This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und etwas anderes

Einführung in Netzwerkangriffe

Kurze Beschreibungen von Netzwerkangriffen

Fragmentierung von Daten

Übertragung von fragmentierten IP-Paketen

Ping Überschwemmungsangriff

PingOfDeath oder SSPing

UDP-Bombe

SYN-Überflutung

Nicht standardisierte Protokolle, die in IP gekapselt sind

Verwenden von TFTP

Schlumpfangriff

Land angreifen

Einführung in das Internet eines falschen Servers durch Erzeugen eines gerichteten "Sturms" von falschen DNS-Antworten auf den angegriffenen Host

Die Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gezielten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

DNS-Flooding-Angriff

DNS-Spoofing-Angriff

IP-Spoofing-Angriff

Paketausschießen

Sniffing - Anhören des Kanals (nur im LAN-Segment möglich)

Pakete auf dem Router abfangen

Impose eines falschen Route-Hosts mit ICMP

WinNuke

Falscher ARP-Server

Vorhersage-TCP-Sequenznummer (IP-Spoofing)

Lokaler Sturm

IP-Hijacking

Erkennung und Schutz vor Angriffen

Scanmethoden

Verwenden des ARP-Protokolls

Scannen Sie das Netzwerk über DNS

UDP-Bombe

TCP-Ports scannen

UDP-Ports scannen

Stealth-Scan

Passives Scannen

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Ein paar Tipps für die Netzwerkforschung

Einige andere Möglichkeiten, Informationen zu erhalten

Löcher und Verwaltungsfehler in Windows NT

Spamming

So schützen Sie das Mail-System vor Spammern

Wie Spammer arbeiten

IIS Löcher, WWW, FTP

Einführung in Netzwerkangriffe

Das zunehmende Interesse an TCP / IP-Netzwerken ist auf das schnelle Wachstum des Internets zurückzuführen. Dies lässt jedoch darüber nachdenken, wie die Informationsressourcen vor Angriffen aus dem externen Netzwerk geschützt werden können. Wenn Sie mit dem Internet verbunden sind, wird Ihr System möglicherweise angegriffen. Protokolle der IP-Familie sind die Grundlage für den Aufbau von Intranet-Netzwerken und dem globalen Internet. Obwohl die Entwicklung von TCP / IP vom US-Verteidigungsministerium finanziert wurde, verfügt TCP / IP nicht über absolute Sicherheit und ermöglicht die verschiedenen Arten von Angriffen, die in diesem Kapitel behandelt werden. Um solche Angriffe zu implementieren, muss ein potenzieller Angreifer über mindestens eines der Systeme verfügen, die mit dem Internet verbunden sind. Einer der Ansätze zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht darin, sich in eine separate Klasse von Bedrohungen zu isolieren, die nur in Computernetzwerken vorkommen. Diese Klasse von Bedrohungen wird als Klasse von Remoteangriffen bezeichnet. Dieser Klassifizierungsansatz erscheint aufgrund der Existenz grundlegender Merkmale beim Aufbau von vernetzten Betriebssystemen geeignet. Das Hauptmerkmal jedes Netzwerk-Betriebssystems besteht darin, dass seine Komponenten räumlich verteilt sind und die Verbindung zwischen ihnen physikalisch mittels spezieller Netzwerkverbindungen (Koaxialkabel, Twisted Pair, Faser, usw.) und programmatisch mittels des Nachrichtenmechanismus ausgeführt wird. In diesem Fall werden alle Steuernachrichten und Daten, die von einer Komponente des Netzwerk-OS zu einer anderen Komponente gesendet werden, über Netzwerkverbindungen als Austauschpakete übertragen. Diese Eigenschaft ist der Hauptgrund für die Entstehung einer neuen Klasse von Bedrohungen - Remote-Angriffe. Für diese Art von Angriff interagiert der Angreifer mit dem Empfänger der Information, dem Sender und / oder den Zwischensystemen, möglicherweise durch Modifizieren und / oder Filtern des Inhalts von TCP / IP-Paketen. Diese Arten von Angriffen scheinen oft technisch schwierig zu implementieren, aber für einen guten Programmierer ist es nicht schwierig, das entsprechende Toolkit zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu erstellen, ist ein wichtiger Punkt für die Durchführung aktiver Angriffe. Remote-Angriffe können nach der Art der Aktion klassifiziert werden: aktiv oder passiv. Aktive Angriffe können in zwei Teile unterteilt werden. Im ersten Fall unternimmt der Angreifer bestimmte Schritte, um den Netzwerkstrom abzufangen und zu modifizieren, oder versucht, durch ein anderes System "vorzutäuschen". Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um das Opfersystem in einen inoperablen Zustand zu bringen. Bei passiven Angriffen erkennen sich Angreifer in keiner Weise selbst und interagieren nicht direkt mit anderen Systemen. In der Tat kommt es auf die Überwachung der verfügbaren Daten oder Kommunikationssitzungen an. Obwohl passive Angriffe die Sicherheitsrichtlinien des Netzwerks verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Jeder Angriff entspricht einem bestimmten Netzwerkverkehr. Daher ermöglicht die Analyse des Datenverkehrs, den Angriff zu bestimmen und die "Spuren" des Angreifers zu erkennen, d. H. Identifizieren Sie die IP-Adressen, von denen der Informationseffekt ausgeführt wurde. Daher wird die Erkennung von Angriffen durch die Methode der Überwachung von Informationsflüssen durchgeführt, die durch Analyse des Netzwerkverkehrs erreicht wird.

Kurze Beschreibungen von Netzwerkangriffen

Es sollte daran erinnert werden, dass grobe Methoden wie das Pingen großer Pakete oder SYN-Flooding jede Internet-Maschine oder jedes Subnetz überfluten können, unabhängig von der Konfiguration.

Fragmentierung von Daten

Wenn ein IP-Datenpaket über ein Netzwerk übertragen wird, kann dieses Paket in mehrere Fragmente unterteilt werden. Später, wenn der Empfänger die Adresse erreicht, wird das Paket aus diesen Fragmenten wiederhergestellt. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf von Programmpuffern auf der Empfangsseite und in einigen Fällen zu einer abnormalen Beendigung des Systems führt.

Übertragung von fragmentierten IP-Paketen mit einem Gesamtvolumen von mehr als 64 KB

Die Anzahl der Implementierungen von Angriffen, die die Möglichkeit der Fragmentierung von IP-Paketen ausnutzen, ist groß genug. Mehrere fragmentierte IP-Pakete werden an die Opfermaschine übertragen, die, wenn sie zusammengebaut sind, ein Paket größer als 64 K bilden (die maximale Größe des IP-Pakets beträgt 64 K minus der Länge des Headers). Dieser Angriff war gegen Computer mit Windows wirksam. Wenn Sie ein solches Paket erhalten, "hängt" Windows NT, das keinen speziellen icmp-fix-Patch enthält, oder stürzt ab. Andere Varianten solcher Angriffe verwenden falsche Offsets in IP-Fragmenten, was zu einer falschen Zuordnung von Speicher, einem Überlauf von Puffern und schließlich zu Systemfehlern führt.

Gegenwirkung: Um solche Angriffe zu erkennen, ist es notwendig, den Aufbau von Paketen "on the fly" durchzuführen und zu analysieren, was die Hardwareanforderungen deutlich erhöht.

Ping Überschwemmungsangriff

Er erschien, weil das Programm "Ping", entworfen, um die Qualität der Linie zu bewerten, den Schlüssel für "aggressive" Tests hat. In diesem Modus werden Anforderungen mit der höchstmöglichen Geschwindigkeit gesendet und das Programm ermöglicht Ihnen, zu bewerten, wie das Netzwerk bei maximaler Auslastung arbeitet. Dieser Angriff erfordert einen Angreifer, um auf die schnellen Kanäle im Internet zuzugreifen. Erinnern Sie sich daran, wie ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, in dem die Uhrzeit und ihre Kennung angezeigt werden. Der Kern der Zielmaschine antwortet auf eine ähnliche Anfrage mit dem ICMP ECHO REPLY-Paket. Nachdem er empfangen wurde, gibt ping die Geschwindigkeit des Pakets an. In der Standardbetriebsart werden Pakete nach einigen Zeitintervallen gesendet, praktisch ohne das Netzwerk zu laden. Im "aggressiven" Modus kann der ICMP-Echo-Anforderungs / Antwort-Paketstrom jedoch bewirken, dass eine kleine Leitung überlastet wird, wodurch sie der Fähigkeit, nützliche Informationen zu übertragen, beraubt wird. Natürlich ist der Fall von Ping ein Sonderfall einer allgemeineren Situation, die mit der Überlastung von Kanälen verbunden ist. Ein Angreifer kann beispielsweise mehrere UDP-Pakete an den Port 19 einer Opfermaschine senden, und wenn er die allgemein anerkannten Regeln einhält, verfügt er am 19. UDP-Port über einen Zeichengenerator, der auf Pakete mit 80-Byte-Zeilen antwortet. Beachten Sie, dass ein Angreifer auch die umgekehrte Adresse solcher Pakete fälschen kann, was die Erkennung erschwert. Verfolgen Sie es wird helfen, wenn die koordinierte Arbeit von Spezialisten auf Intermediate-Router, die fast unmöglich ist. Eine Variante des Angriffs besteht darin, ICMP-Echo-Anforderungspakete mit der Quelladresse zu senden, die das Opfer an Broadcast-Adressen von großen Netzwerken anzeigt. Als Ergebnis wird jede der Maschinen auf diese gefälschte Anfrage antworten, und die sendende Maschine wird mehr Antworten erhalten. Senden Sie viele Broadcast-Echo-Requests im Auftrag des "Opfers" an Broadcast-Adressen großer Netzwerke, können Sie eine scharfe Füllung des Channels "Opfer" verursachen. Die Anzeichen von Überflutung sind eine stark erhöhte Belastung des Netzwerks (oder Kanals) und eine Zunahme der Anzahl spezifischer Pakete (wie ICMP). Als Schutz können Sie die Konfiguration von Routern empfehlen, in denen sie den gleichen ICMP-Verkehr filtern und dabei einen bestimmten Wert überschreiten (Pakete / Zeiteinheit). Um sicherzustellen, dass Ihre Maschinen nicht als Quelle für Ping-Floods dienen können, beschränken Sie den Zugriff auf Ping.

