## 💥 EXPLOITS – GRUNDLAGEN
### Was ist ein Exploit?
- Ausnutzung einer **Sicherheitslücke** in Software/IT-Systemen
- Besteht aus:
    - **Schadcode / Shellcode** (führt Payload aus)
    - **Payload**: z. B. Fernzugriff, Malware, Download weiterer Software
- Oft **spezifisch** für ein bestimmtes Programm/Version
### Lebenszyklus einer Sicherheitslücke
1. Sicherheitslücke existiert (unbekannt)
2. **Zero-Day-Exploit**: Lücke wird entdeckt & ausgenutzt
3. Lücke wird veröffentlicht & gepatcht
### Exploit-Arten
- **ACE (Arbitrary Code Execution)**: Schadcode wird durch Schwachstelle ausgeführt
- **RCE (Remote Code Execution)**: über präparierte Webseite/E-Mail
- **Drive-by-Download**: unbemerktes Ausführen beim Webseitenbesuch
---
## 🧰 EXPLOIT FRAMEWORKS & KITS
### Bekannte Exploit-Frameworks
- **Metasploit**: umfangreichstes Toolkit
- **BeEF**: Webbrowser-Exploits
- **SET**: Social Engineering Toolkit
- **Koadic**, **Empire**, **Merlin**: Post-Exploitation
### Exploit Kits
- Sammlung vieler Exploits
- Ermittelt automatisch Schwachstellen auf Clients
- Nutzt ggf. **Zero-Day Exploits**
- Beispiel: Webbrowser öffnet präparierte Webseite → passender Exploit automatisch geladen
---
## 🧨 ANGRIFFSTECHNIKEN
### XSS (Cross Site Scripting)
- JavaScript-Code in Webseiten einschleusen
- Zugriff auf Cookies, Inhalte, Benutzeraktionen
### Pufferüberlauf (Buffer Overflow)
- Speicherüberlauf durch zu große Eingabe
- Shellcode überschreibt Rücksprungadresse (Stack)
### Spoofing
- **Identitätsfälschung** (IP/DNS/ARP Spoofing)
- Umgehung von Firewalls
### DoS / DDoS
- **Denial of Service**: Dienstüberlastung (z. B. SYN-Flooding)
- **Distributed DoS**: Angriff durch viele Systeme gleichzeitig
---
## 🕵️‍♂️ IDS / IPS – INTRUSION DETECTION / PREVENTION
### Ziel
- Erkennung und ggf. Verhinderung von Angriffen auf IT-Systeme
### Unterscheidung:
| IDS                         | IPS                            |
| --------------------------- | ------------------------------ |
| Erkennung & Alarmierung     | Erkennung + aktive Blockierung |
| Passiv                      | Aktiv                          |
| Beispiel: **Snort** als IDS | Snort mit Blockier-Funktion    |

---
## 🧱 IDS-KOMPONENTEN
- **Sensor**: erkennt Ereignisse (Datenquelle)
- **Datenbank**: speichert Ereignisse
- **Auswertestation**: analysiert, bewertet, alarmiert
- **Managementstation**: Konfiguration & Regelpflege
---
## 🔎 IDS-TYPEN
### NIDS (Netzwerkbasiert)
- Analysiert Netzwerkverkehr
- Erkennt z. B. Portscans, DoS, SQL-Injection
- Nachteile: keine Analyse verschlüsselter Verbindungen (TLS), Mehrdeutigkeiten
### HIDS (Hostbasiert)
- Überwacht einzelnes System (Betriebssystem, Anwendungen)
- Vorteile: sieht verschlüsselte Daten
- Nachteile: hoher Aufwand, systembelastend, kann selbst Ziel sein
### Hybrides IDS
- Kombination aus NIDS & HIDS
- Sensoren verteilt, zentrale Verwaltung
---
## 🧠 ERKENNUNGSMETHODEN
### 1. **Signaturanalyse (Missbrauchsmuster)**
- Vergleich mit bekannten Angriffsmustern
- Vorteil: **gezielte Erkennung**
- Nachteil: erkennt keine neuen Angriffe, false positives möglich
### 2. **Anomalieerkennung**
- Detektiert Abweichungen vom Normalverhalten
- Vorteile: erkennt auch **unbekannte Angriffe**
- Nachteile: hoher Aufwand, Datenschutzproblematik
---
## 🐝 HONEYPOTS
### Definition
- **Falle für Angreifer**
- Stellt gezielt verwundbares System bereit
### Arten
|Typ|Eigenschaften|
|---|---|
|**High Interaction**|echtes System, realistische Analyse|
|**Low Interaction**|emulierte Funktionen, sicherer, aber erkennbar|
- **Client-Honeypots**: interagieren aktiv mit Servern
- **Server-Honeypots**: lauschen passiv, analysieren eingehende Anfragen
---
## 🐍 SNORT – PRAKTISCHES BEISPIEL FÜR EIN IDS
### Merkmale
- Open Source IDS/NIPS
- Besteht aus:
    - **Packet Sniffer**
    - **Logger**
    - **Detection Engine** (Regelbasierte Analyse)

- Erweiterbar mit:
    - Preprozessoren
    - Add-ons
    - Logging- und Alarmierungsmechanismen
### Aufbau
1. **Packet Decoder**: liest eingehende Pakete
2. **Preprozessor**: erkennt z. B. Portscans
3. **Detection Engine**: vergleicht mit Regeln (Snort Rules)
4. **Output Plugins**: Logging, Alarmierung (z. B. Datenbank, Mail)
### Snort Rules:
- bestehen aus Header (IP, Port, Aktion) + Optionen (Inhalt, Alarmtext)
---
## ✅ ZUSAMMENFASSUNG – KLAUSURRELEVANT
- Exploits = gezielte Ausnutzung von Schwachstellen
- Exploit Kits bündeln viele Exploits, oft Zero-Day dabei
- IDS erkennt Angriffe, IPS verhindert sie aktiv
- NIDS ↔ HIDS: netzwerk- vs. hostbasiert
- Signaturerkennung: gezielt, aber blind für neue Angriffe
- Anomalieerkennung: erkennt Neues, aber komplex
- Snort = praxisnahes IDS, regelbasiert
- Honeypots zur Analyse & Täuschung von Angreifern