Verfasser:mastamorphixx email:mastamorphixx@web.de Dieser Text soll auf eventuelle Sicherheitslücken hinweisen.Ihr seid für das was ihr macht selber verantwortlich. Titel: DoS-Denail of Service In diesem Paper moechte ich euch einen kleinen Einblick in die Funktionsweise von Denail of Service Angriffen (nicht Verfuegbarkeit von Diensten)geben.DoS Attacken sind ein grosses Problem fuer Admins grosser und wichtiger Netzwerke,da DoS Attacken meistens schnell gehen und keine Gelegenheit zu einer gegenreaktion geben. DoS Attacken haben meistens das Ziel,einen bestimmten Dienst oder Host unzugaenglich zu machen. Hauptsaechlich werden schwachstellen in Programmen,Diensten oder Fehlinterpretationen von Protokollen ausgenutzt. Ping Flooding: Der Zielrechner wird mit echo requests so ueberflutet,das er nur damit beschaeftigt ist echo replies zu senden.Der Zielrechner wird ueberlastet,was wiederum zu erheblicher beeintraechtigung fuehren kann,bis hin zum Absturz. SYN Angriffe: Der TCP-Handshake laeuft in 3 Schritten ab.Der erste Schritt besteht darin,das der Client ein SYN (Syncronisationsnachricht) an den Server sendet. Im zweiten Schritt antwortet der Server mit einem ACK (Acknowledgement). Der dritte Schritt besteht darin,das wiederum der Client sein ACK an den Server sendet. Durch diese Technick kann eine Halboffene Verbindung entstehen,zwischen Schritt 2 und 3. Waehrend der Server auf die Bestaetigung in Form eines ACKs von seiten des Clients wartet, ist er offen fuer SYN DoS Attacken,die den Server crashen koennen.Der Angreifer sendet eine so grosse menge SYN Packete an den Server,das dieser keine weiteren TCP Verbindungen aufbauen kann und so schliesslich den Dienst verweigert. IP-Packetfragmentierung: Packete die ueber 1.500bytes gross sind werden Fragmentiert und vom Empfaenger wieder defragmentiert. Packete sind zusammen mit dem header hoechstens 65.535 bytes lang.Jedes Packetfragment enthaellt eine Identifikationsnummer und eine Offset addresse,in der genau definiert ist wo jedes Fragment hinsoll.Dem letzten Packetfragment ist keine Offsetaddresse zugewiesen.Wenn man diesem Fragment denoch eine Offset-Addresse zuweisst,kann man ein Packet erzeugen was die maximalen 65.535bytes Grenze ueberschreitet. Damit wird ein Buffer-Overflow erzeugen. Diese Angriffsvariante wird auch als "Ping of Death" bezeichnet. Dieser Angriff funktioniert nicht nur mit ICMP und Ping, sondern auch mit UDP und TCP. Hinweise fuer Admins: -Nicht benoetigten eingehenden Verkehr ausfiltern. -Informieren Sie sich vor dem Kauf ueber eventuelle Hardware Verwundbarkeiten und ob Patches oder aehnliches vorliegen. -Halten Sie ihr System immer auf dem neusten Stand und besuchen sie regelmaessig Security Portale. -Setzen Sie IDS-Systeme ein. -Sperren Sie die Broadcast-Addressierung -Benutzen Sie Packet-Filter rung -Benutzen Sie Packet-Filter