Schlumpfangriff – Wikipedia

Posted on by
before-content-x4

Art des Angriffs auf ein Computernetzwerk

 after-content-x4

Das Schlumpfangriff ist ein verteilter Denial-of-Service-Angriff, bei dem eine große Anzahl von ICMP-Paketen (Internet Control Message Protocol) mit der gefälschten Quell-IP des beabsichtigten Opfers unter Verwendung einer IP-Broadcast-Adresse an ein Computernetzwerk gesendet wird. Die meisten Geräte in einem Netzwerk antworten standardmäßig darauf, indem sie eine Antwort an die Quell-IP-Adresse senden. Wenn die Anzahl der Computer im Netzwerk, die diese Pakete empfangen und beantworten, sehr groß ist, wird der Computer des Opfers mit Datenverkehr überflutet. Dies kann den Computer des Opfers bis zu einem Punkt verlangsamen, an dem es unmöglich wird, daran zu arbeiten.

Geschichte[edit]

Der ursprüngliche Schlumpf wurde von Dan Moschuk, auch bekannt als TFreak, geschrieben.[1]

In den späten 1990er Jahren nahmen viele IP-Netzwerke an Schlumpfangriffen teil, wenn sie dazu aufgefordert wurden (dh sie antworteten auf ICMP-Anfragen, die an Broadcast-Adressen gesendet wurden). Der Name stammt von der Idee sehr kleiner, aber zahlreicher Angreifer, die einen viel größeren Gegner überwältigen (siehe Schlümpfe). Heute können Administratoren ein Netzwerk gegen solchen Missbrauch immun machen. Daher sind nur sehr wenige Netzwerke für Schlumpfangriffe anfällig.[2]

Minderung[edit]

Die Lösung ist zweifach:

  1. Konfigurieren Sie einzelne Hosts und Router so, dass sie nicht auf ICMP-Anforderungen oder Broadcasts antworten. oder
  2. Konfigurieren Sie Router so, dass sie keine an Broadcast-Adressen gerichteten Pakete weiterleiten. Bis 1999 mussten Router standardmäßig solche Pakete standardmäßig weiterleiten. Seitdem wurde der Standardstandard geändert, um solche Pakete nicht weiterzuleiten.[3]

Eine andere vorgeschlagene Lösung ist die Netzwerkeingangsfilterung, bei der die angreifenden Pakete auf der Grundlage der gefälschten Quelladresse zurückgewiesen werden.[4]

Schadensbegrenzung auf einem Cisco-Router[edit]

Ein Beispiel für die Konfiguration eines Routers, der keine Pakete an Broadcast-Adressen weiterleitet, für einen Cisco-Router ist:

after-content-x4
Router(config-if)# no ip directed-broadcast[5]

(Dieses Beispiel schützt ein Netzwerk nicht davor, das zu werden Ziel von Schlumpfangriff; es verhindert lediglich das Netzwerk von teilnehmen bei einem Schlumpfangriff.)

EIN Schlumpfverstärker ist ein Computernetzwerk, das sich für Schlumpfangriffe eignet. Schlumpfverstärker verschlechtern die Schwere eines Schlumpfangriffs, da sie so konfiguriert sind, dass sie eine große Anzahl von ICMP-Antworten an das Opfer unter der gefälschten Quell-IP-Adresse generieren.

Fraggle-Angriff[edit]

Ein Fraggle-Angriff ist eine Variante eines Schlumpf-Angriffs, bei dem ein Angreifer eine große Menge UDP-Verkehr an die Ports 7 (Echo) und 19 (CHARGEN) sendet.

Es funktioniert sehr ähnlich wie der Schlumpf-Angriff, da viele Computer im Netzwerk auf diesen Datenverkehr reagieren, indem sie Datenverkehr an die gefälschte Quell-IP des Opfers zurücksenden und ihn mit Datenverkehr überfluten.[6]

Fraggle.c, der Quellcode des Angriffs, wurde ebenfalls von TFreak veröffentlicht.[7]

Siehe auch[edit]

Verweise[edit]

  1. ^ “Tfreak”. Hackepedia. 2013-03-28. Abgerufen 2019-11-13.
  2. ^ Zum Beispiel, netscan.org (Webarchiv) zeigte zum 25. Januar 1999 122.945 defekte Netzwerke, zum 06. Januar 2005 jedoch nur 2.417.
  3. ^ D. Senie, “Ändern der Standardeinstellung für gerichtete Sendungen in Routern”, RFC 2644BCP 34
  4. ^ P. Ferguson und D. Senie, “Network Ingress Filtering: Denial-of-Service-Angriffe mit IP-Quelladressen-Spoofing verhindern”, RFC 2827BCP 38
  5. ^ “Ein Cisco-Leitfaden zur Verteidigung gegen verteilte Denial-of-Service-Angriffe”. Cisco. Abgerufen 2019-09-26.
  6. ^ Hendric, William (23. März 2016). “Fraggle-Angriff”.
  7. ^ Anonym. Höchste Sicherheit, p. 310 bei Google Books

Externe Links[edit]

after-content-x4