DE102005050584B4 - Method for determining unwanted access to a data packet - Google Patents
Method for determining unwanted access to a data packet Download PDFInfo
- Publication number
- DE102005050584B4 DE102005050584B4 DE200510050584 DE102005050584A DE102005050584B4 DE 102005050584 B4 DE102005050584 B4 DE 102005050584B4 DE 200510050584 DE200510050584 DE 200510050584 DE 102005050584 A DE102005050584 A DE 102005050584A DE 102005050584 B4 DE102005050584 B4 DE 102005050584B4
- Authority
- DE
- Germany
- Prior art keywords
- data packet
- node
- parameter
- control table
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Verfahren
zum Ermitteln eines unerwünschten
Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs,
bei einer Übertragung
des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt
in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt
und den Empfänger-Knotenpunkt umfassenden
Knotenpunkten, wobei das Verfahren die folgenden Verfahrensschritte
umfaßt:
a)
Auslesen von Header-Informationen des Datenpaketes;
b) Ermitteln
mindestens eines Parameters aus den ausgelesenen Header-Informationen
des Datenpakets;
c) Vergleichen des mindestens einen ermittelten
Parameters mit Eintragungen des Sender-Knotenpunktes des Datenpakets
in einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten
Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist;
und
d) Feststellen eines unerwünschten Zugriffs auf das Datenpaket,
wenn der mindestens eine ermittelte Parameter mit dem entsprechenden
mindestens einen Referenzparameter des Sender-Knotenpunktes des
Datenpakets in der Kontrolltabelle nicht übereinstimmt.
Wenn ein
unerwünschter
Zugriff auf das Datenpaket festgestellt wurde:
e) Vergleichen
von mindestens einem weiteren ermittelten Parameter mit den Eintragungen
in der Kontrolltabelle;...A method for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the Receiver node comprising nodes, the method comprising the following method steps:
a) reading header information of the data packet;
b) determining at least one parameter from the read-out header information of the data packet;
c) comparing the at least one determined parameter with entries of the transmitter node of the data packet in a control table in which at least one reference parameter is stored for each node of the packet-based network; and
d) detecting an unwanted access to the data packet if the at least one determined parameter does not match the corresponding at least one reference parameter of the sender node of the data packet in the control table.
If an unwanted access to the data packet has been detected:
e) comparing at least one further determined parameter with the entries in the control table; ...
Description
Die Erfindung liegt auf dem Gebiet von Verfahren und Vorrichtungen zum Ermitteln von unerwünschten Zugriffen auf Daten in Datennetzwerken.The The invention is in the field of methods and apparatus for Detecting unwanted Access to data in data networks.
Stand der TechnikState of the art
Um Daten in einem Datennetzwerk auszuspionieren, bedienen sich Angreifer unterschiedlicher Angriffs-Techniken. Eine dieser Angriffs-Techniken, welche sehr häufig angewendet wird, wird als Man-In-The-Middle-Angriff (MitM-Angriff) bezeichnet. Man-In-The-Middle- Angriffe werden von Angreifern genutzt, um in dem Datennetzwerk auf Daten zuzugreifen, zu denen sie eigentlich keinen Zugriff hätten. Bei derartigen Angriffen wird der Weg der Daten im Datennetzwerk so manipuliert, daß er über die Position des Angreifers im Datennetzwerk führt. Anders ausgedrückt: Der Angreifer wird im Datennetzwerk zwischen Sender und Empfänger positioniert. Diese Position wird MitM-Position genannt.Around To spy on data in a data network, attackers use different attack techniques. One of these attack techniques which very often is applied as a man-in-the-middle attack (MitM attack) designated. Man-in-the-middle attacks are used by attackers to access data in the data network access to which they would not have access. at such attacks, the way the data in the data network so he manipulates that over the Position of the attacker in the data network leads. In other words: the An attacker is positioned on the data network between sender and receiver. This position is called MitM position.
Angriffstechniken, um die MitM-Position zu erlangen sind beispielsweise MAC- und ARP-Spoofing, ICMP-Redirects, DHCP-Starvation sowie Spanning-Tree- oder VLAN-Attacken.Attack techniques, MAC and ARP spoofing, ICMP redirects, for example, to obtain the MitM position, DHCP starvation and spanning tree or VLAN attacks.
