nicht schwierig, die entsprechenden Tools zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu generieren, ist ein wichtiger Punkt für die Implementierung aktiver Angriffe. Fernangriffe können nach Art der Auswirkungen klassifiziert werden: aktiv oder passiv. Aktive Angriffe können in zwei Teile unterteilt werden. Im ersten Fall unternimmt der Angreifer bestimmte Schritte, um den Netzwerkstrom abzufangen und zu ändern, oder versucht, sich als ein anderes System auszugeben. Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um das Opfersystem herunterzufahren. Bei passiven Angriffen erkennen sich Angreifer in keiner Weise und interagieren nicht direkt mit anderen Systemen. Tatsächlich kommt es darauf an, die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe die Netzwerksicherheitsrichtlinien verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Ein bestimmter Netzwerkverkehr entspricht jedem Angriff. Daher können Sie mithilfe der Verkehrsanalyse den Angriff bestimmen und die „Spuren“ des Angreifers erkennen, d. H. Bestimmen Sie die IP-Adressen, von denen aus die Auswirkungen auf die Informationen ausgeführt wurden. Die Erkennung von Angriffen erfolgt somit durch das Verfahren zur Überwachung des Informationsflusses, das durch Analyse des Netzwerkverkehrs erreicht wird.

Kurze Beschreibungen von Netzwerkangriffen

Es sollte beachtet werden, dass grobe Methoden wie das Pingen großer Pakete oder das SYN-Flooding jede Internetmaschine oder jedes Subnetz unabhängig von der Konfiguration überfordern können.

Datenfragmentierung

Bei der Übertragung eines IP-Datenpakets über ein Netzwerk kann dieses Paket in mehrere Fragmente unterteilt werden. Anschließend wird beim Erreichen des Ziels das Paket aus diesen Fragmenten wiederhergestellt. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf von Softwarepuffern auf der Empfangsseite und in einigen Fällen zum Systemabsturz führt.

Übertragung fragmentierter IP-Pakete mit einem Gesamtvolumen von mehr als 64 KB

Die Anzahl der Angriffsimplementierungen, die IP-Pakete fragmentieren können, ist recht groß. Mehrere fragmentierte IP-Pakete werden an den Computer des Opfers übertragen, die beim Zusammenbau ein Paket bilden, das größer als 64 KB ist (die maximale Größe des IP-Pakets beträgt 64 KB abzüglich der Länge des Headers). Dieser Angriff war gegen Computer unter Windows wirksam. Nach Erhalt eines solchen Pakets friert Windows NT ein, das keinen speziellen icmp-fix-Patch hat, oder stürzt ab. Andere Varianten solcher Angriffe verwenden falsche Offsets in IP-Fragmenten, was zu einer falschen Speicherzuordnung, Pufferüberläufen und letztendlich zu Systemstörungen führt.

Gegenmaßnahme: Um solche Angriffe zu identifizieren, muss die Montage von Paketen im laufenden Betrieb durchgeführt und analysiert werden. Dies erhöht die Hardwareanforderungen erheblich.

Ping-Flutangriff

Er erschien, weil das "Ping" -Programm, mit dem die Qualität der Leitung bewertet werden soll, den Schlüssel zu "aggressiven" Tests hat. In diesem Modus werden Anforderungen so schnell wie möglich gesendet, und mit dem Programm können Sie bewerten, wie das Netzwerk bei maximaler Auslastung funktioniert. Für diesen Angriff muss ein Angreifer auf schnelle Kanäle im Internet zugreifen. Denken Sie daran, wie Ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, in dem die Uhrzeit und ihre Kennung festgelegt sind. Der Kernel des Zielcomputers antwortet auf eine ähnliche Anforderung mit dem ICMP ECHO REPLY-Paket. Nach dem Empfang gibt Ping die Durchgangsgeschwindigkeit eines Pakets aus. In der Standardbetriebsart werden Pakete in bestimmten Intervallen praktisch ohne Belastung des Netzwerks gesendet. Im "aggressiven" Modus kann der ICMP-Echoanforderungs- / Antwortpaketstrom eine kleine Leitung überlasten, wodurch ihm die Fähigkeit entzogen wird, nützliche Informationen zu übertragen. Natürlich ist der Fall von Ping ein Sonderfall einer allgemeineren Situation im Zusammenhang mit Kanalüberlastung. Beispielsweise kann ein Angreifer viele UDP-Pakete an den 19. Port des Opfercomputers senden. Wenn er den allgemein anerkannten Regeln folgt, verfügt er über einen Zeichengenerator am 19. UDP-Port, der auf Pakete mit Zeilen von 80 Byte reagiert. Beachten Sie, dass ein Angreifer auch die Rücksprungadresse solcher Pakete fälschen kann, was die Erkennung erschwert. Nur eine koordinierte Arbeit von Spezialisten an Zwischenroutern hilft dabei, dies zu verfolgen, was fast unmöglich ist. Eine der Angriffsoptionen besteht darin, ICMP-Echoanforderungspakete zu senden, deren Quelladresse auf das Opfer verweist, um Adressen großer Netzwerke zu senden. Infolgedessen antwortet jeder der Computer auf diese gefälschte Anfrage, und der sendende Computer erhält mehr Antworten. Wenn Sie im Namen des "Opfers" viele Broadcast-Echo-Anfragen an die Broadcast-Adressen großer Netzwerke senden, kann dies zu einer scharfen Füllung des Kanals "Opfer" führen. Anzeichen einer Überflutung sind ein starker Anstieg der Belastung des Netzwerks (oder Kanals) und ein Anstieg der Anzahl spezifischer Pakete (z. B. ICMP). Zum Schutz können Sie empfehlen, Router einzurichten, in denen derselbe ICMP-Verkehr gefiltert wird, der einen bestimmten Wert (Pakete / Zeiteinheit) überschreitet. Beschränken Sie den Zugriff auf Ping, um sicherzustellen, dass Ihre Computer nicht als Quelle für Ping-Flood dienen können.

PingOfDeath oder SSPing

Das Wesentliche ist wie folgt: Ein stark fragmentiertes ICMP-Paket mit einer großen Größe (64 KB) wird an den Computer des Opfers gesendet. Die Reaktion von Windows-Systemen auf den Empfang eines solchen Pakets ist ein bedingungsloser Stillstand, einschließlich Maus und Tastatur. Das Angriffsprogramm ist im Netzwerk als Quelle in C und als ausführbare Dateien für einige Unix-Versionen weit verbreitet. Es ist merkwürdig, dass im Gegensatz zu WinNuke nicht nur Windows-Computer Opfer eines solchen Angriffs werden können, sondern auch MacOS und einige Unix-Versionen betroffen sind. Die Vorteile dieser Angriffsmethode bestehen darin, dass die Firewall normalerweise ICMP-Pakete weiterleitet. Wenn die Firewall so konfiguriert ist, dass sie die Adressen der Absender filtert, können Sie mit einfachen Spoofing-Tricks auch eine solche Firewall täuschen. Der Nachteil von PingOfDeath besteht darin, dass Sie für einen Angriff mehr als 64 KB über das Netzwerk senden müssen, was es im Allgemeinen für Sabotage in großem Maßstab ungeeignet macht.

UDP-Bombe

Das übertragene UDP-Paket enthält das falsche Dienstfeldformat. Einige ältere Versionen der Netzwerksoftware führen beim Empfang eines solchen Pakets zu einem Absturz.

