Schulisches/TI-Studium-Mitschriften
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
TI-Studium-Mitschriften/Semester 6/ITSARCH/Skript_Notizen/Exploits IDS_IPS.md
fzzinchemical 898fbe668e vault backup: 2025-07-03 16:57:46
2025-07-03 16:57:46 +02:00

4.7 KiB
Raw Permalink Blame History

💥 EXPLOITS GRUNDLAGEN

Was ist ein Exploit?

  • Ausnutzung einer Sicherheitslücke in Software/IT-Systemen
  • Besteht aus:
    • Schadcode / Shellcode (führt Payload aus)
    • Payload: z.B. Fernzugriff, Malware, Download weiterer Software
  • Oft spezifisch für ein bestimmtes Programm/Version

Lebenszyklus einer Sicherheitslücke

  1. Sicherheitslücke existiert (unbekannt)
  2. Zero-Day-Exploit: Lücke wird entdeckt & ausgenutzt
  3. Lücke wird veröffentlicht & gepatcht

Exploit-Arten

  • ACE (Arbitrary Code Execution): Schadcode wird durch Schwachstelle ausgeführt
  • RCE (Remote Code Execution): über präparierte Webseite/E-Mail
  • Drive-by-Download: unbemerktes Ausführen beim Webseitenbesuch

🧰 EXPLOIT FRAMEWORKS & KITS

Bekannte Exploit-Frameworks

  • Metasploit: umfangreichstes Toolkit
  • BeEF: Webbrowser-Exploits
  • SET: Social Engineering Toolkit
  • Koadic, Empire, Merlin: Post-Exploitation

Exploit Kits

  • Sammlung vieler Exploits
  • Ermittelt automatisch Schwachstellen auf Clients
  • Nutzt ggf. Zero-Day Exploits
  • Beispiel: Webbrowser öffnet präparierte Webseite → passender Exploit automatisch geladen

🧨 ANGRIFFSTECHNIKEN

XSS (Cross Site Scripting)

  • JavaScript-Code in Webseiten einschleusen
  • Zugriff auf Cookies, Inhalte, Benutzeraktionen

Pufferüberlauf (Buffer Overflow)

  • Speicherüberlauf durch zu große Eingabe
  • Shellcode überschreibt Rücksprungadresse (Stack)

Spoofing

  • Identitätsfälschung (IP/DNS/ARP Spoofing)
  • Umgehung von Firewalls

DoS / DDoS

  • Denial of Service: Dienstüberlastung (z.B. SYN-Flooding)
  • Distributed DoS: Angriff durch viele Systeme gleichzeitig

🕵️‍♂️ IDS / IPS INTRUSION DETECTION / PREVENTION

Ziel

  • Erkennung und ggf. Verhinderung von Angriffen auf IT-Systeme

Unterscheidung:

IDS IPS
Erkennung & Alarmierung Erkennung + aktive Blockierung
Passiv Aktiv
Beispiel: Snort als IDS Snort mit Blockier-Funktion

🧱 IDS-KOMPONENTEN

  • Sensor: erkennt Ereignisse (Datenquelle)
  • Datenbank: speichert Ereignisse
  • Auswertestation: analysiert, bewertet, alarmiert
  • Managementstation: Konfiguration & Regelpflege

🔎 IDS-TYPEN

NIDS (Netzwerkbasiert)

  • Analysiert Netzwerkverkehr
  • Erkennt z.B. Portscans, DoS, SQL-Injection
  • Nachteile: keine Analyse verschlüsselter Verbindungen (TLS), Mehrdeutigkeiten

HIDS (Hostbasiert)

  • Überwacht einzelnes System (Betriebssystem, Anwendungen)
  • Vorteile: sieht verschlüsselte Daten
  • Nachteile: hoher Aufwand, systembelastend, kann selbst Ziel sein

Hybrides IDS

  • Kombination aus NIDS & HIDS
  • Sensoren verteilt, zentrale Verwaltung

🧠 ERKENNUNGSMETHODEN

1. Signaturanalyse (Missbrauchsmuster)

  • Vergleich mit bekannten Angriffsmustern
  • Vorteil: gezielte Erkennung
  • Nachteil: erkennt keine neuen Angriffe, false positives möglich

2. Anomalieerkennung

  • Detektiert Abweichungen vom Normalverhalten
  • Vorteile: erkennt auch unbekannte Angriffe
  • Nachteile: hoher Aufwand, Datenschutzproblematik

🐝 HONEYPOTS

Definition

  • Falle für Angreifer
  • Stellt gezielt verwundbares System bereit

Arten

Typ Eigenschaften
High Interaction echtes System, realistische Analyse
Low Interaction emulierte Funktionen, sicherer, aber erkennbar
  • Client-Honeypots: interagieren aktiv mit Servern
  • Server-Honeypots: lauschen passiv, analysieren eingehende Anfragen

🐍 SNORT PRAKTISCHES BEISPIEL FÜR EIN IDS

Merkmale

  • Open Source IDS/NIPS

  • Besteht aus:

    • Packet Sniffer
    • Logger
    • Detection Engine (Regelbasierte Analyse)

  • Erweiterbar mit:

    • Preprozessoren
    • Add-ons
    • Logging- und Alarmierungsmechanismen

Aufbau

  1. Packet Decoder: liest eingehende Pakete
  2. Preprozessor: erkennt z.B. Portscans
  3. Detection Engine: vergleicht mit Regeln (Snort Rules)
  4. Output Plugins: Logging, Alarmierung (z.B. Datenbank, Mail)

Snort Rules:

  • bestehen aus Header (IP, Port, Aktion) + Optionen (Inhalt, Alarmtext)

ZUSAMMENFASSUNG KLAUSURRELEVANT

  • Exploits = gezielte Ausnutzung von Schwachstellen
  • Exploit Kits bündeln viele Exploits, oft Zero-Day dabei
  • IDS erkennt Angriffe, IPS verhindert sie aktiv
  • NIDS ↔ HIDS: netzwerk- vs. hostbasiert
  • Signaturerkennung: gezielt, aber blind für neue Angriffe
  • Anomalieerkennung: erkennt Neues, aber komplex
  • Snort = praxisnahes IDS, regelbasiert
  • Honeypots zur Analyse & Täuschung von Angreifern
Reference in New Issue View Git Blame Copy Permalink