DOS Flashcards

You may prefer our related Brainscape-certified flashcards:
1
Q

Wie führt man einen DoS Angriff aus, der die CPU Ressourcen erschöpft?

A
  • Sobald der Service irgendwas mit Crypto / Auth exposed, ist das ein gutes Ziel
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Zu Crypto-Puzzles: Wir genau funktioniert der Algorithmus? Wie könnte man Crypto-Puzzles ausnutzen, um neue Angriffe zu starten?
„Welche Parameter schickt der Server dem Client“
„Was kommt in die Hashfunktion beim Client“

A

Server generiert 2 zufällige Zahlen Ns und X´ und berechnet einen Kryptographischen Hash Wert h = H(Ns , X´) Server sendet Client Ns und k bits von h. Client muss so lange Zahlen durchprobieren bist eine zahl gefunden wurde die zusammen mit Ns gehashed den gesendeten k bits entsprechen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Was gibt es für DoS-Attacken?

A
  • Ausnutzung der IP-Fragmentierung und -Zusammenstellung
  • Missbrauch von ICMP: Smurf-Angriff
  • TCP SYN-Flood-Angriff
  • DDoS
  • Botnetze
  • DRDoS
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

DoS Klassifikation

A

Zerstörung von Ressourcen (Deaktivierung von Diensten)
- Einhacken in Systeme
- Ausnutzung von Implementierungsschwächen wie buffer overflows
- Abweichung von der ordnungsgemäßen Ausführung von Protokollen, z. B. Ausnutzung der Fragmentierung und Wiederzusammensetzung von IP

Erschöpfung der Ressourcen
- Speicherung von (nutzlosen) Zustandsinformationen RAM
- Hohe Traffic-Last (erfordert hohe Gesamt-Bandbreite vom Angreifer)
- Teure Berechnungen (“teure Kryptographie”!)
- Ressourcenreservierungen, die nie genutzt werden (z.B. Bandbreite)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Beispiel für eine Resource Destruction

A

IP-Fragmentierung und -Wiederzusammensetzung ausnutzen
- Senden von IP-Fragmenten an die Broadcast-Adresse 192.168.133.0
- Betriebssysteme, die ihren Ursprung in BSD haben, reagieren oft auf diese Adresse als Broadcast-Adresse
- Um zu antworten, müssen die Pakete erst wieder zusammengesetzt werden
- Wenn ein Angreifer viele Fragmente sendet, ohne jemals ein erstes/letztes Fragment zu senden, wird der Puffer des neu zusammensetzenden Systems überlastet
- Da einige Router BSD-basierte TCP/IP-Stacks verwenden, kann sogar die Netzwerkinfrastruktur auf diese Weise angegriffen werden!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Wie würde man einen Speichererschöpfenden Angriff durchführen oder was gibt es, da für Möglichkeiten ?

A

TCP-Syn Flood z.B.)
Zu TCP SYN Flood: Wie funktiert der Angriff, welche Gegenmaßnahmen gibt es:

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

DDoS, wie kann eine Attacke aussehen (Master - Slave, mit / ohne Reflection … )
Amplification, welche Protokolle sind anfällig

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Frage zum Paper was gibt es noch für andere Protokolle anstelle von TCP / IP die man für solch einen Angriff verwenden könnte, Dann wie könnte man das Absichern ?

A

Antwort war NTP z.B.
also robustes Protokolldesign, keine Zustandsinformationen speichern

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Wie und wozu benutzt man Cookies?

A

Überprüfen Sie vor der Bearbeitung einer neuen Anfrage, ob der “Initiator” Nachrichten empfangen kann, die an die behauptete Quelle der Anfrage gesendet wurden
Nur ein legitimer Client oder ein Angreifer, der das “Cookie” empfangen kann, kann das Cookie an den Server zurücksenden.

  • Natürlich darf ein Angreifer nicht in der Lage sein, den Inhalt eines Cookies zu erraten.

Durch die Überprüfung der Quelle einer Anfrage mit einem Cookie-Austausch wird vermieden, dass erhebliche Rechen- oder Speicherressourcen für eine gefälschte Anfrage aufgewendet werden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Ablauf von Smurf-attack + Detail Fragen

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

DDoS TLS Verbindungsaufbau beschrieben + weitere Detailfragen.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Nutzung von DNS als amplification. Allgemein Beschreibung + welche Informationen werden zwischen Client und Server ausgetauscht, wofür ist jedes Datum gut. Welche parallelen gibts zum Proof of Work in Bitcoin.

A

Gefälschte Abfragen (60 Bytes) können potenziell große Antworten (4KBytes) erzeugen.

  • Offene rekursive Server ausnutzen, um andere DNS-Server zu belasten
  • Ausnutzung offener Server als Reflektoren, um ein Opfer mit Datenverkehr zu überschwemmen (durch Spoofing der Quell-IP-Adresse in der Anfrage)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

DOS Angriffsverläufe genau zu beschreiben. Wofür Pakete werden von wem versandt, warum funktioniert der Angriff ?

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

DOS – Welche Schutzziele, Wie kann man sich schützen, Client Puzzle erklären

A

Verfügbarkeit,

How well did you know this?
1
Not at all
2
3
4
5
Perfectly