Sicherheitssysteme, welche sich bislang mit dieser Thematik beschäftigen, arbeiten mit Angriffsmuster-Erkennungen. Das bedeutet, daß diese Sicherheitssysteme an Stellen im Netzwerk plaziert werden, die am Entstehungsort diverser Angriffspakete sind, die vom Angreifer in das Netzwerk geschickt werden, um die MitM-Position zu erlangen. Beispiele für Stellen, an denen MitM-Angriffe von gegenwärtig vorhandenen Sicherheitssystemen, wie beispielsweise Network-Intrusion-Detection-Systems (NIDS) aufgespürt werden, sind Switches, Hubs, WLAN-Zugangsknoten, Router und ähnliche aktive Netzwerkkomponenten, die eine Funktion zur Überwachung des aktuellen Datenstroms bieten. Dies ist sehr kostspielig, da die genannten aktiven Netzwerkkomponenten mit den Sicherheitssystemen nachgerüstet werden müssen, um einen Angriff zu erkennen.Security systems Those who have dealt with this topic so far work with attack pattern recognition. That means that this Security systems are placed in places on the network that are located at Origin of various attack packages are those of the attacker in the network will be sent to get the MitM position. Examples for jobs, MitM attacks from currently existing security systems, such as Network Intrusion Detection Systems (NIDS), are switches, hubs, wi-fi access nodes, routers and the like active network components that have a monitoring function of the current data stream. This is very expensive because the mentioned active network components with the security systems retrofitted Need to become, to detect an attack.
Die Angriffsmuster-Erkennungen basieren beispielsweise auf dem Vergleichen eines aktuellen Datenpaketes mit in einer Datenbank abgelegten Signaturen, die bekannte Angriffe identifizieren. Stimmt das aktuelle Datenpaket mit einer Signatur aus der Datenbank überein, wird ein Angriff gemeldet.The Attack pattern detections are based on, for example, comparison a current data package with signatures stored in a database, identify the known attacks. Fits the current data packet with a signature from the database, an attack is reported.
Ein Sicherheitssystem, welches auf Angriffsmuster-Erkennung basiert, hat weiterhin den Nachteil, daß für jede einzelne dieser Angriffs-Techniken in einer Datenbank eine Art Kontrolldatensatz mit einer Signatur vorhanden sein muß, die es dem Sicherheitssystem erlaubt, den Angriff zu erkennen. Die Datenbank müßte zudem regelmäßig aktualisiert werden, um die neuesten Signaturen für Angriffe zu enthalten.One Security system based on attack pattern recognition, has the further disadvantage that for each one This attack techniques in a database a kind of control record It must be present with a signature that it is the security system allowed to recognize the attack. The database should also updated regularly be to contain the latest signatures for attacks.
Das
Dokument
Die
Dokumente
Das Dokument SUGENG, Hubert; POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Publickey-/SSH (Carleton University, April 2005) beschreibt die Möglichkeit von Man-in-the-Middle-Angriffen gegen Public-Key-Infrastrukturen am Beispiel eines MitM-Angriffs gegen das SSH-Protokoll.The Document SUGENG, Hubert; POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Publickey / SSH (Carleton University, April 2005) describes the possibility man-in-the-middle attacks against public-key infrastructures using the example of a MitM attack against the SSH protocol.
Das
Dokument
Die ErfindungThe invention
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung zur Verfügung zu stellen, welche ein einfaches und zuverlässiges Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket in einem paketbasierten Netzwerk erlauben.Of the Invention is therefore the object of a method and a Device available to provide a simple and reliable determination of an undesirable Allow access to a data packet in a packet-based network.
Die Aufgabe wird erfindungsgemäß durch ein Verfahren nach dem unabhängigen Anspruch 1 und eine Vorrichtung nach dem unabhängigen Anspruch 8 gelöst.The The object is achieved by a Method according to the independent Claim 1 and a device according to independent claim 8 solved.