SYN Überschwemmung

Das Überfluten von SYN-Paketen ist der bekannteste Weg, einen Informationskanal zu „verstopfen“. Erinnern Sie sich daran, wie TCP / IP mit eingehenden Verbindungen funktioniert. Das System beantwortet das eingehende C-SYN-Paket S-SYN / C-ACK-Paket, versetzt die Sitzung in den Status SYN_RECEIVED und stellt sie in die Warteschlange. Wenn der S-ACK nicht innerhalb der angegebenen Zeit vom Client empfangen wird, wird die Verbindung aus der Warteschlange entfernt, andernfalls wird die Verbindung in den Status ESTABLISHED versetzt. Stellen Sie sich den Fall vor, in dem die Eingangsverbindungswarteschlange bereits voll ist und das System ein SYN-Paket empfängt, das Sie zum Herstellen einer Verbindung einlädt. Von RFC wird es stillschweigend ignoriert. Das Fluten von SYN-Paketen basiert auf dem Überlauf der Serverwarteschlange. Danach reagiert der Server nicht mehr auf Benutzeranforderungen. Der bekannteste Angriff dieser Art ist der Angriff auf Panix, einen New Yorker Anbieter. Panix hat 2 Wochen lang nicht gearbeitet. In verschiedenen Systemen wird die Arbeit mit der Warteschlange unterschiedlich implementiert. In BSD-Systemen hat jeder Port eine eigene Warteschlange mit 16 Elementen. In SunOS-Systemen gibt es dagegen keine solche Trennung, und das System hat einfach eine große gemeinsame Warteschlange. Dementsprechend reichen 16 SYN-Pakete aus, um beispielsweise den WWW-Port auf dem BSD zu blockieren, und für Solaris 2.5 wird ihre Anzahl viel größer sein. Nach einiger Zeit (abhängig von der Implementierung) entfernt das System Anforderungen aus der Warteschlange. Nichts hindert den Angreifer jedoch daran, einen neuen Stapel von Anforderungen zu senden. Selbst wenn die Verbindung 2400 Bit / s beträgt, kann ein Angreifer alle 1,5 Minuten 20 bis 30 Pakete an den FreeBSD-Server senden, sodass dieser nicht funktioniert (dieser Fehler wurde natürlich in den neuesten Versionen von FreeBSD behoben). Wie üblich kann ein Angreifer beim Generieren von Paketen IP-Adressen mit zufälliger Rückgabe nutzen, was es schwierig macht, seinen Datenverkehr zu erkennen und zu filtern. Die Erkennung ist einfach - eine große Anzahl von Verbindungen befindet sich im Status SYN_RECEIVED und ignoriert Versuche, eine Verbindung zu diesem Port herzustellen. Zum Schutz können Sie Patches empfehlen, die eine automatische „Ausdünnung“ der Warteschlange implementieren, beispielsweise basierend auf dem Early Random Drop-Algorithmus. Wenden Sie sich an Ihren Systemlieferanten, um herauszufinden, ob Ihr System vor SYN-Überflutung geschützt ist. Eine weitere Schutzoption besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen hergestellt und erst danach innerhalb des Netzwerks auf den angegebenen Computer übertragen werden. Auf diese Weise können Sie das Syn-Flooding begrenzen und nicht in das Netzwerk gelangen lassen. Dieser Angriff bezieht sich auf Denial-of-Service-Angriffe, die dazu führen, dass keine Dienste bereitgestellt werden können. Der Angriff zielt normalerweise auf einen bestimmten Dienst ab, beispielsweise Telnet oder FTP. Es besteht darin, Verbindungsaufbaupakete an den Port zu senden, der dem angegriffenen Dienst entspricht. Nach Empfang der Anforderung weist das System Ressourcen für die neue Verbindung zu. Anschließend versucht es, auf die Anforderung zu antworten ("SYN-ACK" senden), und zwar an eine unzugängliche Adresse. Standardmäßig versuchen die NT-Versionen 3.5-4.0, die Bestätigung fünfmal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Danach kann das System weitere 96 Sekunden auf eine Antwort warten und erst danach werden die für die zukünftige Verbindung zugewiesenen Ressourcen freigegeben. Die Gesamtzeit der Ressourcen beträgt 189 Sekunden.

Benutzerdefinierte IP-gekapselte Protokolle

Das IP-Paket enthält ein Feld, das das Protokoll für das gekapselte Paket (TCP, UDP, ICMP) definiert. Angreifer können den nicht standardmäßigen Wert dieses Felds verwenden, um Daten zu übertragen, die nicht mit Standardmitteln zur Steuerung des Informationsflusses aufgezeichnet werden.

TFTP verwenden

Dieses Protokoll enthält keine Authentifizierungsmechanismen, weshalb es für Angreifer attraktiv ist.

Schlumpfangriff

Bei dem Schlumpfangriff werden ICMP-Broadcast-Anforderungen im Namen des Computer des Opfers an das Netzwerk gesendet. Infolgedessen reagieren Computer, die solche Broadcast-Pakete empfangen, auf den Computer des Opfers, was zu einer signifikanten Verringerung der Bandbreite des Kommunikationskanals und in einigen Fällen zu einer vollständigen Isolierung des angegriffenen Netzwerks führt. Der Schlumpfangriff ist außerordentlich effektiv und weit verbreitet. Gegenmaßnahme: Um diesen Angriff zu erkennen, muss die Kanallast analysiert und die Gründe für die Verringerung des Durchsatzes ermittelt werden.

Land angreifen

Der Land-Angriff nutzt Schwachstellen bei der Implementierung von TCP / IP-Stacks in einigen Betriebssystemen aus. Es besteht darin, ein TCP-Paket zu übertragen, dessen SYN-Flag auf den offenen Port des Opfercomputers gesetzt ist, wobei die Quelladresse und der Port eines solchen Pakets der Adresse und dem Port des angegriffenen Computers entsprechen. Dies führt dazu, dass der Computer des Opfers versucht, eine Verbindung mit sich selbst herzustellen, wodurch die Prozessorlast stark zunimmt und ein „Einfrieren“ oder ein Neustart auftreten kann. Dieser Angriff ist bei einigen Modellen von Cisco Systems-Routern sehr effektiv. Die erfolgreiche Anwendung eines Angriffs auf einen Router kann das gesamte Netzwerk des Unternehmens beschädigen. Gegenmaßnahmen: Sie können sich vor diesem Angriff schützen, indem Sie beispielsweise einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren und eine Filterregel festlegen, um Pakete aus dem Internet zu unterdrücken, jedoch mit den Quell-IP-Adressen von Computern im internen Netzwerk.

Einführung eines falschen Servers in das Internet durch Erstellen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Eine andere Ausführungsform eines an den DNS-Dienst gerichteten Fernangriffs basiert auf dem zweiten Typ eines typischen Fernangriffs "falsches Objekt der Sonne". In diesem Fall sendet der Angreifer ständig eine vorbereitete falsche DNS-Antwort im Namen des realen DNS-Servers an den angegriffenen Host, ohne eine DNS-Abfrage zu erhalten. Mit anderen Worten, der Angreifer erzeugt einen gezielten „Sturm“ falscher DNS-Antworten im Internet. Dies ist möglich, da UDP normalerweise zum Übertragen der DNS-Abfrage verwendet wird, für die keine Tools zur Paketidentifizierung vorhanden sind. Das einzige Kriterium, das das Netzwerkbetriebssystem des Hosts für die vom DNS-Server empfangene Antwort vorlegt, ist zum einen, dass die IP-Adresse des Absenders der Antwort mit der IP-Adresse des DNS-Servers übereinstimmt, und zum anderen, dass in der DNS-Antwort derselbe Name angegeben ist. Wie bei der DNS-Abfrage sollte drittens die DNS-Antwort an denselben UDP-Port gerichtet werden, von dem die DNS-Abfrage gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer), und viertens an DNS -Antwort Das Feld für die Anforderungskennung im DNS-Header (ID) sollte denselben Wert wie in der übertragenen DNS-Abfrage enthalten (und dies ist das zweite Problem). In diesem Fall ist das Hauptproblem für ihn die UDP-Portnummer, von der die Abfrage gesendet wurde, da der Angreifer die DNS-Abfrage nicht abfangen kann. Die Portnummer des Absenders akzeptiert jedoch einen begrenzten Satz von Werten (1023?). Daher reicht es für einen Angreifer aus, einfach brutale Gewalt anzuwenden und falsche Antworten an die entsprechende Liste von Ports zu senden. Auf den ersten Blick kann das zweite Problem die Zwei-Byte-Kennung der DNS-Abfrage sein, aber in diesem Fall ist sie entweder gleich eins oder hat einen Wert nahe Null (eine Abfrage - die ID wird um 1 erhöht). Um diesen Remote-Angriff auszuführen, muss der Angreifer daher den für ihn interessanten Host (A) auswählen, dessen Route geändert werden muss, damit er einen falschen Server passiert - den Host des Angreifers. Dies wird durch ständige Übertragung (von einem "Sturm" geleitet) falscher DNS-Antworten an den angegriffenen Host im Namen des realen DNS-Servers an den Angreifer an die entsprechenden UDP-Ports erreicht. In diesen falschen DNS-Antworten wird die IP-Adresse des Angreifers als Host-IP-Adresse A angegeben. Als nächstes entwickelt sich der Angriff wie folgt. Sobald das Ziel des Angriffs (der angegriffene Host) namentlich an Host A adressiert ist, wird von diesem Host eine DNS-Abfrage an das Netzwerk gesendet, die der Angreifer niemals empfängt. Dies ist jedoch nicht erforderlich, da der Host sofort eine ständig übertragene Falschmeldung empfängt Die DNS-Antwort, die vom Betriebssystem des angegriffenen Hosts als echte Antwort vom DNS-Server wahrgenommen wird. Der Angriff fand statt und nun überträgt der angegriffene Host alle für A bestimmten Pakete an die IP-Adresse des Hosts des Angreifers, der sie wiederum an A weiterleitet und auf die abgefangenen Informationen gemäß dem Schema "Verteilte verteilte Flugzeuge mit falscher Struktur" reagiert. Betrachten Sie das Funktionsdiagramm des vorgeschlagenen Remote-Angriffs auf den DNS-Dienst: • Ständige Übertragung falscher DNS-Antworten an den angreifenden Host an verschiedene UDP-Ports und möglicherweise mit unterschiedlichen IDs im Namen des realen DNS-Servers mit dem Namen des Hosts von Interesse und seiner falschen IP-Adresse ist die IP-Adresse des falschen Servers - des Hosts des Angreifers; • Wenn Sie ein Paket vom Host empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des Angreifers und senden Sie das Paket an den Server (dh der falsche Server arbeitet mit dem Server in seinem Namen zusammen - von seiner IP-Adresse). • Wenn ein Paket vom Server empfangen wird, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen Servers und übertragen Sie das Paket an den Host (für den Host ist der falsche Server der echte Server). Durch die Implementierung dieses Remote-Angriffs, bei dem Lücken in der Sicherheit von DNS verwendet werden, können Sie das Routing zwischen zwei bestimmten Objekten von überall im Internet aus stören. Das heißt, dieser Remote-Angriff wird segmentübergreifend in Bezug auf das Ziel des Angriffs ausgeführt und gefährdet die Sicherheit eines Internet-Hosts, der den normalen DNS-Dienst verwendet.

Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gerichteten „Sturms“ falscher DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Suchschema folgt, dass, wenn der DNS-Server den in der Abfrage angegebenen Namen in seiner Namensdatenbank nicht gefunden hat, die Abfrage vom Server an einen der DNS-Stammserver gesendet wird, deren Adressen in der Servereinstellungsdatei root.cache enthalten sind . Das heißt, wenn der DNS-Server keine Informationen über den angeforderten Host hat, leitet er die Anforderung weiter, was bedeutet, dass jetzt der DNS-Server selbst der Initiator der Remote-DNS-Suche ist. Daher hindert nichts den Angreifer mit den im vorherigen Absatz beschriebenen Methoden daran, seinen Angriff an den DNS-Server zu senden. Das heißt, das Ziel des Angriffs ist jetzt nicht der Host, sondern der DNS-Server und falsche DNS-Antworten werden vom Angreifer im Namen des Root-DNS-Servers an den angegriffenen DNS-Server gesendet. Es ist wichtig, die folgende Funktion des DNS-Servers zu berücksichtigen. Um den Betrieb zu beschleunigen, speichert jeder DNS-Server seinen eigenen Hostnamen und seine IP-Adresszuordnungstabelle im Speicherbereich zwischen. Das Einschließen von sich dynamisch ändernden Informationen über die Namen und IP-Adressen von Hosts, die während des Betriebs des DNS-Servers gefunden wurden, wird in den Cache eingegeben. Das heißt, wenn der DNS-Server, der die Anforderung empfangen hat, den entsprechenden Eintrag in seiner Cache-Tabelle nicht findet, sendet er die Antwort an den nächsten Server und speichert nach Erhalt der Antwort die in der Cache-Tabelle gefundenen Informationen im Speicher. Wenn die nächste Anforderung empfangen wird, muss der DNS-Server keine Fernsuche mehr durchführen, da sich die erforderlichen Informationen bereits in seiner Cache-Tabelle befinden. Aus der Analyse des gerade im Detail beschriebenen Schemas der Remote-DNS-Suche wird ersichtlich, dass der Angreifer, wenn er eine falsche DNS-Antwort als Antwort auf eine Anfrage vom DNS-Server sendet (oder im Falle eines „Sturms“ falscher Antworten diese ständig überträgt). In der Cache-Tabelle des Servers wird dann ein entsprechender Eintrag mit falschen Informationen angezeigt. In Zukunft werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert. Beim Zugriff auf den Host erfolgt die Kommunikation mit dem Angreifer über den Host des Angreifers nach den Schemata e "falsches Objekt der Sonne." Und im Laufe der Zeit werden diese falschen Informationen, die in den Cache des DNS-Servers gelangen, an benachbarte übergeordnete DNS-Server verteilt, und folglich werden immer mehr Hosts im Internet falsch informiert und angegriffen. Für den Fall, dass der Angreifer die DNS-Abfrage vom DNS-Server nicht abfangen kann, benötigt er zur Implementierung des Angriffs einen „Sturm“ falscher DNS-Antworten, die an den DNS-Server gerichtet sind. In diesem Fall tritt das folgende Hauptproblem auf, das sich vom Problem der Portauswahl im Falle eines auf den Host gerichteten Angriffs unterscheidet. Wie bereits erwähnt, identifiziert der DNS-Server diese Anforderung durch Senden einer Anforderung an einen anderen DNS-Server mit einem Doppelbyte-Wert (ID). Dieser Wert wird bei jeder übertragenen Anforderung um eins erhöht. Der Angreifer kann den aktuellen Wert der DNS-Abfragekennung nicht ermitteln. Daher ist es ziemlich schwierig, etwas anderes anzubieten, als 2 16 mögliche ID-Werte aufzulisten. Das Problem der Portaufzählung verschwindet jedoch, da alle DNS-Abfragen vom DNS-Server an Port 53 übertragen werden. Das nächste Problem, das eine Bedingung für die Ausführung dieses Remote-Angriffs auf den DNS-Server mit einem gerichteten „Sturm“ falscher DNS-Antworten ist, besteht darin, dass der Angriff nur dann erfolgreich ist, wenn der DNS-Server eine Anforderung zur Suche nach einem bestimmten Namen (der enthält) sendet in einer falschen DNS-Antwort). Der DNS-Server sendet diese Anforderung, die für den Angreifer so notwendig und wünschenswert ist, wenn er von einem Host eine DNS-Anforderung zur Suche nach diesem Namen erhält und dieser Name nicht in der Cache-Tabelle des DNS-Servers angezeigt wird. Grundsätzlich kann diese Anfrage jederzeit eintreffen und der Angreifer muss möglicherweise beliebig lange auf die Ergebnisse des Angriffs warten. Nichts hindert den Angreifer jedoch daran, darauf zu warten, dass jemand eine ähnliche DNS-Abfrage an den angegriffenen DNS-Server selbst sendet und den DNS-Server dazu veranlasst, nach dem in der Abfrage angegebenen Namen zu suchen. Dann ist dieser Angriff wahrscheinlich fast unmittelbar nach dem Beginn seiner Implementierung erfolgreich.

