Zum Inhalt springen

Network-Intrusion-Detection-System IDS

Network Intrusion Detection Systems (IDS)
Wer einen Server administriert hat im Laufe der Zeit mit angriffen zu rechnen. Wer IRC-Dienste bereitstellt wird statistisch gesehen schon angegriffen, bevor er ein erfolgreichen Dienst aufbauen konnte.

DDOS-Angriffe sind an der Tagesordnung.
Dank vieler SicherheitsBugs im Internet Explorer und in den Betriebsystemen ist es leider ein leichtes, ein komplettes DDOS-Netzwerk aufzubauen und zu administrieren.
Die Zahl der unter 15 jährigen, mit einem beachtlichen DDOS-Netzwerk darf man sicher nicht unterschätzen.
Leider fehlt den meisten das Verständnis für diese „Macht“.

 Als Serverbetreiber und somit als Opfer hat man in erster Linie die Schäden.
Um gegen diese Aggressoren angehen zu können benötigt man in erster Linie detaillierte Informationen über die Angriffe.
Also woher sie kommen, welches Protokoll benutz wurde, wie hoch der Schaden ist, ect.

Hier kommen die Network Intrusion Systems (IDS, NIDS) zum Einsatz.
Ein gutes ID-System erkennt einen solchen Angriff und versucht diesen in erster Linie zu verhindern bzw zu vermindern.

So können gefakte Syn-Floods teilweise gefiltert werden.

 

SynFloods werden gerade im IRC benutzt, um die Eingangsports der IRCDs zu blocken.
Zur Erklärung, bei einer SynFlood-Attacke wird der Server mit übermäßig vielen SynAnfragen gefloodet.
Im Normalfall bekommt der Server ein TCP-Syn-Paket geschickt und auf dieses Antwortet er mit einem TCP-SYN/ACK-Paket.
Bevor der erhalt des Pakets vom Klienten bestätigt wurde, wird der jeweilige Prozess in die so genannte Pending Connections-Tabelle
eintragen.
Diese wird bei einem übermäßigen Angriff bis zu ihren Grenzen gefüllt und das hat zur Folge, das der Rechner/Server auch „korrekte“ Anfragen abweist bzw nicht beantworten kann.
Der Server ist dann über nicht mehr erreichbar bzw teilerreichbar.
Standardziel ist der Port 6667, weil er von den meisten IRCern benutzt wird.

Zudem haben die meisten Network Intrusion Systeme eine umfangreiche Logging-Funktion, die es dem Administrator/Staatsanwalt erlaubt eine umfangreiche Analyse des Angriffs zu starten.
NISysteme arbeiten übers ständige „mithören“ und dem analysieren der empfangenen Daten durch kryptografische Prüfsummen.

Hier zeichnet sich auch der Unterschied zwischen guten und schlechten IDS ab.
Ein gutes IDS fertigt in erster Linie sehr gute LogFiles an.
Zudem ist es eine wichtige Aufgabe den Admin schnell und sicher zu unterrichten.
Auch die Analyse an sich ist hier teilweise unterschiedlich.
Einige NIDSysteme haben überprüfen nur die eingehenden Ströme nach einer gewissen Signatur.
Gute Systeme bieten Updatefähigkeiten dieser Signaturen an, damit man immer auf dem neusten Stand ist.
Diese Signaturen können auf gewisse Muster eingestellt sein, IPRanges- Ports, Protokolle (tcp, icmp,udp…).
Einige gute Firewalls beinhalten ebefalls ID-Systeme, da sie immer mehr an Bedeutung gewinnen.

Eines dieser guten und bekannten Network Intrusion – Systeme ist zum Beispiel Snort !

Weiterführende internen Links
Snort