Erfindungsgemäß ist ein Verfahren zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten, wobei in dem Verfahren Header-Informationen des Datenpaketes ausgelesen werden; mindestens ein Parameter aus den ausgelesenen Header-Informationen des Datenpakets ermittelt wird; der mindestens eine ermittelte Parameter mit Eintragungen des Sender-Knotenpunktes des Datenpakets in einer Kontrolltabelle verglichen wird, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; und ein unerwünschter Zugriff auf das Datenpaket festgestellt wird, wenn der mindestens eine ermittelte Parameter mit dem entsprechenden mindestens einen Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt.According to the invention is a Method for determining unwanted access to a data packet, in particular, a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the receiver node Nodes, wherein in the method header information of the data packet be read out; at least one parameter from the read out Header information of the data packet is determined; the least a determined parameter with entries of the transmitter node of the data packet is compared in a control table in which for all Nodes of the packet-based network at least one Reference parameter is stored; and an unwanted access to the data packet detected If the at least one determined parameter with the corresponding at least one reference parameter of the transmitter node of the Data packets in the control table do not match.
Wenn
ein unerwünschter
Zugriff auf das Datenpaket festgestellt wurde:
In dem Verfahren
wird mindestens ein weiterer ermittelter Parameter mit den Eintragungen
in der Kontrolltabelle verglichen und ein unerwünschter Zugriff auf das Datenpaket
wird als ein unerwünschter
Zugriff erster Art identifiziert wird, wenn der mindestens eine weitere
ermittelte Parameter mit dem entsprechenden mindestens einen weiteren
Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt;
und der unerwünschte Zugriff
auf das Datenpaket als ein unerwünschter
Zugriff zweiter Art identifiziert wird, wenn der mindestens eine
weitere ermittelte Parameter mit dem entsprechenden mindestens einen
weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets
in der Kontrolltabelle nicht übereinstimmt;
wobei
in dem Verfahren der für
jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine
Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der
mindestens eine ermittelte Parameter einen Time-To-Live-Parameter
umfasst, wobei einer der mindestens eine weitere Referenzparameter
eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens
eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst;
und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse
des Knotenpunktes umfaßt
und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse
des Sender-Knotenpunktes umfasst; wobei in dem Verfahren die Kontrolltabelle
mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der
mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen
der Header-Informationen aller Test-Datenpakete zum Ermitteln der
Referenzparameter erstellt wird.If an unwanted access to the data packet has been detected:
In the method, at least one further determined parameter is compared with the entries in the control table and unwanted access to the data packet is identified as unwanted access of the first kind if the at least one further determined parameter is correlated with the corresponding at least one further reference parameter of the transmitter. Node of the data packet in the control table matches; and identifying the unwanted access to the data packet as unwanted access of the second type if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the sender node of the data packet in the control table;
wherein in the method the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, wherein one of the at least one further reference parameter is a Hardware address of the node comprises and one of the at least one further determined parameters comprises a hardware address of the transmitter node; and one of the at least one further reference parameter comprises a network address of the node, and one of the at least one further determined parameter comprises a network address of the transmitter node; wherein in the method, the control table is created by transmitting test data packets to the switching node from all remaining ones of the plurality of nodes of the network and then reading out the header information of all the test data packets to determine the reference parameters.
Gegenüber dem Stand der Technik hat das Verfahren den Vorteil, daß die Feststellung des unerwünschten Zugriffs mittels eines einfachen Vergleichs von Parametern mit Referenzparametern erfolgt. Ein Durchsuchen des Datenpakets nach bestimmten Signaturen eines Angriffs muß nicht erfolgen. Dies ermöglicht ein schnelles und zuverlässiges Überprüfen des Datenpakets.Compared to the In the prior art, the method has the advantage that the determination of the undesirable Access by means of a simple comparison of parameters with reference parameters he follows. A search of the data packet for specific signatures an attack does not have to respectively. this makes possible a quick and reliable check of the Data packet.