Einführung eines falschen DNS-Servers im Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Remote-Angriff, der auf einem typischen Standard-Remote-Angriff basiert, der mit dem Warten auf eine DNS-Suche verbunden ist. Bevor Sie den Algorithmus zum Angreifen des DNS-Dienstes in Betracht ziehen, müssen Sie bei der Arbeit dieses Dienstes die folgenden Feinheiten beachten. Erstens arbeitet der DNS-Dienst standardmäßig auf der Grundlage des UDP-Protokolls (obwohl das TCP-Protokoll verwendet werden kann), was ihn natürlich weniger sicher macht, da das UDP-Protokoll im Gegensatz zu TCP keine Möglichkeit zur Identifizierung von Nachrichten bietet. Um von UDP zu TCP zu wechseln, muss der DNS-Serveradministrator die Dokumentation gründlich studieren. Darüber hinaus verlangsamt dieser Übergang das System etwas, da zum einen bei Verwendung von TCP eine virtuelle Verbindung erforderlich ist und zum anderen die endgültigen Netzwerkbetriebssysteme zunächst eine DNS-Abfrage über das UDP-Protokoll senden und wenn es um diese geht Wenn Sie eine spezielle Antwort vom DNS-Server erhalten, sendet das Netzwerkbetriebssystem eine DNS-Abfrage über TCP. Zweitens ist die nächste Subtilität, auf die Sie achten müssen, dass der Wert des Felds "Absenderport" im UDP-Paket zunächst den Wert 1023 (?) Nimmt und sich dann mit jeder übertragenen DNS-Abfrage erhöht. Drittens verhält sich der Wert des Bezeichners (ID) der DNS-Abfrage wie folgt. Wenn eine DNS-Abfrage vom Host gesendet wird, hängt ihr Wert von der jeweiligen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors haben gezeigt, dass beim Übertragen einer Anforderung von der Shell der Shell der Betriebssysteme Linux und Windows '95 (z. B. ftp nic.funet.fi) dieser Wert immer gleich eins ist. Für den Fall, dass eine DNS-Abfrage von Netscape Navigator übertragen wird, erhöht der Browser selbst bei jeder neuen Abfrage diesen Wert um eins. Für den Fall, dass die Anforderung direkt vom DNS-Server übertragen wird, erhöht der Server diesen Identifizierungswert mit jeder neu übertragenen Anforderung um eins. All diese Feinheiten sind im Falle eines Angriffs wichtig, ohne eine DNS-Abfrage abzufangen. Um einen Angriff durch Abfangen einer DNS-Abfrage zu implementieren, muss der Angreifer die DNS-Abfrage abfangen, daraus die UDP-Portnummer des Absenders der Abfrage, den Doppelbytewert der ID der DNS-Abfragekennung und den Suchnamen extrahieren und dann eine falsche DNS-Antwort an die DNS-Abfrage senden UDP-Port, an dem die tatsächliche IP-Adresse des falschen DNS-Servers als zu durchsuchende IP-Adresse angegeben wird. Dies wird es in Zukunft ermöglichen, den Verkehr zwischen dem "getäuschten" Host und dem Server gemäß dem Schema "Falsches PBC-Objekt" vollständig abzufangen und aktiv zu beeinflussen. Stellen Sie sich ein verallgemeinertes Schema für den Betrieb eines falschen DNS-Servers vor: • Warten auf eine DNS-Abfrage; • eine DNS-Abfrage erhalten, die erforderlichen Informationen daraus extrahiert und im Namen des realen DNS-Servers (von der IP-Adresse) eine falsche DNS-Antwort über das Netzwerk an den anfordernden Host gesendet hat, die die IP-Adresse des falschen DNS-Servers angibt; • Wenn Sie ein Paket vom Host empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen DNS-Servers und übertragen Sie das Paket an den Server (dh der falsche DNS-Server arbeitet mit dem Server in seinem Namen zusammen). • Wenn Sie ein Paket vom Server empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen DNS-Servers und übertragen Sie das Paket an den Host (für den Host ist der falsche DNS-Server der echte Server). Voraussetzung für die Implementierung dieser Angriffsoption ist das Abfangen einer DNS-Abfrage. Dies ist nur möglich, wenn sich der Angreifer entweder auf dem Hauptverkehrspfad oder in einem Segment eines echten DNS-Servers befindet. Die Erfüllung einer dieser Bedingungen für den Standort des Angreifers im Netzwerk erschwert die Implementierung eines solchen Remote-Angriffs in der Praxis (es ist sehr wahrscheinlich, dass der Angreifer nicht in das Segment des DNS-Servers und darüber hinaus in den Kommunikationskanal zwischen den Segmenten gelangen kann). Wenn diese Bedingungen erfüllt sind, ist es jedoch möglich, einen segmentübergreifenden Fernangriff im Internet durchzuführen. Beachten Sie, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe interessanter Merkmale beim Betrieb des FTP-Protokolls und beim Mechanismus zur Identifizierung von TCP-Paketen enthüllte. Wenn der FTP-Client auf dem Host über einen falschen DNS-Server mit dem Remote-FTP-Server verbunden war, stellte sich heraus, dass der FTP-Client jedes Mal, wenn der Benutzer einen FTP-Anwendungsbefehl ausgab (z. B. ls, get, put usw.) Ich habe den PORT-Befehl entwickelt, der darin bestand, die Portnummer und die IP-Adresse des Client-Hosts an den FTP-Server im Feld TCP-Paketdaten zu übertragen (es ist schwierig, eine spezielle Bedeutung zu finden - warum sollte die Client-IP-Adresse jedes Mal an den FTP-Server übertragen werden)? Dies führte dazu, dass, wenn Sie die übertragene IP-Adresse im Datenfeld des TCP-Pakets auf dem falschen DNS-Server nicht ändern und dieses Paket auf die übliche Weise an den FTP-Server übertragen, das nächste Paket vom FTP-Server an den Host des FTP-Clients übertragen wird. Das Umgehen des falschen DNS-Servers und, was am interessantesten ist, dieses Pakets wird als normales Paket wahrgenommen, und in Zukunft verliert der falsche DNS-Server die Kontrolle über den Verkehr zwischen dem FTP-Server und dem FTP-Client! Dies liegt an der Tatsache, dass ein regulärer FTP-Server keine zusätzliche Identifikation des FTP-Clients bereitstellt, sondern alle Probleme der Paketidentifikation und -verbindung auf eine niedrigere Ebene überträgt - die TCP-Ebene.

DNS-Flooding-Angriff

DNS-Flooding ist ein Angriff auf Internet-Nameserver. Es besteht in der Übertragung einer großen Anzahl von DNS-Abfragen und führt dazu, dass Benutzer nicht auf den Namensdienst zugreifen können und daher normale Benutzer nicht arbeiten können. Gegenmaßnahme: Um diesen Angriff zu identifizieren, muss die Belastung des DNS-Servers analysiert und die Abfragequellen identifiziert werden.

Spoofing von DNS-Angriffen

Das Ergebnis dieses Angriffs ist die Einführung einer auferlegten Entsprechung zwischen der IP-Adresse und dem Domänennamen im DNS-Server-Cache. Aufgrund des Erfolgs eines solchen Angriffs erhalten alle Benutzer des DNS North falsche Informationen zu Domainnamen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domänennamen gekennzeichnet. Dies liegt an der Notwendigkeit, einige Parameter des DNS-Austauschs auszuwählen. Gegenmaßnahme: Um einen solchen Angriff zu erkennen, muss der Inhalt des DNS-Verkehrs analysiert werden.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen im Internet ist mit dem Ersetzen der Quell-IP-Adresse verbunden. Syslog-Spoofing bezieht sich auch auf solche Angriffe, bei denen eine Nachricht im Namen eines anderen Computers im internen Netzwerk an einen Computer des Opfers gesendet wird. Da das Syslog-Protokoll zum Verwalten von Systemprotokollen verwendet wird, können durch Übertragen falscher Nachrichten an den Computer des Opfers Informationen auferlegt oder Spuren von nicht autorisiertem Zugriff ersetzt werden. Gegenmaßnahme: Die Erkennung von Angriffen im Zusammenhang mit der Ersetzung von IP-Adressen ist möglich, wenn der Empfang eines Pakets mit der Quelladresse derselben Schnittstelle auf einer der Schnittstellen gesteuert oder der Empfang von Paketen auf der externen Schnittstelle mit IP-Adressen des internen Netzwerks überwacht wird.

Imposante Pakete

Ein Angreifer sendet Pakete mit einer falschen Rücksprungadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer Verbindungen zwischen anderen Computern zu seinem Computer wechseln. In diesem Fall entsprechen die Zugriffsrechte des Angreifers den Rechten des Benutzers, dessen Verbindung zum Server zum Computer des Angreifers gewechselt wurde.

Schnüffeln - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Fast alle Netzwerkkarten unterstützen die Fähigkeit, Pakete abzufangen, die über einen gemeinsamen Kanal in einem lokalen Netzwerk übertragen werden. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer desselben Netzwerksegments adressiert sind. Somit steht der gesamte Informationsaustausch in einem Netzwerksegment einem Angreifer zur Verfügung. Für die erfolgreiche Implementierung dieses Angriffs muss sich der Computer des Angreifers im selben Segment des lokalen Netzwerks befinden wie der angegriffene Computer.

Paketerfassung auf dem Router

Die Netzwerksoftware des Routers hat Zugriff auf alle über diesen Router übertragenen Netzwerkpakete, wodurch die Paketerfassung ermöglicht wird. Um diesen Angriff zu implementieren, muss ein Angreifer über privilegierten Zugriff auf mindestens einen Netzwerkrouter verfügen. Da viele Pakete normalerweise über einen Router übertragen werden, ist ihr vollständiges Abfangen fast unmöglich. Einzelne Pakete können jedoch abgefangen und für die nachfolgende Analyse durch einen Angreifer gespeichert werden. Das Abfangen von FTP-Paketen mit Benutzerkennwörtern sowie E-Mails ist am effektivsten.

