2.1 CVE-2011-4327

Ein Angreifer sondiert das Ziel aktiv in einer Weise, die darauf abzielt, Informationen zu erlangen, die für böswillige Zwecke genutzt werden können.

Der Angreifer verändert direkt oder indirekt die Umgebungsvariablen, die von der Zielsoftware verwendet werden oder diese steuern. Das Ziel des Angreifers ist es, die Zielsoftware dazu zu bringen, von ihrem erwarteten Betrieb in einer Weise abzuweichen, die dem Angreifer nützt. [Sondieren der Zielanwendung] Der Angreifer sondiert zunächst die Zielanwendung, um wichtige Informationen über das Ziel zu ermitteln. Zu diesen Informationen gehören z. B. die Art der verwendeten Software, die Softwareversionen, die Benutzereingaben, die die Anwendung verarbeitet, usw. Vor allem aber versucht der Angreifer herauszufinden, welche Umgebungsvariablen von der zugrunde liegenden Software oder sogar von der Anwendung selbst verwendet werden könnten. [Anhand der durch die Untersuchung der Anwendung gefundenen Informationen versucht der Angreifer, alle benutzergesteuerten Umgebungsvariablen zu manipulieren, von denen er herausgefunden hat, dass sie von der Anwendung verwendet werden oder von denen er annimmt, dass sie von der Anwendung verwendet werden, und beobachtet die Auswirkungen dieser Änderungen. Wenn der Angreifer signifikante Änderungen an der Anwendung feststellt, weiß er, dass eine bestimmte Umgebungsvariable für das Verhalten der Anwendung wichtig ist und einen möglichen Angriffsvektor darstellt. [Manipulation von benutzergesteuerten Umgebungsvariablen] Der Angreifer manipuliert die gefundene(n) Umgebungsvariable(n), um den normalen Ablauf von Prozessen zu missbrauchen oder Zugriff auf privilegierte Ressourcen zu erhalten.

Ein Angreifer führt Sondierungs- und Erkundungsaktivitäten durch, um Bestandteile und Eigenschaften des Ziels zu ermitteln. (Request Footprinting) Der Angreifer untersucht die Website-Informationen und den Quellcode der Website und verwendet automatisierte Tools, um so viele Informationen wie möglich über das System und die Organisation zu erhalten.

Ein Angriff dieser Art nutzt Schwachstellen in der Authentifizierung und Datenintegrität des Client/Server-Kommunikationskanals aus. Er nutzt das implizite Vertrauen aus, das ein Server in den Client setzt, oder, noch wichtiger, in das, was der Server für den Client hält. Ein Angreifer führt diese Art von Angriff aus, indem er direkt mit dem Server kommuniziert, wobei der Server glaubt, dass er nur mit einem gültigen Client kommuniziert. Es gibt zahlreiche Variationen dieser Art von Angriff.

Ein Angreifer vergleicht die Ausgabe eines Zielsystems mit bekannten Indikatoren, die bestimmte Details des Ziels eindeutig identifizieren. Am häufigsten wird Fingerprinting durchgeführt, um Betriebssystem- und Anwendungsversionen zu ermitteln. Fingerprinting kann sowohl passiv als auch aktiv durchgeführt werden. Fingerprinting an sich ist in der Regel nicht schädlich für das Ziel. Die durch das Fingerprinting gesammelten Informationen ermöglichen es einem Angreifer jedoch oft, bestehende Schwachstellen des Ziels zu entdecken.

Ein Angreifer sendet eine ICMP-Echo-Anfrage vom Typ 8, allgemein als "Ping" bekannt, um festzustellen, ob ein Zielsystem ansprechbar ist. Wenn die Anfrage nicht durch eine Firewall oder ACL blockiert wird, antwortet der Zielhost mit einem ICMP Typ 0 Echo Reply Datagramm. Diese Art des Austauschs wird in der Regel als "Ping" bezeichnet, da das Dienstprogramm Ping in fast allen Betriebssystemen vorhanden ist. Ping, so wie es üblicherweise implementiert ist, ermöglicht es dem Benutzer, auf aktive Hosts zu testen, die Umlaufzeit zu messen und den Prozentsatz der Paketverluste zu ermitteln.

Ein Angreifer verwendet einen SYN-Scan, um den Status von Ports auf dem entfernten Ziel zu ermitteln. Der SYN-Scan ist die häufigste Art des Port-Scannings, die aufgrund ihrer vielen Vorteile und wenigen Nachteile verwendet wird. Daher neigen unerfahrene Angreifer dazu, sich bei der Systemerkundung zu sehr auf den SYN-Scan zu verlassen. Die Hauptvorteile des SYN-Scans als Scan-Methode sind seine Universalität und Geschwindigkeit. Ein Angreifer sendet SYN-Pakete an die Ports, die er scannen möchte, und überprüft die Antwort, ohne den TCP-Handshake abzuschließen. Der Angreifer nutzt die Antwort des Ziels, um den Status des Ports zu ermitteln. Der Angreifer kann den Status eines Ports anhand der folgenden Antworten ermitteln. Wenn ein SYN-Paket an einen offenen und ungefilterten Port gesendet wird, wird ein SYN/ACK erzeugt. Wenn ein SYN-Paket an einen geschlossenen Port gesendet wird, wird ein RST erzeugt, das anzeigt, dass der Port geschlossen ist. Wenn ein SYN-Scan an einen bestimmten Port keine Antwort erzeugt oder wenn die Anfrage ICMP-Fehler vom Typ 3 (unerreichbar) auslöst, wird der Port gefiltert.

