update to local git repo
This commit is contained in:
fzzinchemical
131
Semester 6/ITSARCH/Skript_Notizen/Exploits IDS_IPS.md
Normal file
131
Semester 6/ITSARCH/Skript_Notizen/Exploits IDS_IPS.md
Normal file
@@ -0,0 +1,131 @@
|
||||
## 💥 EXPLOITS – GRUNDLAGEN
|
||||
### Was ist ein Exploit?
|
||||
- Ausnutzung einer **Sicherheitslücke** in Software/IT-Systemen
|
||||
- Besteht aus:
|
||||
- **Schadcode / Shellcode** (führt Payload aus)
|
||||
|
||||
- **Payload**: z. B. Fernzugriff, Malware, Download weiterer Software
|
||||
|
||||
- Oft **spezifisch** für ein bestimmtes Programm/Version
|
||||
### Lebenszyklus einer Sicherheitslücke
|
||||
1. Sicherheitslücke existiert (unbekannt)
|
||||
2. **Zero-Day-Exploit**: Lücke wird entdeckt & ausgenutzt
|
||||
3. Lücke wird veröffentlicht & gepatcht
|
||||
### Exploit-Arten
|
||||
- **ACE (Arbitrary Code Execution)**: Schadcode wird durch Schwachstelle ausgeführt
|
||||
- **RCE (Remote Code Execution)**: über präparierte Webseite/E-Mail
|
||||
- **Drive-by-Download**: unbemerktes Ausführen beim Webseitenbesuch
|
||||
---
|
||||
## 🧰 EXPLOIT FRAMEWORKS & KITS
|
||||
### Bekannte Exploit-Frameworks
|
||||
- **Metasploit**: umfangreichstes Toolkit
|
||||
- **BeEF**: Webbrowser-Exploits
|
||||
- **SET**: Social Engineering Toolkit
|
||||
- **Koadic**, **Empire**, **Merlin**: Post-Exploitation
|
||||
### Exploit Kits
|
||||
- Sammlung vieler Exploits
|
||||
- Ermittelt automatisch Schwachstellen auf Clients
|
||||
- Nutzt ggf. **Zero-Day Exploits**
|
||||
- Beispiel: Webbrowser öffnet präparierte Webseite → passender Exploit automatisch geladen
|
||||
---
|
||||
## 🧨 ANGRIFFSTECHNIKEN
|
||||
### XSS (Cross Site Scripting)
|
||||
- JavaScript-Code in Webseiten einschleusen
|
||||
- Zugriff auf Cookies, Inhalte, Benutzeraktionen
|
||||
### Pufferüberlauf (Buffer Overflow)
|
||||
- Speicherüberlauf durch zu große Eingabe
|
||||
- Shellcode überschreibt Rücksprungadresse (Stack)
|
||||
### Spoofing
|
||||
- **Identitätsfälschung** (IP/DNS/ARP Spoofing)
|
||||
- Umgehung von Firewalls
|
||||
### DoS / DDoS
|
||||
- **Denial of Service**: Dienstüberlastung (z. B. SYN-Flooding)
|
||||
- **Distributed DoS**: Angriff durch viele Systeme gleichzeitig
|
||||
---
|
||||
## 🕵️♂️ IDS / IPS – INTRUSION DETECTION / PREVENTION
|
||||
### Ziel
|
||||
- Erkennung und ggf. Verhinderung von Angriffen auf IT-Systeme
|
||||
### Unterscheidung:
|
||||
|IDS|IPS|
|
||||
|---|---|
|
||||
|Erkennung & Alarmierung|Erkennung + aktive Blockierung|
|
||||
|Passiv|Aktiv|
|
||||
|Beispiel: **Snort** als IDS|Snort mit Blockier-Funktion|
|
||||
---
|
||||
## 🧱 IDS-KOMPONENTEN
|
||||
- **Sensor**: erkennt Ereignisse (Datenquelle)
|
||||
- **Datenbank**: speichert Ereignisse
|
||||
- **Auswertestation**: analysiert, bewertet, alarmiert
|
||||
- **Managementstation**: Konfiguration & Regelpflege
|
||||
---
|
||||
## 🔎 IDS-TYPEN
|
||||
### NIDS (Netzwerkbasiert)
|
||||
- Analysiert Netzwerkverkehr
|
||||
- Erkennt z. B. Portscans, DoS, SQL-Injection
|
||||
- Nachteile: keine Analyse verschlüsselter Verbindungen (TLS), Mehrdeutigkeiten
|
||||
### HIDS (Hostbasiert)
|
||||
- Überwacht einzelnes System (Betriebssystem, Anwendungen)
|
||||
- Vorteile: sieht verschlüsselte Daten
|
||||
- Nachteile: hoher Aufwand, systembelastend, kann selbst Ziel sein
|
||||
### Hybrides IDS
|
||||
- Kombination aus NIDS & HIDS
|
||||
- Sensoren verteilt, zentrale Verwaltung
|
||||
---
|
||||
## 🧠 ERKENNUNGSMETHODEN
|
||||
### 1. **Signaturanalyse (Missbrauchsmuster)**
|
||||
- Vergleich mit bekannten Angriffsmustern
|
||||
- Vorteil: **gezielte Erkennung**
|
||||
- Nachteil: erkennt keine neuen Angriffe, false positives möglich
|
||||
### 2. **Anomalieerkennung**
|
||||
- Detektiert Abweichungen vom Normalverhalten
|
||||
- Vorteile: erkennt auch **unbekannte Angriffe**
|
||||
- Nachteile: hoher Aufwand, Datenschutzproblematik
|
||||
---
|
||||
## 🐝 HONEYPOTS
|
||||
### Definition
|
||||
- **Falle für Angreifer**
|
||||
- Stellt gezielt verwundbares System bereit
|
||||
### Arten
|
||||
|Typ|Eigenschaften|
|
||||
|---|---|
|
||||
|**High Interaction**|echtes System, realistische Analyse|
|
||||
|**Low Interaction**|emulierte Funktionen, sicherer, aber erkennbar|
|
||||
- **Client-Honeypots**: interagieren aktiv mit Servern
|
||||
- **Server-Honeypots**: lauschen passiv, analysieren eingehende Anfragen
|
||||
---
|
||||
## 🐍 SNORT – PRAKTISCHES BEISPIEL FÜR EIN IDS
|
||||
### Merkmale
|
||||
- Open Source IDS/NIPS
|
||||
- Besteht aus:
|
||||
- **Packet Sniffer**
|
||||
|
||||
- **Logger**
|
||||
|
||||
- **Detection Engine** (Regelbasierte Analyse)
|
||||
|
||||
- Erweiterbar mit:
|
||||
- Preprozessoren
|
||||
|
||||
- Add-ons
|
||||
|
||||
- Logging- und Alarmierungsmechanismen
|
||||
|
||||
### Aufbau
|
||||
1. **Packet Decoder**: liest eingehende Pakete
|
||||
2. **Preprozessor**: erkennt z. B. Portscans
|
||||
3. **Detection Engine**: vergleicht mit Regeln (Snort Rules)
|
||||
4. **Output Plugins**: Logging, Alarmierung (z. B. Datenbank, Mail)
|
||||
### Snort Rules:
|
||||
- bestehen aus Header (IP, Port, Aktion) + Optionen (Inhalt, Alarmtext)
|
||||
---
|
||||
## ✅ ZUSAMMENFASSUNG – KLAUSURRELEVANT
|
||||
- Exploits = gezielte Ausnutzung von Schwachstellen
|
||||
- Exploit Kits bündeln viele Exploits, oft Zero-Day dabei
|
||||
- IDS erkennt Angriffe, IPS verhindert sie aktiv
|
||||
- NIDS ↔ HIDS: netzwerk- vs. hostbasiert
|
||||
- Signaturerkennung: gezielt, aber blind für neue Angriffe
|
||||
- Anomalieerkennung: erkennt Neues, aber komplex
|
||||
- Snort = praxisnahes IDS, regelbasiert
|
||||
- Honeypots zur Analyse & Täuschung von Angreifern
|
||||
---
|
||||
Wenn du willst, kann ich daraus **Karteikarten**, ein **Quiz**, oder eine **Lernmatrix** erstellen – sag einfach Bescheid!
|
||||
Reference in New Issue
Block a user