Suchen und Finden

Titel

Autor/Verlag

Inhaltsverzeichnis

Nur eBooks für mein Endgerät anzeigen:

 

Newsletter

hier anmelden:

Unser aktueller Newsletter...

Computer-Forensik - Systemeinbrüche erkennen, ermitteln, aufklären

Computer-Forensik - Systemeinbrüche erkennen, ermitteln, aufklären

von: Alexander Geschonneck

dpunkt.verlag, 2004

ISBN: 9783898642538, 271 Seiten

Format: PDF, OL

Mac OSX,Windows PC Apple iPad, Android Tablet PC's Online-Lesen für: Linux,Mac OSX,Windows PC

Preis: 33,00 EUR

Ersparnis: 5,00 EUR

  • Elfenkind
    Herbst - Läuterung
    Den Himmel gibt´s echt
    Herbst - Zerfall
    Der Bankräuber
    Bleib cool, Papa
    Du gibst das Leben
    Mein Herz kennt die Antwort
  • Kopfschuss
    Die Zehn Gebote
    Das Feenorakel
    Zeit der Vergebung
    Alphavampir
    Der Geschmack des Wassers
    Succubus Shadows
    Hurentaten
 

Mehr zum Inhalt

Computer-Forensik - Systemeinbrüche erkennen, ermitteln, aufklären


 

2 Ablauf von Angriffen (S. 25-26)

Es liegt auf der Hand, dass, wenn man einen Systemeinbruch aufklären muss, man auch über genaue Kenntnisse der möglichen Angriffsszenarien und der zugrunde liegenden Techniken verfügen sollte. Das erleichtert sowohl die Analyse des möglichen Angriffsablaufs als auch die Bewertung der Spuren, die der Angreifer hinterlässt.

In diesem Kapitel lernen Sie zunächst die typischen Phasen eines Systemeinbruchs kennen. Diese werden anschließend an einem Beispielangriff detailliert vorgeführt.

2.1 Typischer Angriffsverlauf

Diese Phasen eines Angriffs ähneln sich mehr oder weniger stark. Sie kommen allerdings in unterschiedlicher Ausprägung zum Vorschein. Das Wissen über diese Phasen ermöglicht es einem Ermittler oder Administrator auch zu erkennen, mit welchen Folgeangriffen zu rechnen ist oder welche Wirkung ein Angreifer mit einer bestimmten Angriffssituation erzielen möchte. Dies kann durchaus Rückschlüsse auf das zu erwartende weitere Vorgehen liefern. Zusätzlich ist die Kenntnis von Angriffsabläufen sehr wichtig, um entsprechende Tatspuren zu finden.

2.1.1 Footprinting

Als Footprinting wird jene Aktivität bezeichnet, die eigentlich eine Vorstufe zum eigentlichen Angriff darstellt. Hierbei legt der Angreifer seinen Zielbereich grob fest. Entweder ist dies ein vorher gewählter IP-Adressbereich oder die über das Internet erreichbare IT-Struktur einer ganz bestimmten Organisation. Ein Angriffsziel findet sich manchmal fast zufällig, wenn z. B. größere IP-Ranges im Internet auf Verdacht gescannt werden. Der Angreifer möchte in dieser Phase die besonders interessanten oder möglicherweise besonders ungesicherten Systeme grob identifizieren. Auch wenn ein Teil dieser Recherchen im Grundrauschen des Internetverkehrs der betroffenen Organisation untergehen wird, sollte man sich darüber im Klaren sein, dass der Angreifer anhand dieser Informationen sein weiteres Vorgehen plant.

Diese Aktivitäten können im Einzelnen sein:

- Suche im Whois und DNS (Namenskonventionen oder TXT-Einträge)
- Abfrage aller vom DNS-Server zur Verfügung gestellten IP-Adressen
- Erkundung der Netzarchitektur (Wo stehen Router? Welches sind die Up-stream- bzw. Down-stream-Routen der betroffenen Organisation?)
- Verifikation mit Ping bzw. Traceroute (z. B. icmp-Discovery)
- Analyse der aktiven Hosts mit Ping-Sweeps über den gesamten IPAdressbereich

Ergebnis dieser Phase ist eine Liste mit IP-Adressen in einer für den Angreifer interessanten Zielumgebung.