Ein Angreifer zählt die MX-Einträge für einen gegebenen über eine DNS-Abfrage auf. Diese Art der Informationsbeschaffung liefert die Namen von Mailservern im Netzwerk. Mailserver sind oft nicht dem Internet ausgesetzt, sondern befinden sich innerhalb der DMZ eines durch eine Firewall geschützten Netzwerks. Ein Nebeneffekt dieser Konfiguration ist, dass die Aufzählung der MX-Einträge für eine Organisation die IP-Adresse der Firewall oder möglicherweise anderer interner Systeme aufdecken kann. Angreifer greifen häufig auf die Aufzählung von MX-Einträgen zurück, wenn ein DNS-Zonentransfer nicht möglich ist.

Ein Angreifer nutzt eine DNS-Fehlkonfiguration aus, die einen ZONE-Transfer erlaubt. Einige externe DNS-Server geben eine Liste von IP-Adressen und gültigen Hostnamen zurück. Unter bestimmten Bedingungen kann es sogar möglich sein, Zonendaten über das interne Netzwerk der Organisation zu erhalten. Bei Erfolg erfährt der Angreifer wertvolle Informationen über die Topologie der Zielorganisation, einschließlich Informationen über bestimmte Server, ihre Rolle innerhalb der IT-Struktur und möglicherweise Informationen über die im Netzwerk laufenden Betriebssysteme. Dieses Verhalten ist konfigurationsabhängig, sodass es auch erforderlich sein kann, mehrere DNS-Server zu durchsuchen, während er versucht, einen zu finden, bei dem ZONE-Transfers erlaubt sind.

Ein Angreifer sendet eine Probe an eine IP-Adresse, um festzustellen, ob der Host am Leben ist. Host Discovery ist eine der frühesten Phasen der Netzwerkerkundung. Der Angreifer beginnt in der Regel mit einem Bereich von IP-Adressen, die zu einem Zielnetzwerk gehören, und verwendet verschiedene Methoden, um festzustellen, ob ein Host unter dieser IP-Adresse vorhanden ist. Die Erkennung von Hosts wird in der Regel als "Ping"-Scan bezeichnet, wobei eine Analogie zum Sonar verwendet wird. Das Ziel ist es, ein Paket an die IP-Adresse zu senden und eine Antwort vom Host zu erhalten. Ein "Ping" kann praktisch jedes beliebige Paket sein, vorausgesetzt, der Angreifer kann anhand der Antwort einen funktionierenden Host identifizieren. Ein Angriff dieser Art wird normalerweise mit einem "Ping Sweep" durchgeführt, bei dem eine bestimmte Art von Ping an einen Bereich von IP-Adressen gesendet wird.

Ein Angreifer verwendet ein Traceroute-Dienstprogramm, um die Route aufzuzeichnen, die Daten auf dem Weg zu einem Zielort durch das Netzwerk fließen. Mit Tracerouting kann der Angreifer eine funktionierende Topologie von Systemen und Routern konstruieren, indem er die Systeme auflistet, durch die Daten auf ihrem Weg zum Zielcomputer fließen. Dieser Angriff kann unterschiedliche Ergebnisse liefern, je nachdem, welche Art von Traceroute durchgeführt wird. Traceroute funktioniert, indem Pakete an ein Ziel gesendet werden, während das Time-to-Live-Feld im Paketkopf erhöht wird. Während das Paket jeden Hop auf seinem Weg zum Ziel durchläuft, läuft seine TTL ab und erzeugt eine ICMP-Diagnosemeldung, die angibt, wo das Paket abgelaufen ist. Traditionelle Techniken für Tracerouting beinhalteten die Verwendung von ICMP und UDP, aber als mehr Firewalls begannen, eingehendes ICMP zu filtern, wurden Methoden für Traceroute unter Verwendung von TCP entwickelt.

Ein Angreifer sendet eine ICMP Type 17 Address Mask Request, um Informationen über die Netzwerkkonfiguration eines Ziels zu erhalten. ICMP Address Mask Requests sind in RFC-950, "Internet Standard Subnetting Procedure.", definiert. Eine Address Mask Request ist eine ICMP-Meldung des Typs 17, die ein entferntes System dazu veranlasst, mit einem ICMP-Datagramm des Typs 18 Address Mask Reply eine Liste der zugehörigen Subnetze sowie des Standard-Gateways und der Broadcast-Adresse zu beantworten. Das Sammeln dieser Art von Informationen hilft dem Angreifer bei der Planung von Router-basierten Angriffen und Denial-of-Service-Angriffen gegen die Broadcast-Adresse.

Dieses Angriffsmuster nutzt Standardanfragen aus, um die genaue Zeit eines Zielsystems zu erfahren. Ein Angreifer kann den vom Zielsystem zurückgegebenen Zeitstempel verwenden, um zeitbasierte Sicherheitsalgorithmen, wie z. B. Zufallszahlengeneratoren, oder zeitbasierte Authentifizierungsmechanismen anzugreifen.

Ein Angreifer sendet einen ICMP Information Request an einen Host, um festzustellen, ob dieser auf diesen veralteten Mechanismus antwortet. ICMP Information Requests sind ein veralteter Nachrichtentyp. Information Requests wurden ursprünglich für plattenlose Rechner verwendet, um automatisch ihre Netzwerkkonfiguration zu erhalten, aber dieser Nachrichtentyp wurde durch robustere Protokollimplementierungen wie DHCP abgelöst.

