Analyse eines Angriffs (Teil 3)
In Teil 2 dieser Serie haben wir alle notwendigen Informationen hinterlassen, die für einen Angriff auf das Netzwerk des Opfers erforderlich sind.
Analyse eines Angriffs (Teil 1)
Don Parker
Diese Serie befasst sich mit einer Netzwerkschwachstelle. Der Artikel stellt einen realen Angriff vor, der von der Aufklärung über die Aufzählung und Ausnutzung von Netzwerkdiensten bis hin zu Strategien zur Benachrichtigungsausnutzung reicht.
Alle diese Schritte werden auf Paketebene betrachtet und anschließend detailliert erläutert. Die Fähigkeit, einen Angriff auf Paketebene zu erkennen und zu verstehen, ist sowohl für Systemadministratoren als auch für Netzwerksicherheitspersonal äußerst wichtig. Die Ergebnisse von Firewalls, Intrusion Detection Systems (IDS) und anderen Sicherheitsgeräten werden stets verwendet, um den tatsächlichen Netzwerkverkehr zu erkennen. Wenn Sie nicht verstehen, was Sie auf Paketebene sehen, ist Ihre gesamte Netzwerksicherheitstechnologie nutzlos.
Die zur Simulation eines Cyberangriffs verwendeten Tools sind:
-
IPEye
-
TFTP-Client
-
FU-Rootkit
Einrichtungsschritt:
Heutzutage gibt es im Internet zahlreiche Scanvorgänge, ganz zu schweigen von Würmern und anderen Formen von Schadsoftware wie Viren. All dies ist für ein gut geschütztes Computernetzwerk harmlos. Wir sollten uns vorstellen, dass jemand gezielt ein Computernetzwerk angreift. Dieser Artikel geht davon aus, dass der Angreifer sein Opfer bereits angegriffen und zuvor Nachforschungen angestellt hat, beispielsweise die IP-Adresse und die Netzwerkadressen des Opfers ermittelt hat. Der Angreifer könnte auch versucht haben, Informationen wie E-Mail-Adressen des Netzwerks auszunutzen. Diese Informationen sind sehr wichtig, falls der Angreifer das Netzwerk zwar gefunden hat, aber nach dem Scannen, Auflisten und Spoofing nicht mehr in das Netzwerk gelangen kann. Die gesammelten E-Mail-Adressen sind nützlich für einen clientseitigen Angriff, bei dem er versucht, den Benutzer über einen Link in einer E-Mail auf eine schädliche Website einzuladen. Diese Angriffsarten werden in späteren Artikeln behandelt.
Funktionsweise:
Wir sollten die Aktionen eines Hackers beobachten, während er das Netzwerk des Opfers scannt und auflistet. Das erste Tool, das der Hacker verwendet, ist Nmap. Obwohl Nmap nur wenige IDS-Signaturen hat, ist es dennoch ein sehr nützliches und weit verbreitetes Tool.
Anhand der Syntax im obigen Screenshot lässt sich erkennen, dass der Hacker die Ports 21 und 80 gewählt hat, da er über Exploits verfügt, die über das Metasploit Framework ausgenutzt werden können. Darüber hinaus beherrscht er die beiden Systemdienste und Protokolle gut. Es ist deutlich zu erkennen, dass er einen SYN-Scan verwendet, die am häufigsten verwendete Art von Port-Scan. Dies liegt auch daran, dass ein TCP-Dienst, der einen Port überwacht, ein SYN-Paket empfängt und ein SYN/ACK-Paket zurücksendet. Das SYN/ACK-Paket zeigt an, dass ein Dienst tatsächlich lauscht und auf eine Verbindung wartet. Dieses Problem besteht jedoch nicht bei UDP, das auf Dienste wie DNS angewiesen ist (DNS nutzt zwar ebenfalls TCP, aber für die meisten Transaktionen UDP).