Außerdem entfällt die Speicherung von Signaturen bekannter Angriffe, die dann mit dem Inhalt des Datenpakets verglichen werden muß. Statt dessen reicht ein Erkennen der Aus wirkungen des Angriffs, nämlich der Veränderung von Parametern in den Header-Informationen des Datenpakets, aus, um einen MitM-Angriff festzustellen. Da diese Auswirkungen des Angriffs als Symptome des Angriffs anzusehen sind, kann hier von einer symptomatischen Erkennung eines MitM-Angriffs gesprochen werden. Hierdurch werden auch Angriffe, deren Art bislang unbekannt sind, die aber eine Positionierung des Angreifers in einer MitM-Position zur Folge haben, durch die im erfindungsgemäßen Verfahren untersuchten Symptome erkannt.In addition, the deleted Storage of signatures of known attacks, which then with the Content of the data packet must be compared. Instead, one is enough Recognizing the effects of the attack, namely the change parameters in the header information of the data packet, to determine a MitM attack. This one Effects of the attack are considered to be symptoms of the attack, here can be symptomatic detection of a mitM attack to be spoken. As a result, attacks are also known, their kind so far unknown which are but a positioning of the attacker in a MitM position result, by the examined in the method according to the invention Symptoms detected.
Ferner kann ein Angriff auch an einer Stelle im Netz ermittelt, die sich nicht unmittelbar am Ursprungsort des Angriffs, also an der Position im paketbasierten Netzwerk, an der ein Rechner des Angreifers tatsächlich angeschlossen ist, befindet. Somit werden keine aufwendigen Anforderungen an das paketbasierte Netzwerk gestellt, wie beispielsweise eine Überwachungsfunktion aktiver Knotenpunkte, wie Hubs oder Switches.Further An attack can also be detected at a point in the network that is not directly at the place of origin of the attack, ie at the position in the packet-based network to which an attacker's machine is actually connected is located. Thus, no complicated requirements to the packet-based network, such as a monitoring function active nodes, such as hubs or switches.
Weitere Vorteile von bevorzugten Ausführungsformen der Erfindung sind Gegenstand der abhängigen Ansprüche.Further Advantages of preferred embodiments The invention is the subject of the dependent claims.
Erfindungsgemäß ist ferner eine Vorrichtung zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten vorgesehen, wobei die Vorrichtung Verbindungsmittel zum Verbinden mit dem paketbasierten Netzwerk; Empfangsmittel zum Empfangen des Datenpakets; Auslesemittel zum Auslesen von Header-Informationen des Datenpaketes; Extraktionsmittel zum Ermitteln mindestens eines Parameters aus den ausgelesenen Header-Informationen des Datenpakets; Speichermittel zum Speichern einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; Vergleichsmittel zum Vergleichen des mindestens einen ermittelten Parameters mit Eintragungen in der in den Speichermittel gespeicherten Kontrolltabelle; Verarbeitungsmittel zum Feststellen eines unerwünschten Zugriffs auf das Datenpaket, wenn der mindestens eine ermittelte Parameter für keines der Knotenpunkte mit dem entsprechenden mindestens einen Referenzparameter in der Kontrolltabelle übereinstimmt; und Mittel zum Vergleichen von mindestens einem weiteren ermittelten Parameter mit den Eintragungen in der Kontrolltabelle; und Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zu griff erster Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt; und Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff zweiter Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt; wobei der für jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der mindestens eine ermittelte Parameter einen Time-To-Live-Parameter umfasst, wobei einer der mindestens eine weitere Referenzparameter eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst; und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse des Sender-Knotenpunktes umfasst, wobei die Kontrolltabelle mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen der Header-Informationen aller Test-Datenpakete zum Ermitteln der Referenzparameter erstellt wird; und Sendemittel zum Weiterleiten des Datenpakets umfaßt.According to the invention, a device for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the transmitter Node and the node comprising the receiver node, the device comprising connection means for connection to the packet-based network; Receiving means for receiving the data packet; Read-out means for reading header information of the data packet; Extraction means for determining at least one parameter from the read-out header information of the data packet; Storage means for storing a control table in which at least one reference for each node of the packet-based network parameter is stored; Comparison means for comparing the at least one determined parameter with entries in the control table stored in the storage means; Processing means for detecting unwanted access to the data packet if the at least one determined parameter for none of the nodes coincides with the corresponding at least one reference parameter in the control table; and means for comparing at least one further determined parameter with the entries in the control table; and means for identifying the unwanted access to the data packet as an undesired access of the first kind if the at least one further determined parameter matches the corresponding at least one further reference parameter of the sender node of the data packet in the control table; and means for identifying the unwanted access to the data packet as a second type unwanted access if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the sender node of the data packet in the control table; wherein the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, one of the at least one further reference parameter being a hardware address of the node and at least one further determined parameter comprises a hardware address of the sender node; and one of the at least one further reference parameter comprises a network address of the node and one of the at least one further determined parameter comprises a network address of the sender node, the control table transmitting test data packets to the switching node of all remaining ones of the plurality of nodes of the network and then reading out the header information of all test data packets to determine the reference parameters; and transmitting means for forwarding the data packet.