Ein Angreifer sendet ein TCP-Segment mit gesetztem ACK-Flag an einen entfernten Host, um herauszufinden, ob der Host noch am Leben ist. Dies ist einer von mehreren TCP-"Ping"-Typen. Das nach RFC 793 erwartete Verhalten eines Dienstes besteht darin, auf jedes unaufgeforderte ACK-Segment, das nicht Teil einer bestehenden Verbindung ist, mit einem RST-"Reset"-Paket zu antworten. Durch das Senden eines ACK-Segments an einen Port kann der Angreifer also feststellen, dass der Host noch aktiv ist, indem er nach einem RST-Paket sucht. Normalerweise antwortet ein Remote-Server mit einem RST, unabhängig davon, ob ein Port offen oder geschlossen ist. Auf diese Weise können TCP ACK-Pings den Status eines Remote-Ports nicht ermitteln, da das Verhalten in beiden Fällen gleich ist. Die Firewall wird das ACK-Paket in ihrer Zustandstabelle nachschlagen und das Segment verwerfen, da es keiner aktiven Verbindung entspricht. Ein TCP ACK Ping kann verwendet werden, um herauszufinden, ob ein Host über RST-Antwortpakete, die vom Host gesendet werden, aktiv ist.

Ein Angreifer sendet ein UDP-Datagramm an den entfernten Host, um festzustellen, ob der Host lebt. Wenn ein UDP-Datagramm an einen offenen UDP-Port gesendet wird, gibt es sehr oft keine Antwort, daher besteht eine typische Strategie für die Verwendung eines UDP-Pings darin, das Datagramm an einen zufälligen hohen Port auf dem Ziel zu senden. Das Ziel ist es, eine "ICMP port unreachable"-Meldung vom Ziel zu erhalten, die anzeigt, dass der Host noch lebt. UDP-Pings sind nützlich, weil einige Firewalls nicht so konfiguriert sind, dass sie UDP-Datagramme blockieren, die an seltsame oder typischerweise unbenutzte Ports gesendet werden, z. B. Ports im 65K-Bereich. Außerdem können einige Firewalls zwar eingehendes ICMP filtern, aber Schwachstellen in Firewall-Regelsätzen können bestimmte Arten von ICMP (Host unerreichbar, Port unerreichbar) zulassen, die für UDP-Ping-Versuche nützlich sind.

Ein Angreifer verwendet TCP SYN-Pakete als Mittel zur Host-Erkennung. Das typische RFC 793-Verhalten sieht vor, dass ein Host auf ein eingehendes SYN "synchronize"-Paket reagieren muss, indem er die zweite Stufe des "Drei-Wege-Handshakes" abschließt, indem er ein SYN/ACK-Paket als Antwort sendet, wenn ein TCP-Port geöffnet ist. Wenn ein Port geschlossen wird, ist das RFC 793-Verhalten, mit einem RST "reset"-Paket zu antworten. Dieses Verhalten kann verwendet werden, um ein Ziel "anzupingen", um zu sehen, ob es aktiv ist, indem ein TCP SYN-Paket an einen Anschluss gesendet und dann auf ein RST- oder ACK-Paket als Antwort gewartet wird.

Ein Angreifer verwendet eine Kombination von Techniken, um den Status der Ports auf einem entfernten Ziel zu ermitteln. Jeder Dienst oder jede Anwendung, die für TCP- oder UDP-Netzwerke verfügbar ist, hat einen Port für die Kommunikation über das Netzwerk geöffnet.

Ein Angreifer verwendet vollständige TCP-Verbindungsversuche, um festzustellen, ob ein Port auf dem Zielsystem offen ist. Beim Scannen wird ein "Drei-Wege-Handshake" mit einem entfernten Port durchgeführt, und der Port wird als geschlossen gemeldet, wenn der vollständige Handshake nicht hergestellt werden kann. Ein Vorteil des TCP-Connect-Scannings ist, dass es gegen jeden TCP/IP-Stack funktioniert. Ein Angreifer versucht, eine TCP-Verbindung mit dem Zielport zu initialisieren. Der Angreifer verwendet das Ergebnis seiner TCP-Verbindung, um den Status des Zielports zu ermitteln. Eine erfolgreiche Verbindung zeigt an, dass der Port geöffnet ist und ein Dienst darauf wartet, während eine fehlgeschlagene Verbindung anzeigt, dass der Port nicht geöffnet ist.

Ein Angreifer verwendet einen TCP FIN-Scan, um festzustellen, ob die Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird durch das Senden von TCP-Segmenten erreicht, bei denen das FIN-Bit im Paketkopf gesetzt ist. Nach RFC 793 wird erwartet, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es dem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete mit dem FIN-Flag, die jedoch nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Zustand des Ports zu ermitteln. Wenn er keine Antwort erhält, ist der Port offen. Wird ein RST-Paket empfangen, ist der Anschluss geschlossen.

Ein Angreifer verwendet einen TCP XMAS-Scan, um festzustellen, ob die Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird erreicht, indem TCP-Segmente mit allen möglichen Flags im Paketkopf gesendet werden, wodurch Pakete erzeugt werden, die gemäß RFC 793 illegal sind. Das nach RFC 793 erwartete Verhalten ist, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es einem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete, bei denen alle Flags gesetzt sind, die aber nicht mit einer bestehenden Verbindung zu den Zielports verbunden sind. Der Angreifer verwendet die Antwort des Ziels, um den Zustand des Ports zu ermitteln. Wenn er keine Antwort erhält, ist der Port offen. Wenn ein RST-Paket empfangen wird, ist der Anschluss geschlossen.

Ein Angreifer verwendet einen TCP-NULL-Scan, um festzustellen, ob Ports auf dem Zielcomputer geschlossen sind. Dieser Scantyp wird durch das Senden von TCP-Segmenten ohne Flags im Paketkopf erreicht, wodurch Pakete erzeugt werden, die gemäß RFC 793 illegal sind. Das nach RFC 793 erwartete Verhalten ist, dass jedes TCP-Segment mit einem Out-of-State-Flag, das an einen offenen Port gesendet wird, verworfen wird, während Segmente mit Out-of-State-Flags, die an geschlossene Ports gesendet werden, mit einem RST als Antwort behandelt werden sollten. Dieses Verhalten sollte es einem Angreifer ermöglichen, nach geschlossenen Ports zu suchen, indem er bestimmte Arten von Paketen sendet, die gegen die Regeln verstoßen (nicht synchron oder von der TCB nicht zugelassen), und geschlossene Ports über RST-Pakete zu erkennen. Ein Angreifer sendet TCP-Pakete ohne gesetzte Flags, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Wenn er keine Antwort erhält, ist der Port offen. Wenn ein RST-Paket empfangen wird, ist der Anschluss geschlossen.

