Denial-of-Service-Angriffe

Zitat: Nun schlägt auch die Firewall an mit folgender Meldung: 24.03.2006 07:33:42 Ihr Computer wurde von Adresse 192.168.178.1 angegriffen. Typ des Angriffs: SYN Flood. Der Angriff wurde erfolgreich abgewehrt.

SynFlood Attacken abwehren

http://www.heise.de/security/artikel/43066
Viele der im Umlauf befindlichen Trojanischen Pferde bieten Funktionen für koordinierte SYN-Flood-Angriffe gegen Server. Die damit infizierten Rechner bilden sogenannte Bot-Netze, die sich jederzeit gegen beliebige Server einsetzen lassen. Wer sich nicht von Skript-Kiddies kalt erwischen lassen will, sollte Vorkehrungen gegen diese Attacken treffen, bevor er zu deren Ziel wird.

Denial-of-Service-Angriffe auf Server zielen darauf ab, legitimen Nutzern den Zugriff auf einen Dienst zu verwehren. Im einfachsten Fall überflutet der Angreifer den Server mit sinnlosen Paketen, um seine Leitung zu überlasten. Ein typisches Beispiel dafür ist ICMP-Flooding. Doch zum einen erfordert das eine große Bandbreite, zum anderen lassen sich die Pakete vergleichsweise einfach schon auf vorgelagerten Systemen ausfiltern. Alternativ kann er versuchen, beispielsweise einen Web-Server so mit Anfragen zuzuschütten, dass normale Anwender nicht mehr zum Zug kommen. Doch auch dafür ist eine große Bandbreite erforderlich und ist die IP-Adresse des Angreifers einmal ermittelt, ist er auch schnell ausgesperrt




Deshalb verlegen sich immer mehr Angreifer auf sogenannte Syn-Flood-Attacken, die nicht darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers selbst blockieren. Dazu verschicken sie sogenannte SYN-Pakete an den TCP-Port des Dienstes, bei einem Web-Server also auf Port 80.

In den meisten Fällen verwendet der Angreifer gefälschte Absenderadressen für seine SYN-Anfragen. Damit bekommt er die Antwortpakete des Servers zwar nicht zu sehen, aber da er ohnehin nicht vorhat, ihren Erhalt zu bestätigen, stört ihn das nicht. Durch geschicktes Verteilen der Adressen kann er ein Filtern der Angriffspakete verhindern. Denn ein vorgeschalteter Router kann die gefälschten Pakete nicht von echten Verbindungswünschen unterscheiden.

Adresse 192.168.178.1 --> Router





Sowohl bei Windows als auch Unix/Linux zeigt netstat (Netzwerk-)Verbindungen und deren Status an. Die oft etwas verwirrende Ausgabe aller Netzwerkaktivitäten (-a) kann man mit -t (Linux) beziehungsweise -p TCP (Windows) auf TCP-Sockets einschränken. Die Option -n unterdrückt zusätzlich die Namensauflösung.

Halboffene Verbindungen zeigt netstat mit dem Status SYN_RECV an (SYN_RECEIVED unter Windows). Diese treten normalerweise nur vereinzelt auf, selbst auf wirklich vielbeschäftigten Servern wie denen von heise online sind selten mehrere Verbindungen gleichzeitig in diesem Zustand. Während einer SYN-Flood-Attacke tauchen hingegen plötzlich hunderte davon auf:


NETSTAT
http://virus-protect.org/internetverbindungen.html

Start --> Ausführen --> die Eingabe von cmd (für ältere Windowsversionen "command").

eingeben: NETSTAT /?



netstat -p oder netstat -pn [Die Option -n unterdrückt zusätzlich die Namensauflösung]

SYN_RCVD (unter Linux) / SYN_RECEIVED (unter Windows) - Ein remote Host hat darum gebeten eine Verbindung zu starten.

Zitat: [HEISE] Halboffene Verbindungen zeigt netstat mit dem Status SYN_RECV an (SYN_RECEIVED unter Windows). Diese treten normalerweise nur vereinzelt auf, selbst auf wirklich vielbeschäftigten Servern wie denen von heise online sind selten mehrere Verbindungen gleichzeitig in diesem Zustand. Während einer SYN-Flood-Attacke tauchen hingegen plötzlich hunderte davon auf

Bild von "Heise" netstat -tn (Prompt unter Linux)




HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Unter Windows (2000, XP, 2003 Server) lässt sich die Zahl der SYN/ACK-Wiederholungen anpassen. Hier steuert das in der Registry unter

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

der Wert des Parameters TcpMaxDataRetransmissions. Zum Härten des Systems empfiehlt Microsoft ihn auf 2
(DWORD) zu setzen, was für die Backlog-Queue einen Timeout von 21 Sekunden zur Folge hat.

Außerdem verfügt Windows über einen Mechanismus, SYN-Flood-Angriffe selbstständig zu erkennen und darauf zu reagieren. Diesen aktiviert der Parameter SynAttackProtect die Werte von TcpMaxHalfOpen und TcpMaxHalfOpenRetried spezifizieren die Grenzwerte, bei deren Erreichen das System die Schutzmechanismen aktiviert.

Steht SynAttackProtect auf 1, setzt Windows die Zahl der Retransmission herab und verzögert laut Microsoft das Anlegen von Einträgen im Routing-Cache.

Der empfohlene Wert von 2 sorgt zusätzlich dafür, dass Windows erst nach einem vollzogenen Drei-Wege-Handshake das Winsock-Subsystem über die ankommende Verbindung benachrichtigt. Das Verhalten des Systems im Normalbetrieb ändert sich durch SynAttackProtect nicht.

Von Microsoft zum Schutz vor SYN-Flooding vorgeschlagene Werte
(unter HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters)

von Heise



Winsock-Treiber afd.sys

HKLM\System\CurrentControlSet\Services\AFD\Parameters

Windows-Applikationen rufen zur Netzwerkkommunikation die Windows Socket API auf (Winsock). Auf Kernel-Ebene implementiert deren Funktionen der Treiber afd.sys. Auch er lässt sich über spezielle Registry-Parameter anpassen und insbesondere eine dynamisch wachsende Backlog-Queue aktivieren.

Von Microsoft vorgeschlagene Parameter für den Winsock-Treiber afd.sys
HKLM\System\CurrentControlSet\Services\AFD\Parameters

von Heise


Port-Explorer

http://virus-protect.org/artikel/tools/portexplorer.html

TcpView

http://virus-protect.org/artikel/tools/tcpview.html