Beschreibung von bevorzugten AusführungsbeispielenDescription of preferred embodiments
Die Erfindung wird im folgenden anhand von Ausführungsbeispielen unter Bezugnahme auf Figuren einer Zeichnung näher erläutert. Hierbei zeigen:The Invention will be described below with reference to exemplary embodiments with reference on figures of a drawing closer explained. Hereby show:
Hierbei werden die Knotenpunkte des paketbasierten Netzwerkes mittels zweier Parameter gekennzeichnet. Einer dieser Parameter ist die sogenannte MAC-Adresse (MAC – „Media Access Control") des Knotenpunktes. Eine MAC-Adresse ist eine Hardwareadresse, welche einem Netzwerkelement, beispielsweise einer Netzwerkkarte in einem Rechner, bei seiner Herstellung zugeordnet wird. Jeder Hersteller von Netzwerkelementen hat einen bestimmten Anfangswert, mit dem jede Hardwareadresse der von ihm hergestellten Netzwerkelemente beginnt. Die Hardwareadresse kennzeichnet das Netzwerkelement eindeutig und ist mittels Software nicht veränderbar. Der andere der zwei Parameter zur Kennzeichnung eines Knotenpunktes ist die sogenannte IP-Adresse (IP – „Internet Protocol"). Die IP-Adresse ist eine Netzwerkadresse, welche einem Knotenpunkt in einem paketbasierten Netzwerk beim Anmelden des Knotenpunktes softwaremäßig zugeordnet wird. Wenn das paketbasierte Netzwerk ein Teilnetzwerk eines größeren Gesamtnetzwerkes ist, kann es sich bei der einem Knotenpunkt des paketbasierten Netzwerkes zugeordneten IP-Adresse um eine private IP-Adresse handeln, welche den Knotenpunkt in dem Gesamtnetzwerk nicht eindeutig kennzeichnet.In this case, the nodes of the packet-based network are identified by means of two parameters. One of these parameters is the so-called MAC address (MAC - "Media Access Control") of the node A MAC address is a hardware address which is assigned to a network element, for example a network card in a computer, during its manufacture has a certain initial value, which starts every hardware address of the network elements that it produces The hardware address uniquely identifies the network element and is not changeable by software The other of the two parameters for identifying a node is the same The IP address is a network address that is software-assigned to a node in a packet-based network when the node logs in. If the packet-based network is a subnetwork of a larger overall network, it may be at the IP address associated with a node of the packet-based network is a private IP address that does not uniquely identify the node in the overall network.
In
dem in der
Die
Dieser
Abschnitt wird daher auch Protokoll-Kopf oder Header genannt, wobei
die hierin enthaltenen Informationen als Header-Informationen bezeichnet
werden. Der Vorgang des Bildens des Datenpakets im Rechner A ist
in der
Wie
mittels des Pfeils B in der
Die
Ein TTL-Anfangswert, das heißt der Wert des TTL-Parameter zu Beginn der Übertragung des Datenpaketes, ist vom Betriebsystem abhängig, welches vom Sender-Knotenpunkt verwendet wird. Der TTL-Anfangswert variiert typischerweise zwischen 32 und 255. Beispielsweise verwendet ein Linux-Betriebssystem typischerweise einen TTL-Anfangswert von 64. Der TTL-Parameter wird um jeweils 1 herabgesetzt, sobald das Datenpaket einen weiteren Knotenpunkt, welcher beispielsweise einen weiteren Rechners, einen Router oder ähnliches passiert.One TTL initial value, that is the value of the TTL parameter at the beginning of the transmission of the data packet, depends on the operating system, which is used by the sender node. The TTL initial value typically varies between 32 and 255. For example, used a Linux operating system typically has a TTL initial value of 64. The TTL parameter is decremented by 1 each time the Data packet another node, which for example a another computer, a router or similar happens.