Die unten aufgeführte Syntax ist die Ausgabe, die Nmap aus den gesendeten Paketen, genauer gesagt aus den Paketen, die es als Ergebnis des durchgeführten SYN-Scans empfängt, sammelt. Wir sehen, dass offenbar FTP- und HTTP-Dienste bereitgestellt werden. Die MAC-Adresse ist uns eigentlich egal, deshalb ignorieren wir sie. Tools wie Nmap weisen selten Fehler auf, deshalb ist es normalerweise gut, Ihre Informationen auf Paketebene zu überprüfen, um deren Richtigkeit sicherzustellen. Darüber hinaus können Sie sich die vom Opfernetzwerk zurückkommenden Pakete ansehen und daraus Informationen zu Architektur, Dienst und Host gewinnen.
Pakete
suchen
Heutzutage gibt es zahlreiche Programme, die sich in den Paketen umsehen und Informationen wie den Betriebssystemtyp, Architekturinformationen wie x86 oder SPARC und mehr herausfinden. Das ist nicht genug, aber wichtig, wenn wir erwägen, ein Programm die Arbeit für uns erledigen zu lassen. In diesem Sinne werfen wir einen Blick auf die Nmap-Paketverfolgung und finden einige Informationen über das Opfernetzwerk heraus.
10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............Die beiden obigen Pakete zeigen die offene Sequenz von Nmap. Sie sendet eine ICMP-Echo-Anfrage an das betroffene Netzwerk. Sie werden feststellen, dass diese keine Portnummer enthält, da ICMP keine Ports verwendet, sondern vom im TCP/IP-Protokollstapel integrierten ICMP-Fehlermeldungsgenerator verwaltet wird. Dieses ICMP-Paket ist außerdem mit einer eindeutigen Nummer, in diesem Fall 38214, gekennzeichnet, damit der TCP/IP-Stack den Rückverkehr untersuchen und dem vorherigen ICMP-Paket zuordnen kann. Das Paket direkt darüber ist die Antwort des betroffenen Netzwerks in Form einer ICMP-Echo-Antwort. Die Sequenznummer 38214 wird ebenfalls berücksichtigt. So erkennt der Hacker, dass sich hinter dieser IP-Adresse ein Computer oder Netzwerk verbirgt.
Diese offene Sequenz von ICMP-Paketen ist der Grund für die IDS-Notation in Nmap. Die ICMP-Hosterkennung kann in Nmap bei Bedarf deaktiviert werden. Welche Informationen lassen sich aus dem ICMP-Echo-Antwort-Paket des betroffenen Netzwerks gewinnen? Es gibt hier nicht viele Informationen, die uns helfen, das Netzwerk zu verstehen. Vorläufige Angriffe können jedoch auch in betriebssystembezogenen Bereichen eingesetzt werden. Das Feld „Time to Residency“ und der daneben stehende Wert sind im obigen Paket hervorgehoben. Der Wert 128 weist darauf hin, dass es sich bei diesem Computer wahrscheinlich um einen Windows-Computer handelt. Der TTL-Wert verrät zwar nicht genau, was mit dem Betriebssystem zusammenhängt, bildet aber die Grundlage für das nächste Paket, das wir uns ansehen werden.
Fazit:
In diesem ersten Teil haben wir uns den Scan eines Netzwerks im Rahmen eines Angriffs auf zwei bestimmte Ports mit Nmap angesehen. Zu diesem Zeitpunkt weiß der Angreifer mit Sicherheit, dass sich unter dieser IP-Adresse ein Computer oder ein Computernetzwerk befindet. In Teil 2 dieser Serie werden wir unsere Untersuchung der Paketspur fortsetzen und herausfinden, welche weiteren Informationen wir gewinnen können.
Analyse eines Angriffs (Teil 2)
Analyse eines Angriffs (Teil 3)
Analyse eines Angriffs (Teil 2)
Im ersten Teil haben wir Ihnen gezeigt, welche Informationen Sie beim Öffnen der von Nmap gesendeten Paketsequenz beobachten können. Die gesendete Sequenz beginnt mit einer ICMP-Echoantwort, um festzustellen, ob dem Computer oder Netzwerk eine IP-Adresse zugewiesen wurde.
So verwenden Sie Gemini AI als virtuellen Assistent auf Android anstelle von Google Assistant
Android-Benutzer können jetzt Gemini anstelle von Google Assistant verwenden, um erweiterte Funktionen des virtuellen Assistenten Gemini zu nutzen.