Ein Angreifer verwendet TCP ACK-Segmente, um Informationen über die Firewall- oder ACL-Konfiguration zu sammeln. Der Zweck dieser Art von Scan ist es, Informationen über Filterkonfigurationen und nicht über den Portstatus zu ermitteln. Diese Art des Scannens ist allein nur selten nützlich, aber in Kombination mit dem SYN-Scannen ergibt sich ein vollständigeres Bild über die Art der vorhandenen Firewall-Regeln. Ein Angreifer sendet TCP-Pakete mit gesetztem ACK-Flag, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Wird ein RST-Paket empfangen, ist der Zielport entweder geschlossen oder das ACK wurde unsynchronisiert gesendet. Wenn keine Antwort empfangen wird, verwendet das Ziel wahrscheinlich eine Stateful-Firewall.

Ein Angreifer führt ein TCP Window Scanning durch, um den Portstatus und den Betriebssystemtyp zu analysieren. TCP Window Scanning verwendet die ACK-Scan-Methode, untersucht aber das TCP Window Size-Feld von RST-Antwortpaketen, um bestimmte Schlüsse zu ziehen. Obwohl TCP Window Scans schnell und relativ unauffällig sind, funktionieren sie bei weniger TCP-Stack-Implementierungen als alle anderen Arten von Scans. Einige Betriebssysteme geben eine positive TCP-Fenstergröße zurück, wenn ein RST-Paket von einem offenen Port gesendet wird, und einen negativen Wert, wenn das RST-Paket von einem geschlossenen Port stammt. Die TCP-Fensterüberprüfung ist eine der komplexesten Überprüfungsarten, und ihre Ergebnisse sind schwer zu interpretieren. Fenster-Scans allein liefern nur selten nützliche Informationen, aber in Kombination mit anderen Scan-Typen sind sie nützlicher. Es ist im Allgemeinen ein zuverlässigeres Mittel, um Rückschlüsse auf Betriebssystemversionen zu ziehen als auf den Portstatus. Ein Angreifer sendet TCP-Pakete mit gesetztem ACK-Flag, die nicht mit einer bestehenden Verbindung verbunden sind, an Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu ermitteln. Insbesondere sieht der Angreifer die TCP-Fenstergröße aus dem zurückgesendeten RST-Paket, falls ein solches empfangen wurde. Je nach Zielbetriebssystem kann eine positive Fenstergröße auf einen offenen Port hinweisen, während eine negative Fenstergröße einen geschlossenen Port bedeutet.

Ein Angreifer scannt nach RPC-Diensten, die auf einem Unix/Linux-Host aufgelistet sind. Ein Angreifer sendet RCP-Pakete an die Zielports. Der Angreifer verwendet die Antwort des Ziels, um festzustellen, welcher RPC-Dienst, wenn überhaupt, auf diesem Port ausgeführt wird. Die Antworten variieren je nachdem, welcher RPC-Dienst läuft.

Ein Angreifer führt ein UDP-Scanning durch, um Informationen über den Status des UDP-Ports auf dem Zielsystem zu sammeln. Bei den UDP-Scan-Methoden wird ein UDP-Datagramm an den Zielport gesendet und nach Hinweisen darauf gesucht, dass der Port geschlossen ist. Offene UDP-Ports reagieren in der Regel nicht auf UDP-Datagramme, da es innerhalb des Protokolls keinen zustandsabhängigen Mechanismus gibt, der den Aufbau oder die Einrichtung einer Sitzung erfordert. Antworten auf UDP-Datagramme sind daher anwendungsspezifisch und können nicht als Methode zur Erkennung eines offenen Ports herangezogen werden. Das UDP-Scanning stützt sich stark auf ICMP-Diagnosemeldungen, um den Status eines entfernten Ports zu ermitteln. Ein Angreifer sendet UDP-Pakete an die Zielports. Der Angreifer verwendet die Antwort des Ziels, um den Status des Ports zu bestimmen. Ob ein Port auf ein UDP-Paket antwortet, hängt von der Anwendung ab, die diesen Port abhört. Keine Antwort bedeutet nicht, dass der Anschluss nicht geöffnet ist.

Ein Angreifer führt Scan-Aktivitäten durch, um Netzwerkknoten, Hosts, Geräte und Routen abzubilden. Angreifer führen diese Art der Netzwerkerkundung in der Regel in den frühen Phasen eines Angriffs auf ein externes Netzwerk durch. In der Regel werden viele Arten von Scan-Utilities eingesetzt, darunter ICMP-Tools, Netzwerk-Mapper, Port-Scanner und Routentest-Utilities wie Traceroute.

Ein Angreifer führt Scanning-Aktivitäten durch, um verwundbare Software-Versionen oder -Typen zu finden, z. B. Betriebssystem-Versionen oder Netzwerkdienste. Anfällige oder ausnutzbare Netzwerkkonfigurationen, wie z. B. nicht ordnungsgemäß mit einer Firewall versehene Systeme oder falsch konfigurierte Systeme in der DMZ oder im externen Netzwerk, bieten einem Angreifer ein Zeitfenster. Häufige Arten von anfälliger Software sind ungepatchte Betriebssysteme oder Dienste (z. B. FTP, Telnet, SMTP, SNMP), die auf offenen Ports laufen, die der Angreifer identifiziert hat. Angreifer beginnen in der Regel mit der Suche nach verwundbarer Software, sobald das externe Netzwerk nach Ports gescannt wurde und potenzielle Ziele aufgedeckt wurden.