PingOfDeath oder SSPing

Sein Wesen ist wie folgt: Ein stark fragmentiertes ICMP-Paket großer Größe (64 KB) wird an die Maschine des Opfers gesendet. Die Antwort von Windows-Systemen, ein solches Paket zu erhalten, ist bedingungsloses Durchhängen, einschließlich Maus und Tastatur. Das Programm für den Angriff ist im Netzwerk in Form von Quellcode in C und ausführbaren Dateien für einige Unix-Versionen weit verbreitet. Seltsamerweise, im Gegensatz zu WinNuke, kann ein Opfer eines solchen Angriffs nicht nur Windows-Maschinen sein, sondern auch MacOS und einige Unix-Versionen. Vorteile dieser Angriffsmethode bestehen darin, dass die Firewall normalerweise ICMP-Pakete weiterleitet. Wenn die Firewall so konfiguriert ist, dass sie die Adressen von Absendern filtert, können Sie mithilfe einer einfachen Spoofing-Technik eine solche Firewall täuschen. Der Nachteil von PingOfDeath besteht darin, dass für einen Angriff mehr als 64 KB über das Netzwerk gesendet werden müssen, was im Allgemeinen für große Ablenkungen nicht sehr nützlich ist.

UDP-Bombe

Das übertragene UDP-Paket enthält ein ungültiges Format für die Dienstfelder. Einige ältere Versionen von Netzwerksoftware führen zum Empfang eines ähnlichen Pakets, um das System zum Absturz zu bringen.

SYN-Überflutung

Flooding mit SYN-Paketen ist der bekannteste Weg, einen Informationskanal zu "hämmern". Rufen Sie zurück, wie TCP / IP bei eingehenden Verbindungen funktioniert. Das System antwortet auf das ankommende C-SYN-Paket mit einem S-SYN / C-ACK-Paket, überträgt die Sitzung in den Zustand SYN_RECEIVED und stellt sie in eine Warteschlange. Wenn das S-ACK nicht innerhalb der angegebenen Zeit eintrifft, wird die Verbindung aus der Warteschlange gelöscht, andernfalls wird die Verbindung in den Zustand ESTABLISHED übertragen. Betrachten Sie den Fall, in dem die Warteschlange der Eingangsverbindungen bereits voll ist und das System ein SYN-Paket empfängt, in dem die Verbindung eingerichtet wird. Laut RFC wird er stillschweigend ignoriert. Das Überfluten mit SYN-Paketen basiert auf dem Serverwarteschlangenüberlauf, nach dem der Server nicht mehr auf Benutzeranforderungen reagiert. Der bekannteste Angriff dieser Art ist der Angriff auf den New Yorker Provider Panix. Panix hat 2 Wochen lang nicht gearbeitet. In verschiedenen Systemen wird die Arbeit mit der Warteschlange auf verschiedene Arten implementiert. In BSD-Systemen hat jeder Port seine eigene Warteschlange mit der Größe von 16 Elementen. In SunOS-Systemen gibt es dagegen keine solche Trennung und das System hat einfach eine große allgemeine Warteschlange. Um zum Beispiel den WWW-Port auf dem BSD zu blockieren, sind dementsprechend 16 SYN-Pakete ausreichend, und für Solaris 2.5 wird ihre Anzahl viel größer sein. Nach Ablauf einer bestimmten Zeit (abhängig von der Implementierung) entfernt das System Abfragen aus der Warteschlange. Nichts hindert einen Angreifer daran, einen neuen Teil der Anfragen zu senden. Somit kann ein Angreifer selbst auf einer Verbindung von 2400 bps alle 20 Minuten auf 20 bis 30 Pakete auf dem FreeBSD-Server senden und diesen in einem nicht betriebsbereiten Zustand unterstützen (dieser Fehler wurde natürlich in den neuesten Versionen von FreeBSD behoben). Wie üblich kann ein Angreifer bei der Bildung von Paketen zufällige reverse IP-Adressen nutzen, was es schwierig macht, seinen Verkehr zu erkennen und zu filtern. Erkennung ist einfach - eine große Anzahl von Verbindungen im Zustand SYN_RECEIVED, Ignorieren Versuche werden eine Verbindung zu diesem Port. Als Schutz können Sie Patches empfehlen, die eine automatische "Prune" -Warteschlange implementieren, zum Beispiel basierend auf dem Algorithmus Early Random Drop. Um herauszufinden, ob Ihr System gegen SYN-Flooding geschützt ist, wenden Sie sich an den Systemanbieter. Eine andere Option besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen von der Firewall selbst installiert werden und erst danach vom angegebenen Computer in das Innere des Netzwerks verschoben werden. Dadurch können Sie syn-flooding begrenzen und es nicht im Netzwerk verpassen. Dieser Angriff bezieht sich auf die Denial-of-Service-Angriffe, deren Ergebnis die Unfähigkeit ist, Dienste bereitzustellen. Der Angriff richtet sich normalerweise auf einen spezifischen Dienst wie Telnet oder FTP. Es besteht darin, die Verbindungsaufbau-Pakete an den Port zu übergeben, der dem angegriffenen Dienst entspricht. Wenn die Anforderung empfangen wird, weist das System Ressourcen für die neue Verbindung zu und versucht dann, auf die Anforderung ("SYN-ACK" senden) an eine nicht erreichbare Adresse zu antworten. Standardmäßig versuchen die NT-Versionen 3.5-4.0, die Bestätigung 5 Mal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Nach weiteren 96 Sekunden kann das System auf die Antwort warten und erst danach die für die zukünftige Verbindung zugewiesenen Ressourcen freigeben. Die Gesamtzeit für die Ressourcennutzung beträgt 189 Sekunden.

Nicht standardisierte Protokolle, die in IP gekapselt sind

Das IP-Paket enthält ein Feld, das das Protokoll des gekapselten Pakets (TCP, UDP, ICMP) angibt. Angreifer können den Nicht-Standard-Wert dieses Feldes verwenden, um Daten zu übertragen, die nicht durch Standardmittel zur Überwachung von Informationsflüssen erkannt werden.

Verwenden von TFTP

Dieses Protokoll enthält keine Authentifizierungsmechanismen, weshalb es für Eindringlinge attraktiv ist.

Schlumpfangriff

Der Angriff des Schlumpfs besteht in der Übertragung von Broadcast-ICMP-Anfragen im Auftrag des Opfer-Computers an das Netzwerk. Infolgedessen reagieren Computer, die solche Rundsendepakete empfangen haben, auf den Computer des Opfers, was zu einer signifikanten Verringerung der Bandbreite des Kommunikationskanals und in einigen Fällen zur vollständigen Isolierung des angegriffenen Netzwerks führt. Der Schlumpfangriff ist außergewöhnlich effektiv und weit verbreitet. Gegenwirkung: Um diesen Angriff zu erkennen, müssen Sie die Auslastung des Kanals analysieren und die Gründe für die Abnahme der Bandbreite ermitteln.

Land angreifen

Der Land-Angriff nutzt die Schwachstellen der TCP / IP-Stack-Implementierungen in einigen Betriebssystemen aus. Es besteht darin, an den offenen Port des Opfer-Computers ein TCP-Paket mit gesetztem SYN-Flag zu senden, und die Quelladresse und der Port eines solchen Pakets sind jeweils mit der Adresse und dem Port des angegriffenen Computers identisch. Dies führt dazu, dass der Opfercomputer versucht, eine Verbindung mit sich selbst herzustellen, was zu einer erheblichen Erhöhung der CPU-Auslastung führt und ein Hängenbleiben oder Neustarten verursachen kann. Dieser Angriff ist bei einigen Routermodellen von Cisco Systems sehr effektiv und die erfolgreiche Anwendung eines Angriffs auf den Router kann das gesamte Netzwerk der Organisation deaktivieren. Gegenwirkung: Sie können sich vor diesem Angriff schützen, indem Sie einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren, indem Sie eine Filterregel angeben, die angibt, dass Sie Pakete aus dem Internet unterdrücken sollten, jedoch mit den ursprünglichen IP-Adressen der Computer im internen Netzwerk.

Einführung in das Internet eines falschen Servers durch Erzeugen eines gerichteten "Sturms" von falschen DNS-Antworten auf den angegriffenen Host

Eine andere Version des Remoteangriffs, die auf den DNS-Dienst abzielt, basiert auf dem zweiten Typ des typischen Fernangriffs "Falsches Objekt BC". In diesem Fall sendet der Angreifer kontinuierlich eine vorbereitete falsche DNS-Antwort an den angegriffenen Host im Namen des realen DNS-Servers, ohne eine DNS-Anforderung zu erhalten. Mit anderen Worten, der Angreifer erzeugt im Internet einen gezielten "Sturm" falscher DNS-Antworten. Dies ist möglich, da normalerweise ein UDP-Protokoll verwendet wird, um eine DNS-Anfrage zu senden, bei der es keine Mittel zur Paketidentifikation gibt. Das einzige Kriterium für das Netzwerkbetriebssystem des Hosts für die Antwort, die vom DNS-Server empfangen wird, ist erstens die Übereinstimmung der IP-Adresse des Absenders der Antwort mit der IP-Adresse des DNS-Servers, und zweitens, dass der DNS-Name den gleichen Namen hat. Wie in der DNS-Abfrage sollte drittens die DNS-Antwort an denselben UDP-Port gesendet werden, von dem die DNS-Anfrage gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer), und viertens im DNS -Wählen Sie das Feld für die Anfrage-ID im DNS-Header (ID) sollte den gleichen Wert wie in der übertragenen DNS-Abfrage enthalten (dies ist das zweite Problem). Da der Angreifer die DNS-Abfrage nicht abfangen kann, ist in diesem Fall das Hauptproblem für ihn die UDP-Portnummer, von der die Anforderung gesendet wurde. Aber die Port-Nummer des Senders nimmt eine begrenzte Menge von Werten (1023?), Also muss der Angreifer nur durch einfache Suche handeln und falsche Antworten an die entsprechende Liste von Ports senden. Auf den ersten Blick könnte das zweite Problem eine DNS-Abfrage-ID mit zwei Byte sein, aber in diesem Fall ist es entweder gleich Eins oder hat einen Wert nahe Null (eine Anfrage - ID wird um 1 inkrementiert). Um diesen Fernangriff auszuführen, muss der Angreifer daher den Host (A) von Interesse auswählen, dessen Route geändert werden muss, damit er einen falschen Server, den Host des Angreifers, passieren kann. Dies wird erreicht durch die konstante Übertragung (gerichtet durch den "Sturm") des Angriffs falscher DNS-Antworten auf den angegriffenen Host vom Namen des realen DNS-Servers zu den entsprechenden UDP-Ports. In diesen falschen DNS-Antworten ist die IP-Adresse des Hosts A die IP-Adresse des Angreifers. Weiter entwickelt sich der Angriff gemäß dem folgenden Schema. Sobald das Ziel des Angriffs (angegriffener Host) namentlich an Host A adressiert ist , wird von dem gegebenen Host eine DNS-Anfrage an das Netzwerk gesendet, die der Angreifer niemals empfangen wird, aber dies ist nicht erforderlich, da der Host sofort ein ständig gesendetes falsch erhält DNS-Antwort, die vom Betriebssystem des angegriffenen Hosts als echte Antwort vom DNS-Server wahrgenommen wird. Der Angriff fand statt und nun überträgt der angegriffene Host alle für A bestimmten Pakete an die IP-Adresse des Hosts des Angreifers, der sie wiederum an A weiterleitet und die abgefangenen Informationen gemäß dem Schema "Falsch verteiltes BC" beeinflusst. Betrachten Sie das Funktionsschema des vorgeschlagenen Remote-Angriffs auf den DNS-Dienst: • ständige Übertragung von falschen DNS-Antworten an den angreifenden Host auf verschiedenen UDP-Ports und möglicherweise mit unterschiedlichen IDs, im Namen von (von der IP-Adresse) des realen DNS-Servers mit dem Namen des interessanten Hosts und dessen falscher IP-Adresse, was sein wird ist die IP-Adresse des falschen Servers - der Host des Angreifers; • im Fall des Empfangs eines Pakets vom Host, Ändern des IP-Headers des Pakets seiner IP-Adresse auf die IP-Adresse des Angreifers und Senden des Pakets an den Server (dh der falsche Server arbeitet mit dem Server in seinem Auftrag - von seiner IP-Adresse); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen Servers und senden Sie das Paket an den Host (für den Host ist der falsche Server der echte Server). Daher ermöglicht die Implementierung dieses Remoteangriffs mithilfe von Sicherheitslücken im DNS-Dienst, das Routing zwischen zwei angegebenen Objekten von jedem Ort im Internet aus zu unterbrechen. Das heißt, dieser Fernangriff wird intersegmental in Bezug auf den Zweck des Angriffs ausgeführt und bedroht die Sicherheit jedes Internet-Hosts, der einen normalen DNS-Dienst verwendet.

Die Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gezielten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Suchschema folgt, dass, wenn der in der Abfrage angegebene DNS-Server keine Namen in seiner Datenbank findet, die Anforderung vom Server an einen der Stamm-DNS-Server gesendet wird, deren Adressen in der Server-Einstellungsdatei von root.cache enthalten sind . Das heißt, wenn der DNS-Server keine Informationen über den angeforderten Host hat, leitet er die Anfrage weiter, was bedeutet, dass jetzt der DNS-Server selbst eine Remote-DNS-Suche initiiert. Daher hindert nichts den Angreifer, der in der im vorherigen Abschnitt beschriebenen Weise handelt, seinen Angriff auf den DNS-Server zu richten. Das heißt, das Ziel des Angriffs ist jetzt nicht der Host, sondern der DNS-Server und falsche DNS-Antworten werden im Auftrag des Root-DNS-Servers auf dem angegriffenen DNS-Server an den Angreifer gesendet. Es ist wichtig, die folgende Besonderheit der DNS-Serveroperation zu berücksichtigen. Um die Arbeit zu beschleunigen, speichert jeder DNS-Server seine eigene Tabelle von Namen und IP-Adressen von Hosts im Speicherbereich zwischen. Einschließlich dynamisch geänderter Informationen über die Namen und IP-Adressen von Hosts, die während des Betriebs des DNS-Servers gefunden wurden. Das heißt, wenn der DNS-Server nach Erhalt der Anfrage den entsprechenden Eintrag in der Cache-Tabelle nicht findet, leitet er die Antwort an den nächsten Server weiter und gibt nach Empfang einer Antwort die in der Cache-Tabelle gefundenen Informationen in den Speicher ein. Wenn die nächste Anforderung empfangen wird, muss der DNS-Server keine Remote-Suche mehr durchführen, da sich die erforderliche Information bereits in seiner Cache-Tabelle befindet. Aus der Analyse des neu beschriebenen Remote-DNS-Lookup-Schemas wird ersichtlich, dass, wenn ein Angreifer eine falsche DNS-Antwort sendet (im Falle eines "Sturms" falscher Antworten hält er sie in einer konstanten Übertragung) als Reaktion auf eine Anfrage vom DNS-Server, dann wird ein entsprechender Eintrag mit falscher Information in der Server-Cache-Tabelle erscheinen und in Zukunft werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert und beim Zugriff auf den Host wird die Kommunikation mit dem Host durch den Host des Angreifers durchgeführt nach Schemata e "falsches Objekt BC" Und mit der Zeit werden sich diese falschen Informationen, die im Cache des DNS-Servers gefangen sind, auf benachbarte DNS-Server höherer Ebene ausbreiten, und folglich werden mehr und mehr Hosts im Internet falsch informiert und angegriffen. Wenn der Angreifer die DNS-Anforderung vom DNS-Server nicht abfangen kann, benötigt er offensichtlich einen "Sturm" falscher DNS-Antworten, die an den DNS-Server gerichtet sind. In diesem Fall tritt das folgende Hauptproblem auf, das sich von dem Problem der Auswahl von Ports im Falle eines Angriffs auf den Host unterscheidet. Wie bereits erwähnt, sendet der DNS-Server eine Anfrage an einen anderen DNS-Server und identifiziert diese Anfrage mit einem Zwei-Byte-Wert (ID). Dieser Wert wird mit jeder übertragenen Abfrage um eins erhöht. Sie können dem Angreifer den aktuellen Wert der DNS-Abfrage-ID nicht mitteilen. Daher ist nichts als die Suche nach 2 16 möglichen ID-Werten, um etwas anzubieten, ziemlich schwierig. Das Problem der Port-Enumeration verschwindet jedoch, da alle DNS-Anfragen vom DNS-Server an Port 53 übertragen werden. Das nächste Problem, das die Voraussetzung für diesen Remoteangriff auf den DNS-Server ist, wenn der "Sturm" falscher DNS-Antworten gerichtet ist, ist, dass der Angriff nur erfolgreich ist, wenn der DNS-Server eine Anfrage zur Suche nach einem bestimmten Namen (der enthalten ist) sendet in einer falschen DNS-Antwort). Der DNS-Server sendet diese dringend benötigte und gewünschte Anforderung an den Angreifer, wenn er eine DNS-Anforderung von einem Host erhält, um nach dem angegebenen Namen zu suchen, und dieser Name wird nicht in der Cache-Tabelle des DNS-Servers angezeigt. Im Prinzip kann diese Anfrage jederzeit kommen und der Angreifer muss möglicherweise so lange auf die Ergebnisse des Angriffs warten, wie es gewünscht wird. Nichts hindert jedoch den Angreifer, ohne auf irgendjemanden zu warten, eine ähnliche DNS-Abfrage an den angegriffenen DNS-Server zu senden und den DNS-Server zu veranlassen, nach dem in der Anfrage spezifizierten Namen zu suchen. Dann dürfte dieser Angriff fast unmittelbar nach dem Beginn seiner Implementierung gelingen.

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Remoteangriff, der auf dem standardmäßigen Standardfernangriff basiert, der mit dem Warten auf eine DNS-Suchabfrage verbunden ist. Bevor Sie den Angriffsalgorithmus für DNS in Betracht ziehen, müssen Sie die folgenden Feinheiten in der Arbeit dieses Dienstes beachten. Erstens arbeitet der DNS-Dienst standardmäßig auf der Basis des UDP-Protokolls (obwohl es möglich ist, das TCP-Protokoll zu verwenden), was ihn natürlich weniger sicher macht, da das UDP-Protokoll im Gegensatz zu TCP keine Mittel zur Nachrichtenidentifikation bereitstellt. Um von UDP zu TCP zu wechseln, muss der Administrator des DNS-Servers die Dokumentation ernsthaft studieren. Darüber hinaus wird dieser Übergang das System etwas verlangsamen, da zum einen bei Verwendung von TCP eine virtuelle Verbindung erforderlich ist und zweitens das Endnetzwerk OS zuerst eine DNS-Anforderung sendet, die das UDP-Protokoll verwendet und wenn es zu ihnen kommt eine spezielle Antwort vom DNS-Server, sendet das Netzwerk-Betriebssystem eine DNS-Anfrage über TCP. Zweitens ist die nächste Feinheit, auf die Sie achten müssen, dass der Wert des Felds "Absenderport" im UDP-Paket zuerst den Wert 1023 (?) Annimmt und dann mit jeder bestandenen DNS-Abfrage zunimmt. Drittens verhält sich der Wert der ID der DNS-Abfrage wie folgt. Wenn eine DNS-Anforderung vom Host gesendet wird, hängt ihr Wert von der jeweiligen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors haben gezeigt, dass im Fall des Sendens einer Anfrage von der Shell der Shell der Betriebssysteme Linux und Windows 95 (zum Beispiel ftp nic.funet.fi) dieser Wert immer gleich Eins ist. Für den Fall, dass eine DNS-Anfrage von Netscape Navigator gesendet wird, erhöht der Browser selbst bei jeder neuen Anfrage diesen Wert um eins. Für den Fall, dass die Anfrage direkt vom DNS-Server übermittelt wird, erhöht der Server diesen ID-Wert bei jeder neu übertragenen Anfrage um eins. Alle diese Feinheiten sind wichtig im Falle eines Angriffs ohne Abfangen der DNS-Abfrage. Um einen Angriff durch Abfangen einer DNS-Anforderung zu implementieren, muss der Angreifer die DNS-Abfrage abfangen, die UDP-Portnummer der Anforderung daraus, den Doppelbyte-ID-Wert der DNS-Anforderungs-ID und den gewünschten Namen extrahieren und anschließend eine falsche DNS-Antwort an die aus der DNS-Abfrage extrahierte Abfrage senden UDP-Port, in dem die reale IP-Adresse des falschen DNS-Servers als gewünschte IP-Adresse angegeben wird. Dies wird in der Zukunft das "False PBC" -Schema auf dem Verkehr zwischen dem "betrogenen" Host und dem Server vollständig abfangen und aktiv handeln. Betrachten Sie das allgemeine Schema des falschen DNS-Servers: • Warten auf die DNS-Abfrage; • Empfangen einer DNS-Abfrage, Extrahieren der notwendigen Informationen daraus und Senden einer falschen DNS-Antwort an den Host im Namen von (von der IP-Adresse) des aktuellen DNS-Servers, der die IP-Adresse des falschen DNS-Servers angibt; • Wenn das Paket vom Host empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden das Paket an den Server (dh der falsche DNS-Server arbeitet mit dem Server in seinem Namen); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden Sie das Paket an den Host (für den Host ist der falsche DNS-Server der echte Server). Eine Voraussetzung für diese Option ist das Abfangen der DNS-Anfrage. Dies ist nur möglich, wenn sich der Angreifer entweder im Pfad des Hauptverkehrs oder im Segment des realen DNS-Servers befindet. Das Erfüllen einer dieser Bedingungen des Standortes des Angreifers im Netzwerk macht es schwierig, einen solchen Fernangriff in der Praxis zu implementieren (es ist wahrscheinlich, dass der Angreifer nicht in das Segment des DNS-Servers und noch mehr in den intersegmentalen Kommunikationskanal gelangen kann). Wenn diese Bedingungen jedoch erfüllt sind, ist es möglich, einen intersegmentalen Fernangriff auf das Internet durchzuführen. Beachten Sie, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe interessanter Funktionen in der Funktionsweise des FTP-Protokolls und des Mechanismus zur Identifizierung von TCP-Paketen offenbart hat. Für den Fall, dass ein FTP-Client auf dem Host über einen falschen DNS-Server mit einem Remote-FTP-Server verbunden ist, stellte sich heraus, dass der FTP-Client jedes Mal, nachdem der Benutzer eine FTP-Anwendung (z. B. ls, get, put usw.) ausgab erzeugt den PORT-Befehl, der darin bestand, die Portnummern und IP-Adressen des Clienthosts auf den FTP-Server im TCP-Paketdatenfeld zu übertragen (es ist schwierig, in diesen Aktionen eine besondere Bedeutung zu finden - warum immer die IP-Adresse des Clients an den FTP-Server sendet)! Dies führte dazu, dass, wenn der falsche DNS-Server die gesendete IP-Adresse im Datenfeld des TCP-Pakets nicht ändert und dieses Paket auf die übliche Weise an den FTP-Server sendet, das nächste Paket vom FTP-Server an den Host des FTP-Clients übertragen wird. Umgehung des falschen DNS-Servers und, am interessantesten, dieses Paket wird als ein normales Paket wahrgenommen, und in Zukunft wird ein falscher DNS-Server die Kontrolle über den Verkehr zwischen dem FTP-Server und dem FTP-Client verlieren! Dies liegt daran, dass ein normaler FTP-Server keine zusätzliche Authentifizierung für den FTP-Client bereitstellt, sondern alle Probleme der Paketidentifikation und -verbindung auf eine niedrigere Ebene - die TCP-Schicht - verschiebt.

DNS-Flooding-Angriff

DNS-Flooding ist ein Angriff auf Internet-Nameserver. Es besteht in der Übertragung einer großen Anzahl von DNS-Abfragen und führt dazu, dass Benutzer keinen Zugriff auf den Namensdienst und folglich die Unfähigkeit gewöhnlicher Benutzer haben, zu arbeiten. Gegenwirkung: Um diesen Angriff zu erkennen, müssen Sie die Belastung des DNS-Servers analysieren und die Quellen der Anfragen identifizieren.

DNS-Spoofing-Angriff

Das Ergebnis dieses Angriffs ist das Auferlegen einer auferlegten Korrespondenz zwischen der IP-Adresse und dem Domänennamen im Cache des DNS-Servers. Als Folge dieses erfolgreichen Angriffs erhalten alle DNS-Benutzer im Norden falsche Informationen über Domänennamen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domain-Namen gekennzeichnet. Dies liegt an der Notwendigkeit, einige DNS-Austauschparameter auszuwählen. Gegenwirkung: Um einen solchen Angriff zu erkennen, müssen Sie den Inhalt des DNS-Verkehrs analysieren.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen im Internet ist mit der Ersetzung der Quell-IP-Adresse verbunden. Zu diesen Angriffen gehört das Syslog-Spoofing, bei dem eine Nachricht im Namen eines anderen Computers im internen Netzwerk an den Computer des Opfers gesendet wird. Da das Syslog-Protokoll zum Verwalten von Systemprotokollen verwendet wird, können Sie durch das Senden falscher Nachrichten an einen Opfercomputer Informationen aufstellen oder unautorisierten Zugriff verdecken. Gegenwirkung: Erkennung von Angriffen im Zusammenhang mit der Ersetzung von IP-Adressen, bei der Überwachung des Empfangs auf einer der Schnittstellen des Pakets mit der Quelladresse der gleichen Schnittstelle oder bei der Überwachung des Empfangs auf der externen Schnittstelle von Paketen mit IP-Adressen des internen Netzwerks.

Paketausschießen

Ein Angreifer sendet Pakete mit einer falschen Absenderadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer auf Computerverbindungen zwischen anderen Computern wechseln. In diesem Fall werden die Zugriffsrechte des Angreifers gleich den Rechten des Benutzers, dessen Verbindung zum Server auf den Computer des Eindringlings umgeschaltet wurde.

Sniffing - Anhören des Kanals (nur im LAN-Segment möglich)

Praktisch alle Netzwerkkarten unterstützen das Abfangen von Paketen, die über einen gemeinsamen LAN-Kanal übertragen werden. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer im selben Netzwerksegment adressiert sind. Somit steht der gesamte Informationsaustausch im Netzwerksegment einem Angreifer zur Verfügung. Um diesen Angriff erfolgreich durchzuführen, muss sich der Computer des Angreifers im selben Segment des lokalen Netzwerks wie der angegriffene Computer befinden.

Pakete auf dem Router abfangen

Die Netzwerksoftware des Routers hat Zugriff auf alle Netzwerkpakete, die über diesen Router übertragen werden. Dadurch können Sie Pakete abfangen. Um diesen Angriff zu implementieren, muss ein Angreifer einen privilegierten Zugriff auf mindestens einen Netzwerkrouter haben. Da viele Pakete normalerweise über den Router übertragen werden, ist ihre vollständige Überwachung nahezu unmöglich. Einzelne Pakete können jedoch gut abgefangen und für eine spätere Analyse durch den Angreifer gespeichert werden. Das effektivste Abfangen von FTP-Paketen, die Benutzerkennwörter enthalten, sowie E-Mails.

Impose eines falschen Route-Hosts mit ICMP

Im Internet gibt es ein Internet Control Message Protocol (ICMP), dessen eine Funktion es ist, die Hosts über die Änderung des aktuellen Routers zu informieren. Diese Steuernachricht wird Umleitung genannt. Es ist möglich, von jedem Host im Netzwerksegment eine falsche Umleitungsnachricht im Namen des Routers an den angegriffenen Host zu senden. Als Ergebnis ändert der Host die aktuelle Routingtabelle, und in Zukunft wird der gesamte Netzwerkverkehr dieses Hosts weitergegeben, beispielsweise durch einen Host, der eine falsche Umleitungsnachricht sendet. Somit ist es möglich, eine aktive Auferlegung einer falschen Route innerhalb eines Segments des Internets zu implementieren.

WinNuke

Wie bei normalen Daten, die über eine TCP-Verbindung übertragen werden, überträgt der Standard auch Out-of-Band-Daten. Auf der Ebene der TCP-Pakete wird dies in einem dringenden Zeiger ungleich Null ausgedrückt. Die meisten PCs mit Windows haben ein NetBIOS-Netzwerkprotokoll, das für ihre Bedürfnisse drei IP-Ports verwendet: 137, 138, 139. Wie sich herausstellte, wenn Sie eine Verbindung zum Windows-Rechner in 139 Ports herstellen und dort einige Bytes OutOfBand-Daten senden, die Implementierung von NetBIOS nicht wissen, was mit diesen Daten zu tun, poppsto suspend oder perezazgruzhaet Maschine. Für Windows 95 sieht dies normalerweise wie ein blauer Textbildschirm aus, der einen Fehler im TCP / IP-Treiber meldet und die Unfähigkeit, mit dem Netzwerk zu arbeiten, bis das Betriebssystem neu gestartet wird. NT 4.0 ohne die Service Packs wird überschrieben, NT 4.0 mit dem zweiten Serial Pack fällt in den blauen Bildschirm. Ein ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer erheblichen Auslastung des RPCSS.EXE-Prozessors. Bei NTWS führt dies zu einer deutlichen Verlangsamung, NTS ist praktisch eingefroren.

Falscher ARP-Server

Im Internet hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten vom globalen Netzwerk empfängt. Das IP-Protokoll ist jedoch nicht so sehr ein Netzwerk als ein Inter-Netzwerk-Austauschprotokoll, das für die Kommunikation zwischen Objekten im globalen Netzwerk gedacht ist. Auf der Verbindungsschicht werden Pakete an die Hardwareadressen von Netzwerkkarten adressiert. Im Internet wird das IP Address Protocol Protocol (ARP) für die Eins-zu-eins-Entsprechung zwischen IP- und Ethernet-Adressen verwendet. Anfänglich hat der Host möglicherweise keine Informationen über die Ethernet-Adressen anderer Hosts, die sich in demselben Segment befinden, einschließlich der Ethernet-Adresse des Routers. Wenn auf die Netzwerkressourcen zum ersten Mal zugegriffen wird, sendet der Host dementsprechend eine Broadcast-ARP-Anforderung, die von allen Stationen in diesem Segment des Netzwerks empfangen wird. Nach Erhalt dieser Anfrage sendet der Router eine ARP-Antwort an den anfordernden Host, in der er seine Ethernet-Adresse meldet. Dieses Arbeitsschema ermöglicht es einem Angreifer, eine falsche ARP-Antwort zu senden, in der er sich selbst als den gewünschten Host deklariert (zum Beispiel einen Router) und in Zukunft den gesamten Netzwerkverkehr des "betrogenen" Hosts aktiv überwacht.

Vorhersage-TCP-Sequenznummer (IP-Spoofing)

In diesem Fall besteht der Zweck des Angreifers darin, sich als ein anderes System auszugeben, dem beispielsweise das Opfersystem "vertraut". Die Methode wird auch für andere Zwecke verwendet - zum Beispiel, um das SMTP-Opfer zu verwenden, um gefälschte E-Mails zu senden. Die TCP-Verbindung wird in drei Stufen aufgebaut: Der Client wählt und sendet die Sequenznummer (C-SYN) an den Server. Als Antwort sendet der Server dem Client ein Datenpaket mit der Bestätigung (C-ACK) und der eigenen Sequenznummer des Servers (S-SYN ). Jetzt muss der Kunde eine Bestätigung senden (S-ACK). Danach wird die Verbindung hergestellt und der Datenaustausch beginnt. Jedes Paket hat in seinem Header ein Feld für die Sequenznummer und die Bestätigungsnummer. Diese Zahlen steigen mit dem Datenaustausch und ermöglichen es Ihnen, die Korrektheit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN nach Schema) vom Server gesendet wird. Dies ist aufgrund der Kenntnis der spezifischen Implementierung von TCP / IP möglich. In 4.3BSD beispielsweise erhöht sich der Wert der Sequenznummer, die beim Setzen des nächsten Wertes verwendet wird, jede Sekunde um 125.000, sodass der Angreifer eine Antwort erhält und (wahrscheinlich mit mehreren Versuchen und mit der Verbindungsgeschwindigkeitskorrektur) vorhersagen kann Sequenznummer für die nächste Verbindung. Wenn die TCP / IP-Implementierung einen speziellen Algorithmus verwendet, um die Sequenznummer zu bestimmen, kann sie bestimmt werden, indem mehrere Dutzend Pakete an den Server gesendet und seine Antworten analysiert werden. Nehmen wir an, dass System A System B vertraut, so dass der Benutzer von System B "rlogin A" machen und auf A enden kann, ohne ein Passwort einzugeben. Angenommen, der Angreifer befindet sich auf dem C-System. System A fungiert als Server, System B und C - in der Rolle von Clients. Die erste Aufgabe des Angreifers besteht darin, System B in einen Zustand zu versetzen, in dem es nicht auf Netzwerkanforderungen antworten kann. Dies kann auf verschiedene Arten geschehen, im einfachsten Fall müssen Sie nur auf den Neustart des B-Systems warten. Ein paar Minuten, in denen es nicht funktionieren wird, sollten ausreichen. Danach kann der Angreifer versuchen, sich als System B auszugeben, um (zumindest kurzzeitig) Zugang zu System A zu erhalten. Ein Angreifer sendet mehrere IP-Pakete, die eine Verbindung initiieren, an System A, um den aktuellen Status der Sequenznummer des Servers herauszufinden. Der Angreifer sendet ein IP-Paket, in dem die Adresse des Systems B als Rücksprungadresse angegeben ist. System A antwortet mit einem Paket mit einer Sequenznummer, die an System B weitergeleitet wird. System B wird es jedoch nie erhalten (es ist deaktiviert), wie in der Tat ein Angreifer. Aber er, auf der Grundlage der vorherigen Analyse, schätzt, welche Sequenznummer an System B gesendet wurde. Der Angreifer bestätigt den "Empfang" des Pakets von A und sendet ein Paket mit dem angeblichen S-ACK im Namen von B (beachten Sie, dass wenn die Systeme im selben Segment liegen, ein Angreifer die Sequenz herausfinden muss) Anzahl reicht aus, um das von System A gesendete Paket abzufangen. Wenn der Angreifer dann Glück hatte und die Sequenznummer des Servers korrekt erraten wurde, gilt die Verbindung als etabliert. Jetzt kann ein Angreifer ein weiteres gefälschtes IP-Paket senden, das bereits Daten enthält. Wenn der Angriff beispielsweise auf rsh gerichtet war, enthält er möglicherweise die Befehle zum Erstellen der .rhosts-Datei oder zum Senden der Datei / etc / passwd per E-Mail an den Angreifer. Gegenwirkung: Pakete mit internen Adressen, die von der Außenwelt kommen, dienen als das einfachste IP-Spoofing-Signal. Die Router-Software kann den Administrator darüber informieren. Täuschen Sie sich jedoch nicht selbst - der Angriff kann von Ihrem Netzwerk aus erfolgen. Im Falle der Verwendung von intelligenteren Netzwerküberwachungswerkzeugen kann der Administrator Pakete (im automatischen Modus) von Systemen überwachen, die sich in einem unzugänglichen Zustand befinden. Was verhindert jedoch, dass ein Eindringling den Betrieb des B-Systems durch Antworten auf ICMP-Pakete imitiert? Wie schützen Sie sich vor IP-Spoofing? Erstens können Sie die Sequenznummer (das Schlüsselelement des Angriffs) erschweren oder unmöglich machen. Sie können beispielsweise die Änderungsrate der Sequenznummer auf dem Server erhöhen oder eine zufällige Sequenznummer erhöhen (vorzugsweise mit einem kryptografisch stabilen Algorithmus zum Generieren von Zufallszahlen). Wenn das Netzwerk eine Firewall (oder einen anderen IP-Paketfilter) verwendet, sollten Sie Regeln hinzufügen, dass alle Pakete, die von außerhalb kommen und über Rückadressen aus unserem Adressraum verfügen, nicht in das Netzwerk gelangen dürfen. Darüber hinaus ist es notwendig, das Vertrauen der Maschinen zueinander zu minimieren. Idealerweise sollte es keine Möglichkeit geben, direkt auf die benachbarte Netzwerkmaschine zuzugreifen, die die Superuser-Rechte auf einer von ihnen hat. Natürlich werden Sie dadurch nicht daran gehindert, Dienste zu benutzen, die keine Autorisierung erfordern, zum Beispiel IRC (ein Angreifer kann so tun, als wäre er eine beliebige Internetmaschine und sendet eine Reihe von Befehlen, um den IRC-Kanal zu betreten, willkürliche Nachrichten auszugeben usw.). Die Verschlüsselung von TCP / IP-Stream löst im Allgemeinen das Problem des IP-Spoofing (vorausgesetzt, dass kryptographisch stabile Algorithmen verwendet werden). Um die Anzahl solcher Angriffe zu reduzieren, empfiehlt es sich, die Firewall so zu konfigurieren, dass Pakete, die von unserem Netzwerk nach außen gesendet werden, aber Adressen haben, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Machen wir einen kleinen Exkurs zur Implementierung von TCP / IP und betrachten "lokale Stürme" zum Beispiel UDP-Stürme. In der Regel unterstützen Systeme standardmäßig den Betrieb von UDP-Ports wie 7 ("Echo", das empfangene Paket wird zurückgesendet), 19 (der "Zeichengenerator", als Antwort auf das empfangene Paket sendet der Sender den Zeichengenerator-String) und andere (Datum usw.). In diesem Fall kann ein Angreifer ein einzelnes UDP-Paket mit 7 als Quellport, 19 als Ziel und zwei Computern in Ihrem Netzwerk (z. B. 127.0) senden. 0,1). Nach Empfang des Pakets antwortet der 19. Port mit einem String, der an Port 7 gelangt. Der siebte Port dupliziert ihn und sendet ihn zurück an 19 .. und so weiter ad infinitum. Ein unendlicher Zyklus verschlingt Maschinenressourcen und fügt dem Kanal eine bedeutungslose Last hinzu. Natürlich wird der Sturm aufhören, wenn das erste UDP-Paket verloren geht. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Die Methode ist eine Kombination aus "Abhören" und IP-Spoofing. Voraussetzungen - Ein Angreifer muss Zugriff auf einen Computer im Netzwerk-Thread-Pfad haben und über ausreichende Rechte zum Generieren und Abfangen von IP-Paketen verfügen. Beachten Sie, dass bei der Übertragung von Daten immer die Sequenznummer und die Bestätigungsnummer verwendet werden (beide Felder befinden sich im IP-Header). Anhand ihres Wertes verifizieren der Server und der Client die Korrektheit der Übertragung von Paketen. Es ist möglich, eine Verbindung in den "desynchronisierten Zustand" herzustellen, wenn die vom Server gesendete Sequenznummer und Bestätigungsnummer nicht mit den erwarteten Werten des Clients übereinstimmt und umgekehrt. In diesem Fall kann ein Angreifer, der auf eine Leitung "hört", die Funktionen eines Vermittlers übernehmen, indem er die richtigen Pakete für den Client und den Server generiert und deren Antworten abfängt. Das Verfahren erlaubt es, solche Schutzsysteme vollständig zu umgehen, wie zum Beispiel Einmalpasswörter, da der Angreifer seine Arbeit nach der Autorisierung des Benutzers beginnt. Es gibt zwei Möglichkeiten, die Verbindung zu synchronisieren. • Frühes Desynchronisieren. Die Verbindung wird in der Phase der Installation desynchronisiert. Der Angreifer hört auf das Segment des Netzwerks, über das die Pakete der Sitzung von Interesse übertragen werden. Nach dem Warten auf das S-SYN-Paket vom Server sendet der Angreifer ein Paket vom Typ RST (reset) natürlich mit der korrekten Sequenznummer an den Server, und unmittelbar danach setzt ein gefälschtes C-SYN-Paket im Auftrag des Clients die erste Sitzung zurück und öffnet eine neue derselbe Port, aber mit einer neuen Sequenznummer, und sendet dann dem Client ein neues S-SYN-Paket. Der Client ignoriert das S-SYN-Paket, aber ein Angreifer, der die Leitung überwacht, sendet das S-ACK-Paket im Auftrag des Clients an den Server. Der Client und der Server befinden sich also im Status ESTABLISHED, die Sitzung wird jedoch desynchronisiert. Natürlich ist 100% des Auslösers für dieses Schema nicht zum Beispiel nicht immun gegen die Tatsache, dass auf dem Weg einige Pakete vom Angreifer nicht verloren gehen. Für eine korrekte Handhabung dieser Situationen sollte das Programm kompliziert sein. • Desync mit Null Daten. In diesem Fall hört der Angreifer die Sitzung ab und sendet irgendwann dem Server ein Paket mit "Null" -Daten, d.h. solche, die auf Anwendungsebene tatsächlich ignoriert werden und für den Client nicht sichtbar sind (z. B. für Telnet können dies Daten wie IAC NOP IAC NOP IAC NOP sein ...). Ein ähnliches Paket wird an den Client gesendet. Offensichtlich, nach dieser Sitzung geht in den desynchronisierten Zustand. ACK-Storm Eines der Probleme von IP Hijacking ist, dass jedes Paket, das zu einem Zeitpunkt gesendet wird, zu dem sich die Sitzung in einem desynchronisierten Zustand befindet, einen sogenannten ACK-Sturm verursacht. Zum Beispiel wird das Paket vom Server gesendet, und für den Client ist es inakzeptabel, also antwortet es mit einem ACK-Paket. Als Reaktion auf dieses inakzeptable Paket für den Server erhält der Client erneut eine Antwort. Und so weiter ad infinitum. Glücklicherweise werden moderne Netzwerke durch Technologie aufgebaut, wenn der Verlust einzelner Pakete erlaubt ist. Da ACK-Pakete keine Daten übertragen, treten keine erneuten Übertragungen auf und der "Sturm" klingt ab. Experimente haben gezeigt, dass je stärker der ACK-Sturm ist, desto schneller "beruhigt" er sich - auf 10MB Ethernet passiert es in einem Bruchteil einer Sekunde. Auf unzuverlässige Verbindungen wie SLIP - nicht viel mehr. Erkennung und Schutz Es gibt mehrere Möglichkeiten. Sie können z. B. einen TCP / IP-Stack implementieren, der den Übergang in den desynchronisierten Zustand überwacht, indem Informationen über die Sequenznummer / Bestätigungsnummer ausgetauscht werden. In diesem Fall sind wir jedoch nicht immun gegen den Angreifer, der diese Werte ebenfalls ändert. Daher ist es eine zuverlässigere Methode, den Netzwerkverkehr zu analysieren und die aufkommenden ACK-Stürme zu verfolgen. Dies kann mit Hilfe spezifischer Netzwerküberwachungstools erfolgen. Wenn ein Angreifer sich nicht darum kümmert, eine desynchronisierte Verbindung aufrecht zu erhalten, bis er die Ausgabe seiner Befehle schließt oder herausfiltert, wird er auch sofort vom Benutzer bemerkt. Leider öffnet die überwältigende Mehrheit einfach eine neue Sitzung, ohne den Administrator zu kontaktieren. Die Verschlüsselung des TCP / IP-Datenverkehrs (auf Anwendungsebene - secure shell) oder der Protokollschicht (IPsec) gewährleistet wie immer 100% igen Schutz vor diesem Angriff. Dies beseitigt die Möglichkeit, den Netzwerkstrom zu modifizieren. PGP kann zum Schutz von E-Mail-Nachrichten verwendet werden. Es sollte beachtet werden, dass die Methode auch bei bestimmten TCP / IP-Implementierungen nicht funktioniert. Trotz [rfc ...], bei dem die Sitzung als Antwort auf ein RST-Paket stillgelegt werden muss, generieren einige Systeme ein RST-Zählerpaket. Dies macht eine frühe Desynchronisation unmöglich.