Die
Die
In dem vorliegenden Beispiel hat der Rechner A die MAC-Adresse 00:00:00:00:00:01 und die IP-Adresse 10.0.0.1, während der Rechner B die MAC-Adresse 00:00:00:00:00:05 und die IP-Adresse 10.0.0.5 aufweist. Der Angreifer weist die MAC-Adresse 00:00:00:00:00:02 und die IP-Adresse 10.0.0.2 auf.In In the present example, the computer A has the MAC address 00: 00: 00: 00: 00: 01 and the IP address 10.0.0.1 while the computer B the MAC address 00: 00: 00: 00: 00: 05 and the IP address 10.0.0.5 having. The attacker has the MAC address 00: 00: 00: 00: 00: 02 and the IP address 10.0.0.2.
Die
Wenn
sich der Angreifer einmal in seiner MitM-Position positioniert und
auf ein Datenpaket zugegriffen hat, kann er im Allgemeinen eine
von zwei Methoden anwenden, um das Datenpakete weiterzuleiten. Eine
erste Methode wird „Forwarding" genannt und ist
in dem Diagramm in
Wie
in der
Eine
zweite Methode ist die so genannte „NAT" (Network-Address-Translation), welche
in der
Nun sind die IP-Quell-Adresse und die MAC-Quell-Adresse konsistent. Das bedeutet, die IP-Quell-Adresse und die MAC-Quell-Adresse stimmen mit der IP-Adresse und der MAC-Adresse eines Knotenpunktes, nämlich des Angreifers, im paketbasierten Netzwerk überein. Deshalb würde in diesem Fall eine Überprüfung der IP-Quell-Adresse und der MAC-Quell-Adresse allein nicht ausreichen, um einen unerwünschten Zugriff auf das Datenpaket zu ermitteln.Now Both the IP source address and the MAC source address are consistent. That means the IP source address and the MAC source address matches the IP address and MAC address of a node, namely of the attacker, in the packet-based network. That's why in this case a review of IP source address and the MAC source address alone are insufficient to an undesirable Access to the data packet.
Jedoch wird auch in diesem Fall, der TTL-Parameter um 1 vermindert (von 63 auf 64), da das Datenpaket einen Knotenpunkt, nämlich den Angreifer, passiert hat. Das führt dazu, daß der TTL-Parameter einen Wert aufweist, der von dem Wert abweicht, den der TTL-Parameter aufgewiesen hätte, hätte der Angreifer das Datenpaket nicht empfangen und wieder versendet.however In this case too, the TTL parameter is decreased by 1 (from 63 to 64), since the data packet is a node, namely the Attacker, has happened. Leading to that the TTL parameter has a value that differs from the value the TTL parameter would have had the Attacker does not receive and resend the data packet.
Die
Vorteilhaft ist auch ein Positionieren der MitM-Bridge vor sensiblen Systemen, wie Datenbank-Servern, Datei-Servern oder ähnlichen Systemen im paketbasierten Netzwerk, die vor Passwort-Diebstahl zu schützen sind.Advantageous is also a positioning of the MitM-Bridge in front of sensitive systems, such as database servers, file servers or similar systems in the packet-based Network to protect against password theft.
Die
Vorteilhafterweise ist die Kontrolltabelle in einem Speicher der MitM-Bridge gespeichert.advantageously, the control table is stored in a memory of the MitM bridge.