Ein Angreifer versucht, das Betriebssystem oder die Firmware-Version eines entfernten Ziels zu erkennen, indem er ein Gerät, einen Server oder eine Plattform mit einer Sonde abfragt, die darauf ausgelegt ist, ein Verhalten zu erzwingen, das Informationen über die Betriebssysteme oder die Firmware in der Umgebung offenbart. Die Erkennung von Betriebssystemen ist möglich, weil sich die Implementierungen gängiger Protokolle (z. B. IP oder TCP) deutlich unterscheiden. Während die Implementierungsunterschiede nicht ausreichen, um die Kompatibilität mit dem Protokoll zu "brechen", sind die Unterschiede nachweisbar, weil das Ziel auf spezifische Sondierungsaktivitäten, die die semantischen oder logischen Regeln der Paketkonstruktion für ein Protokoll brechen, auf einzigartige Weise reagiert. Verschiedene Betriebssysteme werden eine einzigartige Reaktion auf die anomale Eingabe haben, was die Grundlage für einen Fingerabdruck des Betriebssystemverhaltens darstellt. Diese Art von OS-Fingerprinting kann zwischen Betriebssystemtypen und -versionen unterscheiden.

Ein Angreifer versucht, die Version oder den Typ der Betriebssystemsoftware in einer Umgebung zu erkennen, indem er die Kommunikation zwischen Geräten, Knoten oder Anwendungen passiv überwacht. Passive Techniken zur Erkennung von Betriebssystemen senden keine tatsächlichen Sonden an ein Ziel, sondern überwachen die Netzwerk- oder Client-Server-Kommunikation zwischen Knoten, um Betriebssysteme anhand des beobachteten Verhaltens im Vergleich zu einer Datenbank mit bekannten Signaturen oder Werten zu identifizieren. Während passives OS-Fingerprinting in der Regel nicht so zuverlässig ist wie aktive Methoden, ist es im Allgemeinen besser in der Lage, sich der Erkennung zu entziehen.

Diese OS Fingerprinting Probe analysiert den IP 'ID' Feld Sequenznummer Generierungsalgorithmus eines entfernten Hosts. Betriebssysteme generieren IP 'ID' Nummern unterschiedlich, was einem Angreifer erlaubt, das Betriebssystem des Hosts zu identifizieren, indem er untersucht, wie es ID Nummern bei der Generierung von Antwortpaketen zuordnet. RFC 791 spezifiziert nicht, wie ID-Nummern ausgewählt werden oder welche Bereiche sie haben, so dass sich die Generierung der ID-Sequenz von Implementierung zu Implementierung unterscheidet. Es gibt zwei Arten der Analyse von IP-'ID'-Sequenznummern - IP-'ID'-Sequenzierung: Analyse des Algorithmus zur Generierung von IP-'ID'-Sequenzen für ein Protokoll, das von einem Host verwendet wird, und Shared IP-'ID'-Sequenzierung: Analyse der Paketreihenfolge über IP-'ID'-Werte, die mehrere Protokolle überspannen, z. B. zwischen ICMP und TCP.

Diese OS-Fingerprinting-Probe testet, ob der entfernte Host den IP-'ID'-Wert aus dem Probe-Paket zurückechoed. Ein Angreifer sendet ein UDP-Datagramm mit einem beliebigen IP-'ID'-Wert an einen geschlossenen Port auf dem entfernten Host, um die Art und Weise zu beobachten, in der dieses Bit in der ICMP-Fehlermeldung zurückechoed wird. Das Identifikationsfeld (ID) wird typischerweise für das Wiederzusammensetzen eines fragmentierten Pakets verwendet. Einige Betriebssysteme oder Router-Firmware kehren die Bitreihenfolge des ID-Feldes um, wenn der IP-Header-Teil des ursprünglichen Datagramms in einer ICMP-Fehlermeldung zurückgesendet wird.

Diese OS Fingerprinting Probe testet, ob der entfernte Host das IP 'DF' (Don't Fragment) Bit in einem Antwortpaket zurückechoed. Ein Angreifer sendet ein UDP-Datagramm mit gesetztem DF-Bit an einen geschlossenen Port des entfernten Hosts und beobachtet, ob das 'DF'-Bit im Antwortpaket gesetzt ist. Einige Betriebssysteme geben das Bit in der ICMP-Fehlermeldung als Echo aus, während andere das Bit im Antwortpaket auf Null setzen.

Dieser OS-Fingerprinting-Test untersucht die Implementierung von TCP-Zeitstempeln durch den Remote-Server. Nicht alle Betriebssysteme implementieren Zeitstempel im TCP-Header, aber wenn Zeitstempel verwendet werden, bietet dies dem Angreifer die Möglichkeit, das Betriebssystem des Ziels zu erraten. Der Angreifer beginnt damit, jeden aktiven TCP-Dienst zu testen, um eine Antwort zu erhalten, die einen TCP-Zeitstempel enthält. Verschiedene Betriebssysteme aktualisieren den Zeitstempelwert in unterschiedlichen Intervallen. Diese Art der Analyse ist am genauesten, wenn mehrere Antworten mit Zeitstempel empfangen und dann analysiert werden. TCP-Zeitstempel sind im Feld TCP-Optionen des TCP-Headers zu finden. [Der Angreifer sendet ein Probe-Paket an den Remote-Host, um festzustellen, ob Zeitstempel vorhanden sind. [Aufzeichnen und Analysieren der Zeitstempelwerte] Wenn der Remote-Host Zeitstempel verwendet, werden mehrere Zeitstempel erfasst, analysiert und mit bekannten Werten verglichen.

Diese OS Fingerprinting Probe testet die Vergabe von TCP-Sequenznummern durch das Zielsystem. Eine übliche Methode, die Erzeugung von TCP-Sequenznummern zu testen, besteht darin, ein Prüfpaket an einen offenen Port auf dem Ziel zu senden und dann zu vergleichen, wie die vom Ziel erzeugte Sequenznummer mit der Bestätigungsnummer im Prüfpaket zusammenhängt. Verschiedene Betriebssysteme vergeben Sequenznummern unterschiedlich, so dass ein Fingerabdruck des Betriebssystems erhalten werden kann, indem die Beziehung zwischen der Bestätigungsnummer und der Sequenznummer wie folgt kategorisiert wird: 1) die vom Ziel generierte Sequenznummer ist Null, 2) die vom Ziel generierte Sequenznummer ist die gleiche wie die Bestätigungsnummer in der Sonde, 3) die vom Ziel generierte Sequenznummer ist die Bestätigungsnummer plus eins, oder 4) die Sequenznummer ist eine beliebige andere Zahl ungleich Null.

Diese OS Fingerprinting Probe sendet eine Anzahl von TCP SYN Paketen an einen offenen Port eines entfernten Rechners. Die Initial Sequence Number (ISN) in jedem der SYN/ACK-Antwortpakete wird analysiert, um die kleinste Zahl zu ermitteln, die der Zielhost bei der Inkrementierung von Sequenznummern verwendet. Diese Information kann für die Identifizierung eines Betriebssystems nützlich sein, da bestimmte Betriebssysteme und Versionen Sequenznummern mit unterschiedlichen Werten inkrementieren. Das Ergebnis der Analyse wird dann mit einer Datenbank des Betriebssystemverhaltens verglichen, um den Betriebssystemtyp und/oder die Version zu bestimmen.

Diese OS-Erkennungssonde misst die durchschnittliche Rate der anfänglichen Sequenznummern-Inkremente während einer bestimmten Zeitspanne. Sequenznummern werden mit einem zeitbasierten Algorithmus inkrementiert und sind anfällig für eine Zeitanalyse, die die Anzahl der Inkremente pro Zeiteinheit bestimmen kann. Das Ergebnis dieser Analyse wird dann mit einer Datenbank von Betriebssystemen und Versionen verglichen, um wahrscheinliche Übereinstimmungen mit dem Betriebssystem zu ermitteln.

Diese Art von Betriebssystem-Sonde versucht, eine Schätzung zu ermitteln, wie vorhersehbar der Algorithmus zur Erzeugung von Sequenznummern für einen entfernten Host ist. Statistische Techniken, wie z. B. die Standardabweichung, können verwendet werden, um zu bestimmen, wie vorhersehbar die Sequenznummernerzeugung für ein System ist. Dieses Ergebnis kann dann mit einer Datenbank des Betriebssystemverhaltens verglichen werden, um eine wahrscheinliche Übereinstimmung für Betriebssystem und Version zu ermitteln.

Diese OS-Fingerprinting-Probe prüft, ob der entfernte Host explizites Congestion Notification (ECN) Messaging unterstützt. ECN-Messaging wurde entwickelt, um Routern zu ermöglichen, einen entfernten Host zu benachrichtigen, wenn Signalüberlastungsprobleme auftreten. Explicit Congestion Notification Messaging ist in RFC 3168 definiert. Verschiedene Betriebssysteme und Versionen können ECN-Benachrichtigungen implementieren oder nicht, oder sie können auf bestimmte ECN-Flag-Typen eindeutig reagieren.

Dieser OS-Fingerprinting-Test prüft die anfängliche TCP-Fenstergröße. TCP-Stacks begrenzen den Bereich der zulässigen Sequenznummern innerhalb einer Sitzung, um den "connected"-Status innerhalb der TCP-Protokolllogik aufrechtzuerhalten. Die anfängliche Fenstergröße spezifiziert einen Bereich von akzeptablen Sequenznummern, die als Antwort auf ein ACK-Paket innerhalb einer Sitzung gelten. Verschiedene Betriebssysteme verwenden unterschiedliche Anfangsfenstergrößen. Die anfängliche Fenstergröße kann durch den Aufbau einer normalen TCP-Verbindung ermittelt werden.

Diese OS Fingerprinting Probe analysiert den Typ und die Reihenfolge aller TCP-Header-Optionen, die innerhalb eines Antwortsegments vorhanden sind. Die meisten Betriebssysteme verwenden eine eindeutige Reihenfolge und unterschiedliche Optionssätze, wenn Optionen vorhanden sind. RFC 793 spezifiziert keine erforderliche Reihenfolge beim Vorhandensein von Optionen, so dass verschiedene Implementierungen eindeutige Wege der Anordnung oder Strukturierung von TCP-Optionen verwenden. TCP-Optionen können durch normalen TCP-Verkehr erzeugt werden.

Diese OS-Fingerprinting-Probe führt eine Prüfsumme über alle ASCII-Daten durch, die im Datenteil eines RST-Pakets enthalten sind. Einige Betriebssysteme melden eine menschenlesbare Textnachricht in der Nutzlast eines 'RST'-Pakets (Reset), wenn bestimmte Arten von Verbindungsfehlern auftreten. RFC 1122 erlaubt Text-Payloads in Reset-Paketen, aber nicht alle Betriebssysteme oder Router implementieren diese Funktionalität.

Ein Angreifer verwendet eine Technik, um eine ICMP-Fehlermeldung (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) von einem Ziel zu generieren und dann die Datenmenge zu analysieren, die von der ursprünglichen Anfrage, die die ICMP-Fehlermeldung generiert hat, zurückgegeben oder "gequotet" wurde.

Ein Angreifer verwendet eine Technik, um eine ICMP-Fehlermeldung (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) von einem Ziel zu generieren und dann die Integrität der Daten zu analysieren, die von der ursprünglichen Anfrage, die die Fehlermeldung generiert hat, zurückgegeben oder "gequotet" wurden.

Ein Angreifer bastelt sorgfältig kleine Java-Script-Schnipsel, um den Browsertyp des potenziellen Opfers effizient zu erkennen. Viele webbasierte Angriffe benötigen Vorwissen über den Webbrowser, einschließlich der Browserversion, um die erfolgreiche Ausnutzung einer Schwachstelle sicherzustellen. Mit diesem Wissen kann ein Angreifer das Opfer mit Angriffen angreifen, die gezielt bekannte oder Zero-Day-Schwachstellen im Typ und in der Version des vom Opfer verwendeten Browsers ausnutzen. Die Automatisierung dieses Prozesses über Java Script als Teil desselben Auslieferungssystems, das zum Ausnutzen des Browsers verwendet wird, wird als effizienter angesehen, da der Angreifer eine Browser-Fingerprinting-Methode bereitstellen und sie mit Exploit-Code integrieren kann, alles in Java Script und als Antwort auf dieselbe Webseitenanforderung durch den Browser.

Ein Angreifer führt Sondierungs- und Erkundungsaktivitäten durch, um festzustellen, ob gemeinsame Schlüsseldateien vorhanden sind. Solche Dateien enthalten oft Konfigurations- und Sicherheitsparameter der angegriffenen Anwendung, des Systems oder des Netzwerks. Die Nutzung dieses Wissens kann oft den Weg für schädlichere Angriffe ebnen.

Bei einem Shoulder-Surfing-Angriff beobachtet ein Angreifer die Tastatureingaben, den Bildschirminhalt oder die Gespräche einer unbekannten Person mit dem Ziel, an sensible Informationen zu gelangen. Ein Motiv für diesen Angriff ist es, sensible Informationen über die Zielperson zu erhalten, um daraus finanzielle, persönliche, politische oder andere Vorteile zu ziehen. Aus der Perspektive einer Insider-Bedrohung könnte ein zusätzliches Motiv darin bestehen, an System-/Anwendungsanmeldeinformationen oder kryptografische Schlüssel zu gelangen. Schulter-Surfing-Angriffe werden durchgeführt, indem der Inhalt "über die Schulter des Opfers" beobachtet wird, wie der Name dieses Angriffs andeutet.

Ein Angreifer nutzt eine Funktionalität aus, die dazu gedacht ist, einem autorisierten Benutzer Informationen über die aktuell laufenden Prozesse auf dem Zielsystem zu liefern. Indem er weiß, welche Prozesse auf dem Zielsystem laufen, kann der Angreifer etwas über die Zielumgebung lernen, um weiteres bösartiges Verhalten zu erreichen.

Ein Angreifer nutzt Funktionen aus, die dazu gedacht sind, einem autorisierten Benutzer Informationen über die Dienste auf dem Zielsystem zu liefern. Indem er weiß, welche Dienste auf dem Zielsystem registriert sind, kann der Angreifer etwas über die Zielumgebung erfahren, um weitere bösartige Handlungen vorzunehmen. Je nach Betriebssystem können die Befehle "sc" und "tasklist/svc" mit Tasklist und "net start" mit Net Informationen über Dienste abrufen.

Ein Angreifer nutzt eine Funktion aus, die dazu dient, einem autorisierten Benutzer Informationen über die Domänenkonten und deren Berechtigungen auf dem Zielsystem zu liefern. Indem er weiß, welche Konten auf dem Zielsystem registriert sind, kann der Angreifer weitere und gezieltere bösartige Handlungen vornehmen. Beispiele für Windows-Befehle, die diese Informationen beschaffen können, sind: "net user" und "dsquery".

Ein Angreifer nutzt eine Funktion aus, die Informationen über Benutzergruppen und deren Berechtigungen auf dem Zielsystem für einen autorisierten Benutzer ermitteln soll. Indem er weiß, welche Benutzer/Berechtigungen auf dem Zielsystem registriert sind, kann der Angreifer weitere und gezieltere bösartige Handlungen vornehmen. Ein Beispiel für einen Windows-Befehl, der lokale Gruppen auflisten kann, ist "net localgroup".

Ein Angreifer nutzt eine Funktion aus, die dazu dient, einem autorisierten Benutzer Informationen über die Hauptbenutzer des Zielsystems zu liefern. Dies kann z. B. durch die Überprüfung von Logins oder Datei-Änderungszeiten geschehen. Wenn der Angreifer weiß, welche Benutzer das Zielsystem nutzen, kann er weitere und gezieltere bösartige Handlungen vornehmen. Ein Beispiel für einen Windows-Befehl, mit dem dies erreicht werden kann, ist "dir /A ntuser.dat". Er zeigt die letzte Änderungszeit der Datei ntuser.dat eines Benutzers an, wenn er im Stammordner eines Benutzers ausgeführt wird. Diese Zeit ist gleichbedeutend mit dem Zeitpunkt, an dem der Benutzer zuletzt angemeldet war.

Dieser Angriff zielt auf vorhersehbare Sitzungs-IDs ab, um Privilegien zu erlangen. Der Angreifer kann die während einer Transaktion verwendete Sitzungs-ID vorhersagen, um Spoofing und Session Hijacking durchzuführen. Sitzungs-IDs finden] Der Angreifer interagiert mit dem Zielhost und stellt fest, dass Sitzungs-IDs zur Authentifizierung von Benutzern verwendet werden. IDs charakterisieren] Der Angreifer untersucht die Merkmale der Sitzungs-ID (Größe, Format usw.). Als Ergebnis stellt der Angreifer fest, dass legitime Sitzungs-IDs vorhersehbar sind. [Ausgegebene IDs abgleichen] Der Angreifer erprobt verschiedene Werte der Sitzungs-ID und schafft es, eine gültige Sitzungs-ID vorherzusagen. [Abgestimmte Sitzungs-ID verwenden] Der Angreifer verwendet die gefälschte Sitzungs-ID, um auf das Zielsystem zuzugreifen.

Dieser Angriff zielt auf die Wiederverwendung einer gültigen Sitzungs-ID ab, um das Zielsystem zu fälschen und sich so Privilegien zu verschaffen. Der Angreifer versucht, eine gestohlene Sitzungs-ID wiederzuverwenden, die zuvor während einer Transaktion verwendet wurde, um Spoofing und Session Hijacking durchzuführen. Ein anderer Name für diese Art von Angriff ist Session Replay. Der Angreifer interagiert mit dem Zielhost und stellt fest, dass Sitzungs-IDs zur Authentifizierung von Benutzern verwendet werden. Der Angreifer stiehlt eine Sitzungs-ID von einem gültigen Benutzer. Der Angreifer versucht, die gestohlene Sitzungs-ID zu verwenden, um Zugriff auf das System mit den Rechten des ursprünglichen Besitzers der Sitzungs-ID zu erhalten.

Ein Angreifer stellt eine bösartige Version einer Ressource an einem Ort bereit, der dem erwarteten Ort einer legitimen Ressource ähnlich ist. Nachdem der Angreifer den betrügerischen Standort eingerichtet hat, wartet er darauf, dass ein Opfer den Standort besucht und auf die bösartige Ressource zugreift.

Ein Angreifer entdeckt Verbindungen zwischen Systemen, indem er die Standardpraxis des Zielsystems ausnutzt, diese in durchsuchbaren, gemeinsamen Bereichen offenzulegen. Durch die Identifizierung von gemeinsamen Ordnern/Laufwerken zwischen Systemen kann der Angreifer sein Ziel, sensible Informationen/Dateien zu finden und zu sammeln, weiter verfolgen oder potenzielle Routen für laterale Bewegungen innerhalb des Netzwerks abbilden.

Angreifer können versuchen, Informationen über angeschlossene Peripheriegeräte und Komponenten zu erhalten, die mit einem Computersystem verbunden sind. Beispiele hierfür sind die Entdeckung des Vorhandenseins von iOS-Geräten durch die Suche nach Backups, die Analyse der Windows-Registrierung, um festzustellen, welche USB-Geräte angeschlossen wurden, oder die Infizierung eines Opfersystems mit Malware, die meldet, wenn ein USB-Gerät angeschlossen wurde. Dadurch kann der Angreifer zusätzliche Erkenntnisse über das System oder die Netzwerkumgebung gewinnen, die für die Konstruktion weiterer Angriffe nützlich sein können.

Ein Angreifer fängt eine Form der Kommunikation (z.B. Text, Audio, Video) mittels Software (z.B. Mikrofon und Audioaufnahmeanwendung), Hardware (z.B. Aufnahmegerät) oder physischen Mitteln (z.B. physische Nähe) ab. Das Ziel des Abhörens ist in der Regel, unbefugten Zugang zu sensiblen Informationen über die Zielperson zu erlangen, um daraus finanzielle, persönliche, politische oder andere Vorteile zu ziehen. Lauschangriffe unterscheiden sich von Schnüffelangriffen, da sie nicht auf einem netzwerkbasierten Kommunikationskanal (z. B. IP-Verkehr) stattfinden. Stattdessen wird die unbearbeitete Audioquelle eines Gesprächs zwischen zwei oder mehreren Parteien abgehört.

Dieser Angriff zielt auf die Kodierung der Slash-Zeichen ab. Ein Angreifer würde versuchen, gängige Filterprobleme im Zusammenhang mit der Verwendung von Schrägstrich-Zeichen auszunutzen, um Zugriff auf Ressourcen auf dem Zielhost zu erhalten. Verzeichnisgesteuerte Systeme wie Dateisysteme und Datenbanken verwenden in der Regel das Schrägstrich-Zeichen, um den Durchgang zwischen Verzeichnissen oder anderen Container-Komponenten anzuzeigen. Aus unerfindlichen historischen Gründen verwenden PCs (und infolgedessen auch Microsoft-Betriebssysteme) einen Backslash, während in der UNIX-Welt in der Regel der Schrägstrich verwendet wird. Das schizophrene Ergebnis ist, dass viele MS-basierte Systeme beide Formen des Schrägstrichs verstehen müssen. Dies gibt dem Angreifer viele Möglichkeiten, eine Reihe von gängigen Filterproblemen zu entdecken und zu missbrauchen. Ziel dieses Musters ist es, Serversoftware zu entdecken, die nur auf eine Version Filter anwendet, aber nicht auf die andere. [Mit Hilfe eines Browsers, eines automatisierten Tools oder durch Inspektion der Anwendung zeichnet ein Angreifer alle Eingangspunkte zur Anwendung auf. [Der Angreifer verwendet die in der Erkundungsphase erfassten Einstiegspunkte als Zielliste und sucht nach Bereichen, in denen Benutzereingaben verwendet werden, um auf Ressourcen des Zielhosts zuzugreifen. Der Angreifer versucht verschiedene Kodierungen von Schrägstrichzeichen, um Eingabefilter zu umgehen. [Sobald der Angreifer herausgefunden hat, wie er Filter, die Schrägstriche herausfiltern, umgehen kann, manipuliert er die Benutzereingabe so, dass sie Schrägstriche enthält, um Verzeichnisse zu durchsuchen und auf Ressourcen zuzugreifen, die nicht für den Benutzer bestimmt sind.