Home
Über uns
Security-Shop
Security-Board
Security-Ticker
Impressum
Link us
Startseite
Gewinnspiel

Firewall
Firefox
IPTables
eMail-Verschlüsselung

grSecurity

ID-Systeme
Snort
BlackICE Def.

Malware
Viren
Würmer
Trojaner
Hoaxes
IRC-Backdoors
Virenscanner
Test Virus
VirenHistory
Removal Tools
eMail-Security

Kryptologie
Kryptographie
Kryptoanalyse
Steganographie
CrypTool

Viren-Scanner
Port-Scanner
Port-Scan
Proxy Scanner

Windows Privatanwender

a-squared
GFI-LANGuard
IzeMail
CrypTool

WildList
Trojaner
Adware
Würmer
Malware*

BND
BSI
BSIfB
CERT

Info

Pf-LUG
IT-Berater Wasmund


IRC-Mania.de
Linux.regionnet
IRC-Promition.de
Schnellie.com
Gewicht abnehmen


google.de
Dmoz.org

Rapidi.de


Network Intrusion Detection Systems (IDS)

Wer einen Server administriert hat im Laufe der Zeit mit angriffen zu rechnen. Wer IRC-Dienste bereitstellt wird statistisch gesehen schon angegriffen, bevor er ein erfolgreichen Dienst aufbauen konnte.

DDOS-Angriffe sind an der Tagesordnung.
Dank vieler SicherheitsBugs im Internet Explorer und in den Betriebsystemen ist es leider ein leichtes, ein komplettes DDOS-Netzwerk aufzubauen und zu administrieren.
Die Zahl der unter 15 jährigen, mit einem beachtlichen DDOS-Netzwerk darf man sicher nicht unterschätzen.
Leider fehlt den meisten das Verständnis für diese "Macht".

 

Als Serverbesitzer und somit als Opfer hat man in erster Linie die Schäden.
Um gegen diese Aggressoren angehen zu können benötigt man in erster Linie detaillierte Informationen über die Angriffe.
Also woher sie kommen, welches Protokoll benutz wurde, wie hoch der Schaden ist, ect.

Hier kommen die Network Intrusion Systems (IDS, NIDS) zum Einsatz.
Ein gutes ID-System erkennt einen solchen Angriff und versucht diesen in erster Linie zu verhindern bzw zu vermindern.

So können gefakte Syn-Floods teilweise gefiltert werden.

 

SynFloods werden gerade im IRC benutzt, um die Eingangsports der IRCDs zu blocken.
Zur Erklärung, bei einer SynFlood-Attacke wird der Server mit übermäßig vielen SynAnfragen gefloodet.
Im Normalfall bekommt der Server ein TCP-Syn-Paket geschickt und auf dieses Antwortet er mit einem TCP-SYN/ACK-Paket.
Bevor der erhalt des Pakets vom Klienten bestätigt wurde, wird der jeweilige Prozess in die so genannte Pending Connections-Tabelle
eintragen.

Diese wird bei einem übermäßigen Angriff bis zu ihren Grenzen gefüllt und das hat zur Folge, das der Rechner/Server auch "korrekte" Anfragen abweist bzw nicht beantworten kann.
Der Server ist dann über nicht mehr erreichbar bzw teilerreichbar.
Standardziel ist der Port 6667, weil er von den meisten IRCern benutzt wird.

Zudem haben die meisten Network Intrusion Systeme eine umfangreiche Logging-Funktion, die es dem Administrator/Staatsanwalt erlaubt eine umfangreiche Analyse des Angriffs zu starten.

NISysteme arbeiten übers ständige "mithören" und dem analysieren der empfangenen Daten durch kryptografische Prüfsummen.

Hier zeichnet sich auch der Unterschied zwischen guten und schlechten IDS ab.
Ein gutes IDS fertigt in erster Linie sehr gute LogFiles an.
Zudem ist es eine wichtige Aufgabe den Admin schnell und sicher zu unterrichten.

Auch die Analyse an sich ist hier teilweise unterschiedlich.
Einige NIDSysteme haben überprüfen nur die eingehenden Ströme nach einer gewissen Signatur.

Gute Systeme bieten Updatefähigkeiten dieser Signaturen an, damit man immer auf dem neusten Stand ist.

Diese Signaturen können auf gewisse Muster eingestellt sein, IPRanges- Ports, Protokolle (tcp, icmp,udp...).

Einige gute Firewalls beinhalten ebefalls ID-Systeme, da sie immer mehr an Bedeutung gewinnen.


Eines dieser guten und bekannten Network Intrusion - Systeme ist zum Beispiel Snort !

Weiterführende internen Links
Snort

Weitereführende externen Links


 


IRC-Security-Team

 

 

 

 

Network Intrusion Detection System

Diese Seite wurde in 0.0131 Sekunden erstellt.


 

Werbung