Erkennung und Schutz vor Angriffen

• Um Angriffe zu erkennen, können Sie Broadcast-Aktivitäten analysieren - dies sind UDP-, NBF- und SAP-Pakete. • Um ein internes Netzwerk zu schützen, das mit dem Internet verbunden ist, sollten Sie keine eingehenden Pakete vom externen Netzwerk übergeben, dessen Quelle die interne Netzwerkadresse ist. Sie können nur zulassen, dass Pakete an Port 80 übergeben werden. • Legen Sie bei Bedarf die Paketfilterung fest (vernachlässigen Sie sie nicht einmal)
Systemsteuerung \ Netzwerk \ Protokolle \ Eigenschaften \ Erweitert in Windows NT).

Scanmethoden

Verwenden des ARP-Protokolls

Diese Art von Abfrage kann von Hackern verwendet werden, um die funktionierenden Systeme in den Segmenten des lokalen Netzwerks zu bestimmen.

Scannen Sie das Netzwerk über DNS

Es ist bekannt, dass Angreifer vor dem Start eines Angriffs die Identifizierung von Zielen durchführen, d. H. Identifizieren von Computern, die Opfer von Angriffen werden, sowie Computer, die einen Informationsaustausch mit Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Domäneninformationen abzurufen. Gegenwirkung: Um einen solchen Scan zu ermitteln, müssen Sie DNS-Abfragen (Adresse im Namen) analysieren, die möglicherweise von verschiedenen DNS-Servern kommen, aber für einen bestimmten, festgelegten Zeitraum. In diesem Fall müssen Sie prüfen, welche Informationen an sie gesendet werden, und die Suche nach Adressen verfolgen.

UDP-Bombe

Scannen eines Netzwerks mit der Ping-Sweep-Methode

Die Ping-Sweep- oder Zielerfassung mit dem ICMP-Protokoll ist eine effektive Methode.

Gegenmaßnahmen: Um die Tatsache des Ping-Scans von Zielen innerhalb des Subnetzes zu bestimmen, ist es notwendig, die Quell- und Zieladressen von ICMP-Paketen zu analysieren.

TCP-Ports scannen

Port-Scanning ist eine bekannte Methode zum Erkennen der Konfiguration eines Computers und der verfügbaren Dienste. Es gibt mehrere Methoden zum TCP-Scannen, von denen einige als Stealth bezeichnet werden, da sie die Schwachstellen der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen verwenden und nicht mit Standardmethoden erkannt werden. Gegenwirkung : Gegenmaßnahmen können beispielsweise durch Übertragung von TCP-Paketen mit dem für den überprüften Computer eingestellten RST-Flag an den Computer des Eindringlings erfolgen.

UDP-Ports scannen

Eine andere Art von Port-Scanning basiert auf der Verwendung des UDP-Protokolls und besteht in Folgendem: Ein UDP-Paket wird an den überprüften Computer gesendet, der an den Port adressiert ist, der auf Verfügbarkeit geprüft wird. Wenn der Port nicht verfügbar ist, wird eine ICMP-Meldung angezeigt, die nicht erreichbar ist. Andernfalls erfolgt keine Antwort. Diese Art von Scan ist sehr effektiv. Es ermöglicht Ihnen, alle Ports auf einem Opfer-Computer in kurzer Zeit zu scannen. Gegenwirkung: Diesem Scan entgegenzuwirken ist möglich, indem Nachrichten über die Unzugänglichkeit des Ports an den Computer des Angreifers gesendet werden.

Stealth-Scan

Die Methode basiert auf einem falschen Netzwerkcode, sodass Sie nicht garantieren können, dass dies in einer bestimmten Situation funktioniert. TCP-Pakete werden mit installierten ACK- und FIN-Flags verwendet. Sie sollten verwendet werden, weil Wenn ein solches Paket bei einer ungeöffneten Verbindung an den Port gesendet wird, kehrt das Paket mit dem RST-Flag immer zurück. Es gibt mehrere Methoden, die dieses Prinzip verwenden:? Senden Sie ein FIN-Paket. Wenn der empfangende Host RST zurückgibt, ist der Port inaktiv, wenn RST nicht zurückkehrt, ist der Port aktiv. Diese Methode funktioniert in den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Wenn die TTL der zurückgegebenen Pakete geringer ist als in den anderen empfangenen RST-Paketen oder wenn die Fenstergröße größer als Null ist, ist der Port höchstwahrscheinlich aktiv.

Passives Scannen

Häufig wird von Angreifern gescannt, um herauszufinden, an welchen TCP-Ports Dämonen ausgeführt werden, die auf Anforderungen des Netzwerks reagieren. Ein gängiges Scannerprogramm öffnet Verbindungen zu verschiedenen seriellen Ports. Falls die Verbindung hergestellt wurde, wird sie vom Programm zurückgesetzt und die Portnummer des Angreifers wird angezeigt. Diese Methode wird leicht durch Berichte von Dämonen erkannt, die überraschenderweise sofort nach der Installation durch Verbindung oder durch Verwendung spezieller Programme unterbrochen werden. Die besten dieser Programme haben einige Versuche, Elemente eines künstlichen Elements in Tracking-Versuche einzuführen, sich mit verschiedenen Ports zu verbinden. Ein Angreifer kann jedoch eine andere Methode verwenden - passives Scannen (der englische Ausdruck "passiver Scan"). Wenn es verwendet wird, sendet ein Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder durch einen bestimmten Algorithmus). Bei TCP-Ports, die Verbindungen von außen akzeptieren, wird das SYN / ACK-Paket als Einladung zum Fortsetzen des 3-Wege-Handshakes zurückgegeben. Der Rest wird RST-Pakete zurückgeben. Analysiert man die gegebene Antwort, kann der Angreifer schnell erkennen, an welchen Ports das Programm läuft. Als Antwort auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbauprozess nicht fortgesetzt wird (im Allgemeinen reagiert die TCP / IP-Implementierung des Angreifers automatisch mit RST-Paketen, wenn keine speziellen Maßnahmen ergriffen werden). Die Methode wird von früheren Methoden nicht erkannt, da keine echte TCP / IP-Verbindung hergestellt wird. Allerdings können Sie (abhängig vom Verhalten des Angreifers) die drastisch erhöhte Anzahl von Sitzungen im Status SYN_RECEIVED überwachen. (vorausgesetzt, dass der Angreifer keine RST als Antwort sendet) der Empfang von dem RST-Paket-Client als Reaktion auf das SYN / ACK. Leider ist es bei einem intelligenten Verhalten eines Angreifers (z. B. Scannen bei niedriger Geschwindigkeit oder Prüfen nur bestimmter Ports) unmöglich, passives Scannen zu erkennen, da es sich nicht von den üblichen Versuchen unterscheidet, eine Verbindung herzustellen. Als Schutz können Sie nur empfehlen, alle Dienste auf der Firewall zu schließen, auf die Sie nicht von außen zugreifen müssen.

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Es ist notwendig, die "Systemaufforderungen" zu entfernen, die von den Zentralrechnern der Fernzugriffsterminals angezeigt werden, um sich am System anzumelden. Diese Anforderung wird durch folgende Gründe verursacht: • "Systemeinladungen" enthalten in der Regel Informationen, die es dem Verletzer ermöglichen, den Typ und die Version des Betriebssystems des Zentralrechners, den Typ der Fernzugriffssoftware usw. zu identifizieren. Solche Informationen können das Eindringen in das System erheblich erleichtern, da der Eindringling dies kann Verwenden Sie illegale Zugriffstools, die die Schwächen eines bestimmten Systems ausnutzen; • "system prompt" gibt normalerweise die Abteilungseigentümerschaft des Systems an. In dem Fall, in dem das System zu einer Geheimagentur oder Finanzstruktur gehört, kann das Interesse des Täters erheblich zunehmen; • In einem kürzlichen Prozess wurde die Klage des Unternehmens gegen eine Person, die illegal in das Netzwerk des Unternehmens eingedrungen war, abgelehnt, da er seine Handlungen mit einer Inschrift auf dem Fernzugriffsterminal zum Zentralcomputer "Willkommen bei ..." motivierte.

Ein paar Tipps für die Netzwerkforschung

• Scannen Sie den Server nach offenen Ports und Diensten. • Versuchen Sie, sich auf dem Server als IUSR_ <Computername mit Bällen> anzumelden. • Versuchen Sie, SAM._ von / REPAIR zu entsperren (Kennwörter von SAM werden mit dem Befehl expand erhalten). • Verzeichnisse / Skripte und / cgi-bin, wie es wahrscheinlich vielen bekannt ist, können Sie in NT alle Dateien aus diesen Verzeichnissen ausführen, daher sollten Sie diese Verzeichnisse schließen. Der Start erfolgt über einen solchen Befehl (falls die ausführbare Datei in / scripts ist) vom Browser - http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte auf folgende Weise erhalten: Programme von / Skripten werden nicht unter der Benutzerverwaltung des Benutzers gestartet, sondern über dasselbe Webkonto, aus dem geschlossen werden kann, dass die Administratorkennwörter leicht mit PWDUMP.exe aus der Registrierung entfernt werden können. • Es sollte daran erinnert werden, dass Programme von / SCRIPTS unter dem Web-Account gestartet werden und nicht unter dem Account des Benutzers, der das Programm gestartet hat. Daher können Sie versuchen, Kennwörter mit PWDUMP.EXE aus der Registrierung zu entschlüsseln. Passwörter werden verschlüsselt. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, Kennwörter mit dem BRUTEFORCE-Programm zu entschlüsseln. • Unter dem Administratorkonto können Sie die Aliase in ftp und http ändern.

Einige andere Möglichkeiten, Informationen zu erhalten

• Suchen Sie mithilfe von whois oder NSLookUp nach alternativen Namen, um herauszufinden, wem das Netzwerk gehört. Merken Sie sich den Bereich der IP-Adressen für das nachfolgende Scannen. • Geh zum nächsten Router und finde etwas heraus. Um den Router zu finden, müssen Sie den Pfad zu einer beliebigen IP-Adresse aus dem erkannten Bereich verfolgen. Der nächste Router wird durch die Antwortzeit bestimmt. • Versuchen Sie, zum Router telnet'om zu gehen. • Führen Sie den IP-Adressbereich-Scanner aus, um die auf dem PC ausgeführten Dienste zu erkennen.

Löcher und Verwaltungsfehler in Windows NT

• Berücksichtigen Sie die Sicherheitsanfälligkeit, die mit einem Fehler bei der Implementierung des Systems verbunden ist. Diese Sicherheitsanfälligkeit führt zu einem Angriff namens GetAdmin . Anfällig ist der NtAddAtom-Systemdienst, der die übergebenen Parameter nicht überprüft und das Bit 0 auf NtGlobalFlag + 2 setzt. Öffnen Sie dazu die Datei ntoskrnl.exe und suchen Sie den Einstiegspunkt in NtAddAtom. Wenn Sie dieses Bit setzen, wird die Debugger-Berechtigungsprüfung in NtOpenProcess und NtOpenThread deaktiviert. Daher hat jeder Benutzer das Recht, jeden Prozess im System zu öffnen. Der Angriff öffnet den Prozess des Winlogon-Prozesses und bettet die DLL ein. Da dieser Dienst über SYSTEM-Privilegien verfügt, kann er der Administratorgruppe einen Benutzer hinzufügen oder ihn aus dieser Gruppe entfernen. Theoretisch sind andere Sicherheitsverletzungen des Systems möglich. • Eine der beliebtesten Methoden zur Eingabe des Systems ist die Auswahl eines Passworts. Um dies zu verhindern, wird normalerweise das Benutzerkonto nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt. Eine nette Ausnahme ist das Administratorkonto. Und wenn er das Recht hat, über das Netzwerk Zugang zum Eingang zu erhalten, öffnet sich eine Lücke für das leise Erraten des Passworts. Aus Gründen des Schutzes wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperrung zu aktivieren, dem Administrator die Anmeldung über das Netzwerk zu verbieten, das Senden von SMB-Paketen über TCP / IP (Ports 137,138,139) zu verhindern und die Protokollierung fehlgeschlagener Einträge festzulegen.

Spamming

Spammer werden nicht nur einen ISP finden, der mit dem Versenden ihres Mail-Mülls beginnt, sondern höchstwahrscheinlich auch ein Unternehmen. Der Internetprovider kann leichter verstehen, was passiert ist, und es ist wahrscheinlich, dass er solche Nachrichten schneller loswerden kann. Periodisch kann Spamming legitime Benutzer aufgrund einer Überlastung des E-Mail-Servers stören. Das Problem ist, dass es nicht so schwierig ist, sich mit einem SMTP-Server zu verbinden. Um dies zu tun, müssen Sie nur 7-8 Befehle kennen, damit der SMTP-Server Ihre Nachrichten verteilen kann. Um dies zu verhindern, können Sie die Adressen eingehender Nachrichten in der Datenbank der registrierten Benutzer des Servers überprüfen. Wenn die Adresse der sendenden Nachricht oder eine der von ihr angeforderten Adressen nicht in der Liste enthalten ist, wird keine E-Mail gesendet.

So schützen Sie das Mail-System vor Spammern

• Wenn Sie die Protokolle nicht lesen, werden die Spammer ungestraft handeln. • Programmieren Sie alle Mailserver Ihres Unternehmens bis auf einen, damit sie nicht auf die Nachrichtenanforderung reagieren. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Behalten Sie alle E-Mail-Server, die Nachrichtenweiterleitungsanforderungen empfangen können, im Abdeckungsbereich ihrer Firewall.

Wie Spammer arbeiten

• Ziel ist ausgewählt - der Spammer wählt nach dem Zufallsprinzip den Domainnamen des Unternehmens aus und errät dann den Hostnamen des SMTP-Servers. Wenn der Server die Mail annimmt, bittet der Spammer ihn, die Nachricht an die Adressliste zu verteilen. • Der Server führt die Anfrage aus, wobei der Eindruck entsteht, dass die Nachrichten die IP-Adresse der Opferfirma verlassen.

IIS Löcher, WWW, FTP

• Der Absender kann seine gefälschte Adresse wie folgt hinterlassen: Der Absender kann sich mit dem SMTP-Port der Maschine verbinden, in deren Auftrag er die Nachricht senden möchte, und den Text der Nachricht eingeben. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der vom Client angegebenen Portadresse herstellen. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst auszugeben. Die Registrierung enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf "0", nicht auf "1" festgelegt ist. • Wenn Sie sich über Telnet mit Port 80 verbinden, wird der Befehl "GET ../ .." führt zum Absturz von IIS und die Meldung "Die Anwendung, exe \ inetinfo.dbg, generiert einen Anwendungsfehler. Die Adresse 'http://www.domain.com/scripts .. \ .. \ scriptname "ermöglicht das Ausführen des angegebenen Skripts. Standardgast oder IUSR_WWW hat Lesezugriff auf alle Dateien in allen Verzeichnissen. So können diese Dateien angesehen, heruntergeladen und gestartet werden. • Die Verzeichnisse \ script \ cgi-bin sollten geschlossen sein. Aus diesen Verzeichnissen können Sie beliebige Dateien direkt aus dem Browserfenster heraus ausführen. • Wenn IIS eine sehr lange URL (4 - 8 KB) hat, hängt der Server und reagiert nicht auf weitere Anforderungen. Das Problem ist, dass die genaue Größe der URL vom jeweiligen Server abhängt. Daher versuchen die Killer-Programme, die mit einigen grundlegenden Abfragen beginnen und die Größe schrittweise erhöhen, diesen kritischen Punkt zu finden, der den Server-Port aufhängt. • Benutzer von Outlook Express 98 müssen mit der Tatsache rechnen, dass dieser Mailer die Verarbeitung, einschließlich Ausführung, von Visual Basic-Skripten ermöglicht, die leicht in der E-Mail versteckt werden können. Ein ähnliches Skript hat vollen Zugriff auf das Dateisystem. Echter Schutz kann nur die Installation einer "Sicherheitsstufe" in Outlook auf "Maximum" werden. • Wenn Sie zulassen, dass HTML-Tags in den Chat-Raum eingegeben werden, wird sich niemand damit befassen, etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht einzufügen. Als Ergebnis werden alle im Chat anwesenden Personen (nicht einmal registriert), ohne es zu wissen, das Skript aufrufen. • Beschränken Sie den Zugriff auf Port 25 nur für einige Benutzer.