So chatten Sie mit Google Gemini mithilfe von Bildern
Mit Gemini können Sie jetzt mit Bildern chatten und Informationen aus Bildern auf Gemini suchen. Gemini analysiert das hochgeladene Bild und liefert Ihnen die gewünschten Informationen.
So bearbeiten Sie Bilder auf Copilot AI
Benutzer können diese Bilder jetzt direkt in Copilot bearbeiten, ohne zusätzliche Bildbearbeitungssoftware verwenden zu müssen.
Anleitung zum Entfernen der Tabellenformatierung in Excel
Wenn Sie eine Excel-Datei aus dem Internet herunterladen, entspricht das Tabellenformat möglicherweise nicht Ihren Anforderungen zur Datentabellenerstellung. In diesem Fall können Sie das Tabellenformat in Excel entfernen.
5 Möglichkeiten zur Behebung des Apple Watch-Kopplungsfehlers
Obwohl die Apple Watch eine großartige Möglichkeit ist, Ihre tägliche Fitness zu verfolgen, Nachrichten zu senden und mehr, was passiert, wenn sich Ihre Apple Watch nicht koppeln lässt?
So überprüfen Sie gelöschte Benachrichtigungen auf Samsung
In der neuen Version One UI 3.0 auf Samsung können Benutzer viele weitere interessante und attraktive Funktionen nutzen, beispielsweise die Überprüfung gelöschter Benachrichtigungen in der Samsung-Statusleiste.
Wie viele Personen können gleichzeitig ein Netflix-Konto nutzen?
Da Netflix auf allen Geräten, einschließlich Telefonen, Tablets, Spielekonsolen und Streaming-Geräten, problemlos zugänglich ist, fragen Sie sich möglicherweise, wie viele Personen gleichzeitig mit demselben Konto Netflix ansehen können.
Möglichkeiten zum Zentrieren von Zellen in einer Tabelle in Word
Das Zentrieren von Zellen in Word beim Arbeiten mit Tabellen ist ein Vorgang, der durchgeführt werden muss, um den Text in jeder Zelle gemäß den Vorschriften neu zu formatieren und eine Word-Tabelle mit einem schöneren und übersichtlicheren Layout zu erstellen.
Warum ist der Unterschied zwischen natürlich getrockneter und maschinell getrockneter Kleidung groß?
Warum sind Kleidungsstücke und Handtücher im Trockner weich und geschmeidig, fühlen sich aber beim Trocknen aufgehängt oft kratzig oder rau an?
Warum verwendet die NASA ein Gerät mit 36 Pixeln zur Überwachung des Universums?
Die Satelliten der NASA verwenden ein Bildgebungstool namens Resolve, das über einen Sensor mit nur 36 Pixeln verfügt.
Fehler „Verbindung zum iTunes Store nicht möglich“ – So beheben Sie das Problem
Wenn Sie den App Store auf dem iPhone, iPad oder Mac öffnen, um Anwendungen oder Spiele herunterzuladen, wird die Fehlermeldung „Verbindung zum iTunes Store nicht möglich“ angezeigt. Hier ist die Lösung.
Hyper Light Breaker PC-Konfiguration
Wenn Ihr Computer die Mindestanforderungen zum Ausführen von Hyper Light Breaker nicht erfüllt, kann es zu Leistungsproblemen kommen oder Sie können das Spiel nicht starten.
Dude Theft Wars Cheatcode-Sammlung und wie man den Dude Theft Wars Cheat eingibt
Wenn Sie ein Fan des GTA-Spiels sind, sollten Sie Dude Theft Wars nicht verpassen. Entdecken Sie mit Quantrimang das Geschenkcode-Set dieses Spiels.
Seltsame menschliche Fähigkeiten, die nur 10 % der Bevölkerung besitzen
Gibt es wirklich einen Menschen auf der Welt, der mit den Ohren wackeln oder eine Augenbraue hochziehen kann? Lasst uns gemeinsam herausfinden, welche seltsamen Fähigkeiten nur wenige Menschen auf der Welt besitzen! Nur wenige Menschen auf der Welt können das.
Wer hat Karaoke erfunden?
Wer Karaoke erfunden hat, ist eine Frage, die viele Menschen interessiert. Wenn Sie einer von ihnen sind, lassen Sie es uns gemeinsam herausfinden!