Auferlegen einer falschen Route an einen Host mithilfe von ICMP

Im Internet gibt es ICMP (Internet Control Message Protocol), dessen Funktion darin besteht, die Hosts über die Änderung des aktuellen Routers zu informieren. Diese Kontrollnachricht wird als Umleitung bezeichnet. Es besteht die Möglichkeit, von jedem Host im Netzwerksegment eine falsche Umleitungsnachricht im Namen des Routers an den angegriffenen Host zu senden. Infolgedessen ändert der Host die aktuelle Routing-Tabelle, und anschließend durchläuft der gesamte Netzwerkverkehr dieses Hosts beispielsweise den Host, der die falsche Umleitungsnachricht gesendet hat. Somit ist es möglich, innerhalb eines Internetsegments aktiv eine falsche Route aufzuerlegen.

Winnuke

Neben den üblichen Daten, die über eine TCP-Verbindung gesendet werden, ermöglicht der Standard auch die Übertragung dringender (Out-of-Band-) Daten. In Bezug auf TCP-Paketformate bedeutet dies einen dringenden Zeiger ungleich Null. Die meisten PCs mit installiertem Windows verfügen über ein NetBIOS-Netzwerkprotokoll, das drei IP-Ports für seine Anforderungen verwendet: 137, 138, 139. Wenn Sie an 139 Ports eine Verbindung zu einem Windows-Computer herstellen und dort mehrere Byte OutOfBand-Daten senden, wird NetBIOS implementiert Wenn Sie nicht wissen, was Sie mit diesen Daten tun sollen, wird die Maschine einfach angehalten oder neu geladen. Unter Windows 95 sieht dies normalerweise wie ein blauer Textbildschirm aus, der einen Fehler im TCP / IP-Treiber und die Unfähigkeit meldet, mit dem Netzwerk zu arbeiten, bis das Betriebssystem neu gestartet wird. NT 4.0 ohne Service Packs wird neu gestartet, NT 4.0 mit einem zweiten Service Pack fällt in den Bluescreen. Ein ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer erheblichen Belastung des RPCSS.EXE-Prozessors. Unter NTWS führt dies zu einer deutlichen Verlangsamung, NTS ist praktisch eingefroren.

Falscher ARP-Server

Im Internet verfügt jeder Host über eine eindeutige IP-Adresse, die alle Nachrichten vom globalen Netzwerk empfängt. Das IP-Protokoll ist jedoch weniger ein Netzwerkprotokoll als vielmehr ein Netzwerkaustauschprotokoll, das für die Kommunikation zwischen Objekten in einem globalen Netzwerk entwickelt wurde. Auf der Verbindungsebene werden Pakete an die Hardwareadressen von Netzwerkkarten adressiert. Das Internet verwendet ARP (Address Resolution Protocol) für eine Eins-zu-Eins-Korrespondenz zwischen IP- und Ethernet-Adressen. Anfänglich verfügt ein Host möglicherweise nicht über Informationen zu den Ethernet-Adressen anderer Hosts, die sich im selben Segment befinden, einschließlich der Ethernet-Adresse des Routers. Dementsprechend sendet der Host beim ersten Zugriff auf Netzwerkressourcen eine Broadcast-ARP-Anforderung, die von allen Stationen in diesem Netzwerksegment empfangen wird. Nach Empfang dieser Anforderung sendet der Router eine ARP-Antwort an den anfordernden Host, in der er seine Ethernet-Adresse meldet. Dieses Arbeitsschema ermöglicht es einem Angreifer, eine falsche ARP-Antwort zu senden, in der er sich als gewünschter Host (z. B. ein Router) deklariert und in Zukunft den gesamten Netzwerkverkehr des "betrogenen" Hosts aktiv überwacht.

Vorhersage TCP-Sequenznummer (IP-Spoofing)

In diesem Fall besteht das Ziel des Angreifers darin, sich als ein anderes System auszugeben, dem beispielsweise das Opfersystem „vertraut“. Die Methode wird auch für andere Zwecke verwendet - beispielsweise um das SMTP des Opfers zum Senden gefälschter E-Mails zu verwenden. Eine TCP-Verbindung wird in drei Schritten hergestellt: Der Client wählt die Sequenznummer aus und überträgt sie an den Server (nennen wir sie C-SYN). Als Antwort darauf sendet der Server ein Datenpaket mit einer Bestätigung (C-ACK) und der eigenen Sequenznummer des Servers (S-SYN) an den Client ) Jetzt muss der Client eine Bestätigung (S-ACK) senden. Danach gilt die Verbindung als hergestellt und der Datenaustausch beginnt. Gleichzeitig hat jedes Paket im Header ein Feld für die Sequenznummer und die Bestätigungsnummer. Diese Zahlen erhöhen sich während des Datenaustauschs und ermöglichen es Ihnen, die Richtigkeit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN gemäß Schema) vom Server gesendet wird. Dies kann basierend auf dem Wissen über eine bestimmte TCP / IP-Implementierung erfolgen. In 4.3BSD erhöht sich beispielsweise der Wert der Sequenznummer, die beim Festlegen des nächsten Werts verwendet wird, jede Sekunde um 125000. Durch das Senden eines Pakets an den Server erhält der Angreifer eine Antwort und kann (möglicherweise mit mehreren Versuchen und angepasst an die Verbindungsgeschwindigkeit) vorhersagen Sequenznummer für die nächste Verbindung. Wenn die TCP / IP-Implementierung einen speziellen Algorithmus verwendet, um die Sequenznummer zu bestimmen, kann dies bestimmt werden, indem mehrere Dutzend Pakete an den Server gesendet und seine Antworten analysiert werden. Angenommen, System A vertraut System B, sodass der Benutzer von System B "rlogin A" erstellen und auf A landen kann, ohne ein Kennwort einzugeben. Angenommen, der Angreifer befindet sich auf System C. System A fungiert als Server, System B und C als Clients. Die erste Aufgabe des Angreifers besteht darin, System B in einen Zustand zu versetzen, in dem es nicht auf Netzwerkanforderungen reagieren kann. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall müssen Sie nur auf den Neustart von System B warten. Ein paar Minuten, in denen es nicht funktioniert, sollten ausreichen. Danach kann der Angreifer versuchen, sich als System B auszugeben, um (zumindest für kurze Zeit) Zugriff auf System A zu erhalten. Der Angreifer sendet mehrere IP-Pakete, die die Verbindung zu System A initiieren, um den aktuellen Status der Sequenznummer des Servers zu ermitteln. Der Angreifer sendet ein IP-Paket, in dem die Adresse von System B bereits als Rücksprungadresse angegeben ist. System A antwortet mit einem Sequenznummernpaket, das an System B gesendet wird. System B wird es jedoch niemals empfangen (es ist deaktiviert), da es übrigens ein Angreifer ist. Basierend auf einer früheren Analyse errät er jedoch, welche Sequenznummer an System B gesendet wurde. Der Angreifer bestätigt den „Empfang“ des Pakets von A, indem er im Auftrag von B ein Paket mit dem angeblichen S-ACK sendet (beachten Sie, dass der Angreifer die Sequenz bestimmen muss, wenn sich die Systeme in einem Segment befinden Die Nummer reicht aus, um das vom System A) gesendete Paket abzufangen. Wenn der Angreifer Glück hatte und die Serversequenznummer richtig erraten wurde, gilt die Verbindung als hergestellt. Jetzt kann der Angreifer ein weiteres gefälschtes IP-Paket senden, das bereits Daten enthält. Wenn der Angriff beispielsweise auf rsh gerichtet war, kann er Befehle zum Erstellen einer .rhosts-Datei oder zum Senden von / etc / passwd per E-Mail an einen Angreifer enthalten. Gegenmaßnahme: Pakete mit internen Adressen, die von außen kommen, dienen als einfachstes IP-Spoofing-Signal. Die Router-Software kann den Administrator benachrichtigen. Schmeicheln Sie sich jedoch nicht - ein Angriff kann auch innerhalb Ihres Netzwerks erfolgen. Bei Verwendung intelligenterer Mittel zur Überwachung des Netzwerks kann der Administrator (im automatischen Modus) Pakete von Systemen überwachen, auf die nicht zugegriffen werden kann. Was hindert einen Angreifer jedoch daran, den Betrieb von System B als Reaktion auf ICMP-Pakete zu simulieren? Welche Methoden gibt es zum Schutz vor IP-Spoofing? Erstens ist es möglich, die Sequenznummer (ein Schlüsselelement des Angriffs) zu komplizieren oder unmöglich zu machen. Sie können beispielsweise die Änderungsrate der Sequenznummer auf dem Server erhöhen oder den Koeffizienten zum zufälligen Erhöhen der Sequenznummer auswählen (vorzugsweise unter Verwendung eines kryptografisch robusten Algorithmus zum Generieren von Zufallszahlen). Wenn das Netzwerk eine Firewall (oder einen anderen Filter von IP-Paketen) verwendet, sollten Sie Regeln hinzufügen, nach denen alle Pakete, die von außen ankommen und Absenderadressen aus unserem Adressraum haben, nicht im Netzwerk zugelassen werden dürfen. Außerdem sollte das Vertrauen der Maschinen ineinander minimiert werden. Idealerweise sollte es keine Möglichkeit geben, direkt zu einem benachbarten Netzwerkcomputer zu gelangen, indem Superuser-Rechte für einen von ihnen erworben werden. Dies erspart Ihnen natürlich nicht die Verwendung von Diensten, für die keine Autorisierung erforderlich ist, z. B. IRC (ein Angreifer kann sich als beliebiger Internetcomputer ausgeben und eine Reihe von Befehlen senden, um in den IRC-Kanal zu gelangen, beliebige Nachrichten auszugeben usw.). Die Verschlüsselung des TCP / IP-Streams löst das IP-Spoofing-Problem im allgemeinen Fall (vorausgesetzt, es werden kryptografisch starke Algorithmen verwendet). Um die Anzahl solcher Angriffe zu verringern, wird außerdem empfohlen, eine Firewall zu konfigurieren, um von unserem Netzwerk nach außen gesendete Pakete zu filtern, die jedoch Adressen haben, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Lassen Sie uns einen kleinen Exkurs zur Implementierung von TCP / IP machen und "lokale Stürme" am Beispiel des UDP-Sturms betrachten. In der Regel unterstützen Systeme standardmäßig den Betrieb von UDP-Ports wie 7 ("Echo", das empfangene Paket wird zurückgesendet), 19 ("Zeichengenerator", eine Zeichengeneratorzeichenfolge wird als Antwort auf das empfangene Paket an den Absender gesendet) und andere (Datum usw.). In diesem Fall kann der Angreifer ein einzelnes UDP-Paket senden, wobei 7 als Quellport, der 19. als Empfänger und beispielsweise zwei Computer in Ihrem Netzwerk (oder sogar 127.0) als Empfänger- und Absenderadresse angegeben werden. 0,1). Nachdem das Paket empfangen wurde, antwortet der 19. Port mit einer Leitung, die zu Port 7 führt. Der siebte Port dupliziert es und sendet es erneut an 19 .. und so weiter bis ins Unendliche. Ein endloser Zyklus verschlingt die Ressourcen von Maschinen und fügt dem Kanal eine bedeutungslose Last hinzu. Wenn das erste UDP-Paket verloren geht, hört der Sturm natürlich auf. Gegenmaßnahme: Zum Schutz empfiehlt es sich erneut, keine Pakete mit internen Adressen, sondern solche von außerhalb im Netzwerk zuzulassen. Es wird außerdem empfohlen, die meisten Dienste in der Firewall zu schließen.

IP-Hijacking

Die Methode ist eine Kombination aus Abhören und IP-Spoofing. Voraussetzungen - Ein Angreifer muss Zugriff auf einen Computer haben, der sich im Pfad eines Netzwerkstroms befindet, und über ausreichende Rechte verfügen, um IP-Pakete zu generieren und abzufangen. Denken Sie daran, dass bei der Datenübertragung die Sequenznummer und die Bestätigungsnummer ständig verwendet werden (beide Felder befinden sich im IP-Header). Der Server und der Client überprüfen anhand ihres Werts die Richtigkeit der Übertragung von Paketen. Es ist möglich, die Verbindung im "desynchronisierten Zustand" einzugeben, wenn die vom Server gesendete Sequenznummer und Bestätigungsnummer nicht mit dem erwarteten Wert des Clients übereinstimmen und umgekehrt. In diesem Fall kann ein Angreifer, der die Leitung "abhört", die Funktionen eines Vermittlers übernehmen, die richtigen Pakete für den Client und den Server generieren und deren Antworten abfangen. Mit dieser Methode können Sie Sicherheitssysteme wie z. B. Einmalkennwörter vollständig umgehen, da der Angreifer nach erfolgter Benutzerautorisierung seine Arbeit aufnimmt. Es gibt zwei Möglichkeiten, nicht synchron zu sein. • Frühe Desynchronisation. Die Verbindung wird in der Phase ihrer Installation desynchronisiert. Ein Angreifer lauscht in einem Netzwerksegment, durch das Pakete einer für ihn interessanten Sitzung geleitet werden. Nach dem Warten auf das S-SYN-Paket vom Server sendet der Angreifer natürlich ein RST-Paket (Zurücksetzen) mit der richtigen Sequenznummer an den Server. Unmittelbar danach ein gefälschtes C-SYN-Paket im Namen des Clients setzt der Server die erste Sitzung zurück und öffnet eine neue der gleiche Port, jedoch mit einer neuen Sequenznummer, wonach ein neues S-SYN-Paket an den Client gesendet wird. Der Client ignoriert das S-SYN-Paket, aber der Angreifer, der die Leitung überwacht, sendet das S-ACK-Paket im Namen des Clients an den Server. Der Client und der Server befinden sich also im Status ESTABLISHED. Die Sitzung ist jedoch nicht synchron. Natürlich hat dieses Schema keine 100% ige Antwort. Beispielsweise ist es nicht sicher, dass einige von einem Angreifer gesendete Pakete unterwegs nicht verloren gehen. Für den korrekten Umgang mit diesen Situationen muss das Programm kompliziert sein. • Desync mit Nulldaten. In diesem Fall hört der Angreifer auf die Sitzung und sendet irgendwann ein Paket mit "Null" -Daten an den Server, d. H. diejenigen, die auf Anwendungsebene tatsächlich ignoriert werden und für den Client nicht sichtbar sind (für Telnet können es beispielsweise Daten wie IAC NOP IAC NOP IAC NOP ... sein). Ein ähnliches Paket wird an den Client gesendet. Danach geht die Sitzung offensichtlich in einen desynchronisierten Zustand über. ACK-Sturm Eines der Probleme beim IP-Hijacking besteht darin, dass jedes Paket, das gesendet wird, wenn sich die Sitzung in einem desynchronisierten Zustand befindet, den sogenannten ACK-Sturm verursacht. Beispielsweise wurde das Paket vom Server gesendet und ist für den Client nicht akzeptabel. Daher antwortet es mit einem ACK-Paket. Als Antwort auf dieses für den Server bereits inakzeptable Paket erhält der Client erneut eine Antwort. Und so weiter bis ins Unendliche. Glücklicherweise bauen moderne Netzwerke auf Technologie auf, wenn der Verlust einzelner Pakete zulässig ist. Da ACK-Pakete keine Daten enthalten, treten keine erneuten Übertragungen auf und der Sturm lässt nach. Wie Experimente gezeigt haben, "beruhigt" sich der ACK-Sturm umso schneller, je stärker er sich selbst "beruhigt" - bei 10 MB Ethernet geschieht dies in Sekundenbruchteilen. Bei unzuverlässigen Verbindungen wie SLIP - nicht viel mehr. Erkennung und Schutz Es gibt verschiedene Möglichkeiten. Sie können beispielsweise einen TCP / IP-Stapel implementieren, der den Übergang in einen desynchronisierten Zustand steuert, indem Sie Informationen zu Sequenznummern / Bestätigungsnummern austauschen. In diesem Fall sind wir jedoch nicht immun gegen einen Angreifer, der diese Werte ändert. Eine zuverlässigere Methode ist daher die Analyse von Netzwerküberlastungen und die Verfolgung neu auftretender ACK-Stürme. Dies kann mit bestimmten Netzwerksteuerungen erfolgen. Wenn sich ein Angreifer nicht die Mühe macht, eine desynchronisierte Verbindung aufrechtzuerhalten, bis sie geschlossen wird, oder die Ausgabe seiner Befehle nicht filtert, wird dies auch vom Benutzer sofort bemerkt. Leider eröffnet die überwiegende Mehrheit einfach eine neue Sitzung, ohne den Administrator zu kontaktieren. Ein hundertprozentiger Schutz gegen diesen Angriff wird wie immer durch Verschlüsselung des TCP / IP-Verkehrs (auf Anwendungsebene - sichere Shell) oder auf Protokollebene - IPSec) bereitgestellt. Dies eliminiert die Möglichkeit, den Netzwerkstrom zu ändern. PGP kann zum Schutz von E-Mail-Nachrichten verwendet werden. Es ist zu beachten, dass das Verfahren auch bei bestimmten TCP / IP-Implementierungen nicht funktioniert. Trotz [rfc ...], für das als Reaktion auf ein RST-Paket eine stille Sitzung geschlossen werden muss, generieren einige Systeme ein Zähler-RST-Paket. Dies macht eine frühzeitige Desynchronisation unmöglich.

Erkennung und Schutz von Angriffen

• Um Angriffe zu erkennen, können Sie die Broadcast-Aktivität analysieren. Dies sind UDP-, NBF- und SAP-Pakete. • Um das mit dem Internet verbundene interne Netzwerk zu schützen, überspringen Sie keine eingehenden Pakete aus dem externen Netzwerk, dessen Quelle die interne Netzwerkadresse ist. Sie können zulassen, dass Pakete nur an Port 80 weitergeleitet werden. • Filtern Sie Pakete bei Bedarf (vernachlässigen Sie sie nicht einmal
Systemsteuerung \ Netzwerk \ Protokolle \ Eigenschaften \ Erweitert unter Windows NT).

Scan-Methoden

ARP verwenden

Diese Art von Anfrage kann von Cyberkriminellen verwendet werden, um funktionierende Systeme in lokalen Netzwerksegmenten zu bestimmen.

Netzwerkscanning mit DNS

Es ist bekannt, dass Angreifer vor Beginn eines Angriffs Ziele identifizieren, d.h. Identifizierung von Computern, die Opfer des Angriffs werden, sowie von Computern, die den Informationsaustausch mit Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Domäneninformationen von ihm abzurufen. Gegenmaßnahme: Um einen solchen Scan zu bestimmen, müssen DNS-Abfragen (Adresse im Namen) analysiert werden, die möglicherweise von verschiedenen DNS-Servern stammen, jedoch für einen bestimmten, festgelegten Zeitraum. In diesem Fall müssen Sie überprüfen, welche Art von Informationen in ihnen übertragen werden, und die Aufzählung der Adressen verfolgen.

UDP-Bombe

Ping-Sweep-Netzwerkscan

Ping-Sweep oder Zielerkennung mit ICMP ist eine effektive Methode.

Gegenmaßnahme: Um die Tatsache des Ping-Scannens von Zielen im Subnetz zu bestimmen, müssen die Quell- und Zieladressen von ICMP-Paketen analysiert werden.

TCP-Port-Scan

Das Port-Scannen ist eine bekannte Methode zum Erkennen der Computerkonfiguration und der verfügbaren Dienste. Es gibt verschiedene TCP-Scanmethoden, von denen einige als Stealth bezeichnet werden, da sie Schwachstellen der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen verwenden und nicht mit Standardmitteln erkannt werden. Gegenmaßnahmen: Gegenmaßnahmen können beispielsweise durchgeführt werden, indem TCP-Pakete mit dem im Namen des gescannten Computers gesetzten RST-Flag an den Computer des Angreifers übertragen werden.

UDP-Port-Scan

Eine andere Art des Port-Scannens basiert auf der Verwendung des UDP-Protokolls und besteht aus Folgendem: Ein UDP-Paket wird an den gescannten Computer gesendet und an den Port adressiert, der auf Verfügbarkeit überprüft wird. Wenn der Port nicht erreichbar ist, wird eine nicht erreichbare ICMP-Zielportnachricht zurückgegeben, andernfalls erfolgt keine Antwort. Diese Art des Scans ist sehr effektiv. Damit können Sie in kurzer Zeit alle Ports auf dem Computer des Opfers scannen. Gegenmaßnahme: Es ist möglich, dem Scannen dieser Art entgegenzuwirken, indem Nachrichten über die Unzugänglichkeit des Ports an den Computer des Angreifers gesendet werden.

Stealth-Scan

Die Methode basiert auf falschem Netzwerkcode, sodass Sie nicht sicher sein können, ob sie in einer bestimmten Situation ordnungsgemäß funktioniert. Es werden TCP-Pakete mit gesetzten ACK- und FIN-Flags verwendet. Sie müssen verwendet werden, weil Wenn ein solches Paket mit einer offenen Verbindung an den Port gesendet wird, wird das Paket mit dem RST-Flag immer zurückgegeben. Es gibt verschiedene Methoden, die dieses Prinzip verwenden: • Senden Sie ein FIN-Paket. Wenn der empfangende Host RST zurückgibt, ist der Port inaktiv. Wenn RST nicht zurückgegeben wird, ist der Port aktiv. Diese Methode funktioniert auf den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Wenn die TTL der zurückgegebenen Pakete geringer ist als bei den übrigen empfangenen RST-Paketen oder wenn die Fenstergröße größer als Null ist, ist der Port höchstwahrscheinlich aktiv.

Passiver Scan

Das Scannen wird häufig von Cyberkriminellen verwendet, um herauszufinden, an welchen TCP-Ports die Daemons arbeiten, die auf Anforderungen aus dem Netzwerk reagieren. Ein reguläres Scannerprogramm öffnet nacheinander Verbindungen zu verschiedenen Ports. Wenn die Verbindung hergestellt wird, setzt das Programm sie zurück und meldet die Portnummer an den Angreifer. Diese Methode wird leicht durch die Nachrichten von Dämonen erkannt, die nach der Installation von einer sofort unterbrochenen Verbindung überrascht werden, oder durch die Verwendung spezieller Programme. Die besten dieser Programme haben einige Versuche, künstliche Elementelemente in die Verfolgung von Versuchen einzuführen, eine Verbindung zu verschiedenen Ports herzustellen. Ein Angreifer kann jedoch eine andere Methode verwenden - das passive Scannen (der englische Begriff lautet "passives Scannen"). Bei Verwendung sendet ein Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder gemäß einem bestimmten Algorithmus). Bei TCP-Ports, die Verbindungen von außerhalb akzeptieren, wird ein SYN / ACK-Paket als Einladung zur Fortsetzung des 3-Wege-Handshakes zurückgegeben. Der Rest gibt RST-Pakete zurück. Nach der Analyse der Antwortdaten kann ein Angreifer schnell erkennen, an welchen Ports das Programm arbeitet. In Reaktion auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbau nicht fortgesetzt wird (im Allgemeinen antwortet die TCP / IP-Implementierung des Angreifers automatisch mit RST-Paketen, wenn er keine besonderen Maßnahmen ergreift). Die Methode wird von den vorherigen Methoden nicht erkannt, da keine echte TCP / IP-Verbindung hergestellt wird. Sie können jedoch (abhängig vom Verhalten des Angreifers) die stark erhöhte Anzahl von Sitzungen im Status SYN_RECEIVED überwachen. (unter der Annahme, dass der Angreifer keine RST-Antwort sendet) den Empfang des Client des RST-Pakets als Antwort auf das SYN / ACK. Leider ist es bei einem ausreichend intelligenten Verhalten des Angreifers (z. B. Scannen mit niedriger Geschwindigkeit oder Überprüfen nur bestimmter Ports) unmöglich, passives Scannen zu erkennen, da es sich nicht von normalen Versuchen unterscheidet, eine Verbindung herzustellen. Zum Schutz können wir Ihnen nur raten, alle Dienste in der Firewall zu schließen, auf die extern kein Zugriff erforderlich ist.

Einladung zum System und die Gefahr der darin enthaltenen Informationen

Es ist erforderlich, die "Systemaufforderungen" zu entfernen, die von den zentralen Computern auf den RAS-Terminals angezeigt werden, damit der Benutzer das System betreten kann. Diese Anforderung hat folgende Gründe: • Die „Systemaufforderung“ enthält normalerweise Informationen, mit denen der Angreifer den Typ und die Version des Betriebssystems des Zentralcomputers, den Typ der Fernzugriffssoftware usw. identifizieren kann. Diese Informationen können die Aufgabe des Eindringens in das System erheblich vereinfachen, da der Angreifer dies kann Verwenden Sie Tools für den illegalen Zugriff, die die Schwachstellen eines bestimmten Systems ausnutzen. • „Systemaufforderung“ zeigt normalerweise die Abteilungszugehörigkeit eines Systems an. In dem Fall, dass das System einer Geheimagentur oder Finanzstruktur angehört, kann das Interesse des Täters erheblich zunehmen. • Eine kürzlich durchgeführte Klage lehnte die Klage des Unternehmens gegen eine Person ab, die illegal in das Netzwerk des Unternehmens eingetreten war, da sie seine Handlungen durch Schreiben von "Willkommen bei ..." ("Willkommen bei ...") auf dem Remote-Terminal des Zentralcomputers motivierte.

Ein paar Tipps zur Recherche im Netzwerk

• Scannen Sie den Server nach offenen Ports und Diensten. • Versuchen Sie, den Server unter dem Namen IUSR_ <Maschinenname mit Bällen> einzugeben. • Versuchen Sie, SAM._ aus / REPAIR zu löschen (Passwörter von SAM erhalten Sie mit dem Befehl expand). • Die Verzeichnisse / Skripte und / cgi-bin können, wie viele wahrscheinlich wissen, in NT alle Dateien aus diesen Verzeichnissen ausführen, daher sollten Sie den Zugriff auf diese Verzeichnisse schließen. Der Start erfolgt ungefähr mit diesem Befehl (wenn sich die ausführbare Datei in / scripts befindet) über den Browser - http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte wie folgt erhalten: Programme von / scripts werden nicht unter dem Benutzernamen des Benutzers ausgeführt, sondern von demselben Webkonto, aus dem wir schließen können, dass Administratorkennwörter mithilfe von PWDUMP.exe problemlos aus der Registrierung gelöscht werden können. • Es ist zu beachten, dass Programme von / SCRIPTS unter dem Webkonto und nicht unter dem Konto des Benutzers gestartet werden, der sie gestartet hat. Daher können Sie versuchen, Kennwörter mit PWDUMP.EXE aus der Registrierung zu sichern. Passwörter werden verschlüsselt. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, die Kennwörter mit dem Programm BRUTEFORCE zu dekodieren. • Unter dem Administratorkonto können Sie Aliase in FTP und http ändern.

Einige andere Möglichkeiten, um Informationen zu erhalten

• Verwenden Sie whois oder NSLookUp, um alternative Namen zu finden und herauszufinden, wem das Netzwerk gehört. Merken Sie sich den Bereich der IP-Adressen für das anschließende Scannen. • Gehen Sie zum nächsten Router und finden Sie etwas heraus. Um den Router zu finden, müssen Sie den Pfad zu einer beliebigen IP-Adresse aus dem erkannten Bereich weiterleiten. Der nächstgelegene Router wird durch die Antwortzeit bestimmt. • Versuchen Sie, sich beim Telnet-Router anzumelden. • Führen Sie einen IP-Bereichsscanner aus, um auf dem PC ausgeführte Dienste zu erkennen.

Löcher und Verwaltungsfehler in Windows NT

• Berücksichtigen Sie die Sicherheitsanfälligkeit, die mit einem Fehler bei der Implementierung des Systems verbunden ist. Diese Sicherheitsanfälligkeit führt zu einem Angriff namens GetAdmin . Die Sicherheitsanfälligkeit ist der NtAddAtom-Systemdienst, der die an ihn übergebenen Parameter nicht überprüft und Bit 0 auf NtGlobalFlag + 2 setzt. Öffnen Sie dazu die Datei ntoskrnl.exe und suchen Sie den Einstiegspunkt für NtAddAtom. Durch Setzen dieses Bits wird die Überprüfung der Debugger-Berechtigungen in NtOpenProcess und NtOpenThread deaktiviert. Somit hat jeder Benutzer das Recht, einen beliebigen Prozess im System zu öffnen. Der Angriff öffnet den Winlogon-Prozess und bettet die DLL ein. Da dieser Dienst über SYSTEM-Berechtigungen verfügt, kann er der Administratorgruppe einen Benutzer hinzufügen oder aus dieser Gruppe entfernen. Theoretisch sind andere Sicherheitsverletzungen des Systems möglich. • Eine der beliebtesten Methoden zur Eingabe des Systems ist das Erraten von Passwörtern. Um dem entgegenzuwirken, wird ein Benutzerkonto normalerweise nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt. Eine schöne Ausnahme ist das Administratorkonto. Und wenn er das Recht hat, über das Netzwerk darauf zuzugreifen, öffnet sich eine Lücke für das leise Erraten des Passworts. Zum Schutz wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperrung einzurichten, den Administrator daran zu hindern, sich über das Netzwerk beim System anzumelden, die Übertragung von SMB-Paketen über TCP / IP (Ports 137, 138, 139) zu verbieten und die Protokollierung fehlgeschlagener Anmeldungen einzurichten.

Spam

Spammer werden nicht nur ISPs finden, die mit dem Versenden ihres E-Mail-Mülls beginnen, sondern höchstwahrscheinlich auch ein Unternehmen auswählen Für einen Internetdienstanbieter ist es einfacher zu verstehen, was passiert ist, und er wird wahrscheinlich in der Lage sein, solche Nachrichten schneller zu entfernen. Intermittierendes Spam kann legitime Benutzer durch Überlastung des E-Mail-Servers stören. Das Problem ist, dass die Verbindung zum SMTP-Server nicht so schwierig ist. Dazu müssen Sie nur 7-8 Befehle für den SMTP-Server kennen, um Ihre Nachrichten zu verteilen. Zum Schutz davor können Sie die Adressen eingehender Nachrichten in der Datenbank registrierter Serverbenutzer überprüfen. Wenn die Adresse der Person, die die Nachricht sendet, oder eine der von ihr angeforderten Adressen nicht in der Liste enthalten ist, wird keine E-Mail gesendet.

So schützen Sie das Mailsystem vor Spammern

• Wenn Sie die Protokolle nicht lesen, handeln Spammer ungestraft. • Programmieren Sie alle Mailserver Ihres Unternehmens bis auf einen so, dass sie nicht auf eine Nachrichtenweiterleitungsanforderung antworten. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Behalten Sie alle E-Mail-Server im Bereich Ihrer Firewall, die Nachrichtenweiterleitungsanforderungen annehmen können.

Wie Spammer funktionieren

• Ziel ausgewählt - Der Spammer wählt zufällig den Domainnamen des Unternehmens aus und errät dann den Hostnamen des SMTP-Mailservers. Wenn der Server E-Mails akzeptiert, fordert ihn der Spammer auf, die Nachricht an die Adressliste zu verteilen. • Der Server führt die Anforderung aus und erweckt den Eindruck, dass die Nachrichten die IP-Adresse des Opferunternehmens verlassen.

Löcher IIS, WWW, FTP

• Der Absender kann seine gefälschte Adresse wie folgt hinterlassen: Der Absender selbst kann eine Verbindung zum SMTP-Port des Computers herstellen, für den er einen Brief senden möchte, und den Text des Briefes eingeben. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der vom Client angegebenen Portadresse herstellen. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst zu senden. Die Registrierung enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf '0' und nicht auf '1' gesetzt ist. • Wenn Sie über Telnet eine Verbindung zu Port 80 herstellen, wird der Befehl "GET ../ .." IIS stürzt ab und die Meldung "Die Anwendung exe \ inetinfo.dbg hat einen Anwendungsfehler generiert. Der Fehler ist am Datum @ Uhrzeit aufgetreten. Die generierte Ausnahme war c0000005 unter der Adresse 53984655. • Adresse 'http://www.domain.com/scripts .. \ .. \ scriptname "ermöglicht es Ihnen, das angegebene Skript auszuführen. Standardmäßig Gast oder IUSR_WWW hat das Recht, alle Dateien in allen Verzeichnissen zu lesen. So können diese Dateien angezeigt, heruntergeladen und gestartet werden. • Die Verzeichnisse \ script \ cgi-bin sollten geschlossen werden als In diesen Verzeichnissen können Sie beliebige Dateien direkt im Browserfenster ausführen. • Wenn IIS eine sehr lange URL (4-8 KB) anfordert, bleibt der Server hängen und reagiert nicht auf weitere Anforderungen. Das Problem ist, dass die genaue Größe der URL vom jeweiligen Server abhängt. Daher versuchen Killer-Programme, ausgehend von einer grundlegenden Anforderungsgröße und einer schrittweisen Vergrößerung, den kritischen Punkt zu finden, an dem der Server vom Opfer hängt. • Outlook Express 98-Benutzer müssen damit rechnen, dass Sie mit diesem Mailer auch Visual-Basic-Skripte verarbeiten können, die im Brief leicht versteckt werden können. Ein ähnliches Skript hat vollen Zugriff auf das Dateisystem. Der eigentliche Schutz kann nur darin bestehen, die "Sicherheitsstufe" in Outlook auf "Maximum" zu setzen. • Wenn HTML-Tags im Chat zulässig sind, wird niemand das Einfügen von <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht stören. Infolgedessen rufen alle im Chat Anwesenden (nicht einmal registriert) das Skript auf, ohne es zu wissen. • Beschränken Sie den Zugriff auf Port 25 nur auf bestimmte Benutzer.