Für jedem
Knotenpunkt umfaßt
die Kontrolltabelle ferner einen sogenannten Standard-TTL-Parameter. Dies ist
der TTL-Parameter, welchen ein Datenpaket aufweist, der von dem
jewei ligen Knotenpunkt abgesendet und von dem Knotenpunkt, an welchem
die Kontrolltabelle gespeichert ist, beispielsweise von der MitM-Bridge
aus der
Die
In
diesem Fall wird anhand eines Vergleiches der IP-Adresse und der
MAC-Adresse mit den Eintragungen in der Kontrolltabelle überprüft, um welche Art
eines MitM-Angriff es sich handelt (Schritt
Stellt
sich bei dem Vergleich heraus, daß die IP-Quell-Adresse und
die MAC-Quell-Adresse des Datenpaketes konsistent sind, das bedeutet,
es wird ein mit diesen Adressen übereinstimmendes
Paar an IP-Adresse und MAC-Adresse in der Kontrolltabelle gefunden,
so handelt es sich bei dem MitM-Angriff um einen auf NAT basierenden
Angriff, einen sogenannten NATed-MitM. Es wird anschließend ein Warnhinweis
erzeugt, um den Angriff anzuzeigen (Schritt
Bei einem NATed-MitM kann der entsprechende Knotenpunkt, dessen IP-Adresse und MAC-Adresse mit der IP-Quell-Adresse und der MAC-Quell-Adresse des Datenpaketes, auf welches unerwünscht zugegriffen wurde, aus dem paketbasierten Netzwerk isoliert werden.at a NATed-MitM can be the corresponding node, its IP address and MAC address with the IP source address and the MAC source address of the data packet, on which undesirable has been accessed, isolated from the packet-based network.
Sind
jedoch die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes
inkonsistent, das heißt,
das paketbasierte Netzwerk umfaßt
keinen Knotenpunkt mit dem entsprechenden Paar von IP-Adresse und
MAC-Adresse, so handelt es sich bei dem MitM-Angriff um einen auf
Forwarding basierenden Angriff, einen sogenannten Forwarded-MitM, und
ein entsprechender Warnhinweis wird erzeugt (Schritt
Die
Sollte
anhand der Kontrolltabelle eine Inkonsistenz zwischen der IP-Quell-Adresse
und der MAC-Quell-Adresse ermittelt worden sein, so ist es möglich, daß eine bisher
unbekannte Art eines MitM-Angriffs stattgefunden hat. In diesem
Fall wird eine entsprechende Warnung ausgegeben (Schritt
Sollte
jedoch der TTL-Parameter mit keinem der in der Kontrolltabelle gespeicherten
Standard-TTL-Parameter übereinstimmen,
so ist dies analog zu dem Verfahren aus der
Stellt
sich bei dem Vergleich heraus, daß die IP-Quell-Adresse und
die MAC-Quell-Adresse des Datenpaketes konsistent sind, so handelt
es sich bei dem MitM-Angriff um einen auf NAT basierenden Angriff,
einen sogenannten NATed-MitM. Es wird anschließend ein Warnhinweis erzeugt,
um den Angriff anzuzeigen (Schritt
Wenn ein MitM-Angriff ermittelt wurde, kann außerdem das betroffene Datenpaket isoliert, beispielsweise gelöscht, werden, um ein weiteres Sicherheitsrisiko für das paketbasierte Netzwerk zu vermeiden.If a MitM attack has been detected can also cause the affected data packet isolated, for example deleted, become another security risk to the packet-based network to avoid.
Bei den vorangehend beschriebenen Verfahren wurde zunächst oder ausschließlich der TTL-Parameter des Datenpaketes mit den Eintragungen in der Kontrolltabelle verglichen. Es können hierzu jedoch auch zunächst oder ausschließlich die IP-Quell-Adresse und/oder die MAC-Quell-Adresse verwendet werden.at The method described above was initially or exclusively the TTL parameter of the data packet compared to the entries in the control table. It can but also first or exclusively the IP source address and / or the MAC source address are used.
