DOS Flashcards
Wie führt man einen DoS Angriff aus, der die CPU Ressourcen erschöpft?
- Sobald der Service irgendwas mit Crypto / Auth exposed, ist das ein gutes Ziel
Zu Crypto-Puzzles: Wir genau funktioniert der Algorithmus? Wie könnte man Crypto-Puzzles ausnutzen, um neue Angriffe zu starten?
„Welche Parameter schickt der Server dem Client“
„Was kommt in die Hashfunktion beim Client“
Server generiert 2 zufällige Zahlen Ns und X´ und berechnet einen Kryptographischen Hash Wert h = H(Ns , X´) Server sendet Client Ns und k bits von h. Client muss so lange Zahlen durchprobieren bist eine zahl gefunden wurde die zusammen mit Ns gehashed den gesendeten k bits entsprechen
Was gibt es für DoS-Attacken?
- Ausnutzung der IP-Fragmentierung und -Zusammenstellung
- Missbrauch von ICMP: Smurf-Angriff
- TCP SYN-Flood-Angriff
- DDoS
- Botnetze
- DRDoS
DoS Klassifikation
Zerstörung von Ressourcen (Deaktivierung von Diensten)
- Einhacken in Systeme
- Ausnutzung von Implementierungsschwächen wie buffer overflows
- Abweichung von der ordnungsgemäßen Ausführung von Protokollen, z. B. Ausnutzung der Fragmentierung und Wiederzusammensetzung von IP
Erschöpfung der Ressourcen
- Speicherung von (nutzlosen) Zustandsinformationen RAM
- Hohe Traffic-Last (erfordert hohe Gesamt-Bandbreite vom Angreifer)
- Teure Berechnungen (“teure Kryptographie”!)
- Ressourcenreservierungen, die nie genutzt werden (z.B. Bandbreite)
Beispiel für eine Resource Destruction
IP-Fragmentierung und -Wiederzusammensetzung ausnutzen
- Senden von IP-Fragmenten an die Broadcast-Adresse 192.168.133.0
- Betriebssysteme, die ihren Ursprung in BSD haben, reagieren oft auf diese Adresse als Broadcast-Adresse
- Um zu antworten, müssen die Pakete erst wieder zusammengesetzt werden
- Wenn ein Angreifer viele Fragmente sendet, ohne jemals ein erstes/letztes Fragment zu senden, wird der Puffer des neu zusammensetzenden Systems überlastet
- Da einige Router BSD-basierte TCP/IP-Stacks verwenden, kann sogar die Netzwerkinfrastruktur auf diese Weise angegriffen werden!
Wie würde man einen Speichererschöpfenden Angriff durchführen oder was gibt es, da für Möglichkeiten ?
TCP-Syn Flood z.B.)
Zu TCP SYN Flood: Wie funktiert der Angriff, welche Gegenmaßnahmen gibt es:
DDoS, wie kann eine Attacke aussehen (Master - Slave, mit / ohne Reflection … )
Amplification, welche Protokolle sind anfällig
Frage zum Paper was gibt es noch für andere Protokolle anstelle von TCP / IP die man für solch einen Angriff verwenden könnte, Dann wie könnte man das Absichern ?
Antwort war NTP z.B.
also robustes Protokolldesign, keine Zustandsinformationen speichern
Wie und wozu benutzt man Cookies?
Überprüfen Sie vor der Bearbeitung einer neuen Anfrage, ob der “Initiator” Nachrichten empfangen kann, die an die behauptete Quelle der Anfrage gesendet wurden
Nur ein legitimer Client oder ein Angreifer, der das “Cookie” empfangen kann, kann das Cookie an den Server zurücksenden.
- Natürlich darf ein Angreifer nicht in der Lage sein, den Inhalt eines Cookies zu erraten.
Durch die Überprüfung der Quelle einer Anfrage mit einem Cookie-Austausch wird vermieden, dass erhebliche Rechen- oder Speicherressourcen für eine gefälschte Anfrage aufgewendet werden.
Ablauf von Smurf-attack + Detail Fragen
DDoS TLS Verbindungsaufbau beschrieben + weitere Detailfragen.
Nutzung von DNS als amplification. Allgemein Beschreibung + welche Informationen werden zwischen Client und Server ausgetauscht, wofür ist jedes Datum gut. Welche parallelen gibts zum Proof of Work in Bitcoin.
Gefälschte Abfragen (60 Bytes) können potenziell große Antworten (4KBytes) erzeugen.
- Offene rekursive Server ausnutzen, um andere DNS-Server zu belasten
- Ausnutzung offener Server als Reflektoren, um ein Opfer mit Datenverkehr zu überschwemmen (durch Spoofing der Quell-IP-Adresse in der Anfrage)
DOS Angriffsverläufe genau zu beschreiben. Wofür Pakete werden von wem versandt, warum funktioniert der Angriff ?
DOS – Welche Schutzziele, Wie kann man sich schützen, Client Puzzle erklären
Verfügbarkeit,
