funkjoker

Beim 3-Wege-Handshake werden die Daten, Bestätigungen und Steuersignale über drei getrennte Leitungen übertragen.

Das 3-Wege-Handshake kann aber auch zur wechselseitigen Authentifizierung zwischen Client und Server benutzt werden, so wie beim Chap-Protokoll von Microsoft.

Dem Verfahren nach richtet ein Client eine Anfrage an den Server. Dieser verlangt vom Client dessen Authentifizierung und muss sich selbst gegenüber dem Client authentifizieren um Sicherzustellen, dass er auch über die gewünschten Benutzerdaten verfügt.

Beispiele:

A: Paket Nummer 123456 zu B schicken.
B: OK, hab dein Paket Nummer 123456 bekommen.
A: OK, hab dein OK für mein Paket Nummer 123456 bekommen.
(Verbindung hergestellt.)

Der Aufbau einer Verbindung mit dem Transmission Control Protocol (TCP-Handshake genannt) erfolgt in drei Schritten: zuerst schickt der Host, der eine Verbindung wünscht, ein TCP-Paket an das Zielsystem, in dem das SYN-Bit (Synchronize-Bit) angeschaltet ist. Dieses signalisiert dem Zielsystem, dass ein Verbindungsaufbau erwünscht ist. Das Zielsystem sendet eine Antwort, bei der ebenfalls das SYN-Bit und zusätzlich das ACK-Bit (Acknowledge-Bit) Einverständnis gesetzt ist und signalisiert damit seine Bereitschaft. Der initiierte Host bestätigt mit einem ACK-Bit. Damit steht die Verbindung. Eine Verbindung beenden Sie auf ähnliche Weise: Statt des SYN- wird das FIN-Bit (Finalize-Bit) gesetzt.

Kontrollbit Bedeutung des Paketes

SYN Zeigt an, dass eine Verbindung aufgebaut (synchronisiert) werden soll

ACK Bestätigt den Empfang von Daten

RST Zeigt an, dass der Sender die Verbindung abbauen will (reset)

FIN Signalisiert (bestätigt) das Ende der Verbindung – es folgen keine weiteren Daten

Nachteile für Hacker:

Für Hacker hat diese Vorgehensweise jedoch einen gravierenden Nachteil: Da eine gültige Verbindung zwischen dem für den Scan benutzten Rechner und der Software auf dem Zielsystem hergestellt wird, wird diese Verbindung in den Protokolldateien des Zielsystems erscheinen – der potenzielle Angreifer hinterlässt also höchst verdächtige Spuren.

Aus diesem Grund kommen bei der Informationssammlung durch Hacker meist Tools zum Einsatz, die nicht konform zu TCP sind, aber deren Arbeitsweise dazu dient, ebenfalls Informationen über das Zielsystem zu erhalten.

Half-Open-Scan

Vorteile für Hacker:

Der Hacker kann beliebig viele Ressourcen belegen und somit bleibt die Verbindung bis zum Timeout erhalten.
Da die vorhandenen Dienste offen sind, können diese Dienst angegriffen werden.

Denial of Service

Dienstvereigerung → In der Regel geschieht dies durch Überlastung..
Der Angreifer sendet eine große Anzahl an Anfragen, die der Server nicht verarbeiten kann.

SYN-ACK-Scan

Der Angreifer öffnet die Verbindung und wartet ab, ob der Port geschlossen ist oder ob der Zielrechner offen ist. Sendet der Zielrechner einen Code zurück, antwortet der Angreifer nicht mehr. Die Verbindung bleibt offen und der Angreifer hat alle Dienste offen.

greetz
funkjoker