Wireshark Grundkurs

SYN-Flood-Angriff visualisieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Dieses Video erläutert die Möglichkeit, einen SYN-Flood-Angriff mit Wireshark aufzuzeichnen und mit der passenden Funktion grafisch darzustellen.

Transkript

In diesem Video wollen wir uns ansehen, wie wir mithilfe von Wireshark einem SYN-Flood-Angriff auf die Spur kommen. Und ich habe hier schonmal eine Projektdatei geöffnet. In dieser Projektdatei sind zwei Angriffe aufgezeichnet. Einmal ein HTTP Denial-of-Service-Angriff. Bedeutet, der Angreifer hat mithilfe von HTTP-Abrufen versucht, den Server lahmzulegen. Und danach kommt dann der SYN-Flood-Angriff. Gehen wir zunächst in die Statistiken und lassen uns hier den Flow Graph anzeigen, um zu gucken, wie das Ganze aussieht. Erweitern wir das Ganze mal und scrollen etwas nach unten. Und hier sehen wir also schon, hier läuft gerade der HTTP-Angriff. Ganz klassich, HTTP-Webseitenabrufe ohne Ende. Und damit wird versucht, den Server kleinzukriegen. Und wenn wir jetzt ein Stück weiter runterscrollen, dann fahren wir irgendwann in den SYN-Flood-Angriff rein. Und wie funktioniert der? Eigentlich ziemlich simpel. Es basiert auf dem TCP-Drei-Wege-Handshake. Der Angreifer schickt also sein ganz normales SYN-Flag zum Opfer. Der Server antwortet daraufhin standardgemäß mit SYN, ACK. Und danach bleibt der Angreifer einfach still. Und das macht er natürlich unter Dauerbeschuss. Und das Opfer kann natürlich die Verbindung jetzt nicht gleich schließen, sondern er denkt, dass das abschließende ACK-Paket unter Umständen noch irgendwo auf dem Weg ist und wartet entsprechend. Er muss also die Verbindung offen halten, bis er dann irgendwann in den Timeout läuft und ein Reset schickt. Und genau das macht sich der Angreifer zunutze, indem er also unglaublich viele Verbindungen öffnet und den Server so in die Knie zwingen möchte. Hier kann man das jetzt ganz gut sehen. Allerdings ist es ja so, dass in der Praxis der Angriff unter Umständen in viele weitere Pakete eingebettet ist. Und das versuchen wir, jetzt mal zu visualisieren. Dann schließen wir jetzt hier die Verbindung. Die IP-Adressen, die suche ich jetzt hier nicht mehr raus. Ich weiß schon, um welche es sich handelt. Das ist die 192.168.100.150 und die 151. Gehen wir gleich zum IO Graph. Gut, machen wir das Ganze auch ein bisschen groß. Jetzt sehen wir hier den Datenfluss ganz deutlich. Aber was ist was? Wir wissen natürlich jetzt, dass der zweite Ausschlag hier der SYN-Flood-Angriff ist. Aber wie kriegt man es raus? Dazu gehen wir hier unten in die Unit der Y-Achse und gehen auf "Erweitert". Dann verändert sich das Ganze und wir haben die Möglichkeit, einen erweiterten Filter zu schreiben. Und das wollen wir jetzt gleich mal machen. Dazu gehe ich hier in das erste Feld und gebe ein: ip.addr soll sein zunächst die 192.168.100.150 und der Kommunikationsparter ist die ip addr 192.168.100.5. Wunderbar, kopieren wir uns gleich mal in die Zwischenablage für spätere Verwendung. Als Berechnungsmethode möchte ich gern das Maximum haben. Und jetzt gehen wir auf die Suche, nämlich nach tcp.analysis.ack_rtt. Das steht für round-trip time und ist also die Zeit, die benötigt wird, um das ACK-Paket für das letzte Datenpaket oder eben die Burst-Quittung zu senden. Und diesen Graphen wollen wir jetzt anschalten. Was sehen wir jetzt hier? Dass die round-trip time selbst bei einem HTTP-Angriff, der jetzt ja hier durch die beiden Kommunikationspartner festgelegt ist, so irgendwas bei 100, 140 Millisekunden hier in der Spitze liegt, dass der Webserver also, trotz dass er ziemlich aus der Puste war, quittiert hat. Und jetzt machen wir einen zweiten Filter, um das gegenzuprüfen, und zwar mithilfe unseres IP-Filters. Das ist hier die 151 und das war der SYN-Flood-Angreifer. Und hier machen wir MAX(*) und das kopieren wir auch gleich in die Zwischenablage. Und schalten den Filter ein. Und jetzt sehen wir das Ganze hier in einem völlig anderen Licht. Wir haben also hier unseren HTTP-Angriff mit den 140 Millisekunden. Und hier haben wir den SYN-Flood-Angriff. Der geht also hier in die Spitze rein, weil es eben so lange dauert, um diese Pakete zu quittieren, beziehungsweise die letzte Quittung, die findet gar nicht mehr statt. Und bis dann der Timeout kommt, das treibt die Zeit hier in die Höhe. Und hier können Sie dann sehr gut sehen, dass hier gerade alles auf einen SYN-Flood-Angriff hindeutet. Und jetzt können Sie dann mit den üblichen Methoden nachschauen, ob das wirklich einer ist oder nicht. Und so bietet im Ihnen Wireshark eben auch Mechanismen, um derartigen Angriffen auf die Spur zu kommen.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!