Die in der vorstehenden Beschreibung, den Ansprüchen und der Zeichnung offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung der Erfindung in ihren verschiedenen Ausführungsformen von Bedeutung sein.The in the foregoing description, claims and drawings Features of the invention can both individually and in any combination for the realization of the invention in its various embodiments of importance be.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510050584 DE102005050584B4 (en) | 2005-10-21 | 2005-10-21 | Method for determining unwanted access to a data packet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510050584 DE102005050584B4 (en) | 2005-10-21 | 2005-10-21 | Method for determining unwanted access to a data packet |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102005050584A1 DE102005050584A1 (en) | 2007-05-16 |
DE102005050584B4 true DE102005050584B4 (en) | 2009-04-30 |
Family
ID=37982507
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200510050584 Expired - Fee Related DE102005050584B4 (en) | 2005-10-21 | 2005-10-21 | Method for determining unwanted access to a data packet |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102005050584B4 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020031134A1 (en) * | 2000-09-07 | 2002-03-14 | Poletto Massimiliano Antonio | Device to protect victim sites during denial of service attacks |
US20020073338A1 (en) * | 2000-11-22 | 2002-06-13 | Compaq Information Technologies Group, L.P. | Method and system for limiting the impact of undesirable behavior of computers on a shared data network |
US20030145232A1 (en) * | 2002-01-31 | 2003-07-31 | Poletto Massimiliano Antonio | Denial of service attacks characterization |
US20050022020A1 (en) * | 2003-07-10 | 2005-01-27 | Daniel Fremberg | Authentication protocol |
-
2005
- 2005-10-21 DE DE200510050584 patent/DE102005050584B4/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020031134A1 (en) * | 2000-09-07 | 2002-03-14 | Poletto Massimiliano Antonio | Device to protect victim sites during denial of service attacks |
US20020073338A1 (en) * | 2000-11-22 | 2002-06-13 | Compaq Information Technologies Group, L.P. | Method and system for limiting the impact of undesirable behavior of computers on a shared data network |
US20030145232A1 (en) * | 2002-01-31 | 2003-07-31 | Poletto Massimiliano Antonio | Denial of service attacks characterization |
US20050022020A1 (en) * | 2003-07-10 | 2005-01-27 | Daniel Fremberg | Authentication protocol |
Non-Patent Citations (3)
Title |
---|
GODBER,Austin, DASGUPTA,Partha: Countering Rogues in Wireless Networks. IEEE, Proceedings of the ICPPW'03, 2003; SUGENG, Hubert * |
GODBER,Austin, DASGUPTA,Partha: Countering Rogues in Wireless Networks. IEEE, Proceedings of the ICP PW'03, 2003; SUGENG, Hubert; POOL, Jesse: Man-in-t he-Middle: Vulnerabilities in Public-key/SSH.Carle ton,University, April 2005 |
POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Public-key/SSH Carleton,University, April 2005 * |
Also Published As
Publication number | Publication date |
---|---|
DE102005050584A1 (en) | 2007-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60213391T2 (en) | Personal firewall with position detection | |
DE60216218T2 (en) | Personal firewall with space-dependent functionality | |
DE60115615T2 (en) | SYSTEM, DEVICE AND METHOD FOR FAST PACKAGE FILTERING AND PROCESSING | |
DE69825801T2 (en) | Apparatus and method for enabling equal access control in a network | |
DE69734019T2 (en) | METHOD AND DEVICE FOR DYNAMIC PACKAGE FILTER ASSIGNMENT | |
EP3542511B1 (en) | Process for a communication network and electronic control unit | |
DE60312235T2 (en) | METHOD AND SYSTEM FOR INHIBITING PREVENTION AND DEFLECTION | |
DE60016613T2 (en) | DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE | |
DE60314659T2 (en) | System and method for discovering and setting from a server | |
DE69737395T2 (en) | SECURED DHCP SERVER | |
DE19741239C2 (en) | Generalized security policy management system and procedures | |
DE60121133T2 (en) | Method and device for handling unauthorized access data | |
EP1494401B1 (en) | Router and method of activating a deactivated computer | |
DE102006004202A1 (en) | Method for protecting SIP based applications | |
EP3542510A1 (en) | Method for a communications network, and electronic control unit | |
DE60302003T2 (en) | Handling contiguous connections in a firewall | |
DE102005050584B4 (en) | Method for determining unwanted access to a data packet | |
DE102019210226A1 (en) | Device and method for attack detection in a communications network | |
EP3059926B1 (en) | Method for detecting a denial of service attack in a communication network | |
EP1464150B1 (en) | Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators | |
DE102019210224A1 (en) | Device and method for attack detection in a computer network | |
DE102012208290B4 (en) | NETWORKING COMPONENT WITH INQUIRY / RESPONSE ALLOCATION AND MONITORING | |
DE102019210223A1 (en) | Device and method for attack detection in a computer network | |
EP2164021A1 (en) | Method for recognising unwanted access and network server device | |
EP3024193B1 (en) | Method and system for sustainable defence against botnet malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |