DE102005050584B4 - Method for determining unwanted access to a data packet - Google Patents

Method for determining unwanted access to a data packet Download PDF

Info

Publication number
DE102005050584B4
DE102005050584B4 DE200510050584 DE102005050584A DE102005050584B4 DE 102005050584 B4 DE102005050584 B4 DE 102005050584B4 DE 200510050584 DE200510050584 DE 200510050584 DE 102005050584 A DE102005050584 A DE 102005050584A DE 102005050584 B4 DE102005050584 B4 DE 102005050584B4
Authority
DE
Germany
Prior art keywords
data packet
node
parameter
control table
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200510050584
Other languages
German (de)
Other versions
DE102005050584A1 (en
Inventor
Sebastian Roschke
Lucas Will
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE200510050584 priority Critical patent/DE102005050584B4/en
Publication of DE102005050584A1 publication Critical patent/DE102005050584A1/en
Application granted granted Critical
Publication of DE102005050584B4 publication Critical patent/DE102005050584B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

Verfahren zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten, wobei das Verfahren die folgenden Verfahrensschritte umfaßt:
a) Auslesen von Header-Informationen des Datenpaketes;
b) Ermitteln mindestens eines Parameters aus den ausgelesenen Header-Informationen des Datenpakets;
c) Vergleichen des mindestens einen ermittelten Parameters mit Eintragungen des Sender-Knotenpunktes des Datenpakets in einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; und
d) Feststellen eines unerwünschten Zugriffs auf das Datenpaket, wenn der mindestens eine ermittelte Parameter mit dem entsprechenden mindestens einen Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt.
Wenn ein unerwünschter Zugriff auf das Datenpaket festgestellt wurde:
e) Vergleichen von mindestens einem weiteren ermittelten Parameter mit den Eintragungen in der Kontrolltabelle;...A method for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the Receiver node comprising nodes, the method comprising the following method steps:
a) reading header information of the data packet;
b) determining at least one parameter from the read-out header information of the data packet;
c) comparing the at least one determined parameter with entries of the transmitter node of the data packet in a control table in which at least one reference parameter is stored for each node of the packet-based network; and
d) detecting an unwanted access to the data packet if the at least one determined parameter does not match the corresponding at least one reference parameter of the sender node of the data packet in the control table.
If an unwanted access to the data packet has been detected:
e) comparing at least one further determined parameter with the entries in the control table; ...

Figure 00000001
Figure 00000001

Description

Die Erfindung liegt auf dem Gebiet von Verfahren und Vorrichtungen zum Ermitteln von unerwünschten Zugriffen auf Daten in Datennetzwerken.The The invention is in the field of methods and apparatus for Detecting unwanted Access to data in data networks.

Stand der TechnikState of the art

Um Daten in einem Datennetzwerk auszuspionieren, bedienen sich Angreifer unterschiedlicher Angriffs-Techniken. Eine dieser Angriffs-Techniken, welche sehr häufig angewendet wird, wird als Man-In-The-Middle-Angriff (MitM-Angriff) bezeichnet. Man-In-The-Middle- Angriffe werden von Angreifern genutzt, um in dem Datennetzwerk auf Daten zuzugreifen, zu denen sie eigentlich keinen Zugriff hätten. Bei derartigen Angriffen wird der Weg der Daten im Datennetzwerk so manipuliert, daß er über die Position des Angreifers im Datennetzwerk führt. Anders ausgedrückt: Der Angreifer wird im Datennetzwerk zwischen Sender und Empfänger positioniert. Diese Position wird MitM-Position genannt.Around To spy on data in a data network, attackers use different attack techniques. One of these attack techniques which very often is applied as a man-in-the-middle attack (MitM attack) designated. Man-in-the-middle attacks are used by attackers to access data in the data network access to which they would not have access. at such attacks, the way the data in the data network so he manipulates that over the Position of the attacker in the data network leads. In other words: the An attacker is positioned on the data network between sender and receiver. This position is called MitM position.

Angriffstechniken, um die MitM-Position zu erlangen sind beispielsweise MAC- und ARP-Spoofing, ICMP-Redirects, DHCP-Starvation sowie Spanning-Tree- oder VLAN-Attacken.Attack techniques, MAC and ARP spoofing, ICMP redirects, for example, to obtain the MitM position, DHCP starvation and spanning tree or VLAN attacks.

Sicherheitssysteme, welche sich bislang mit dieser Thematik beschäftigen, arbeiten mit Angriffsmuster-Erkennungen. Das bedeutet, daß diese Sicherheitssysteme an Stellen im Netzwerk plaziert werden, die am Entstehungsort diverser Angriffspakete sind, die vom Angreifer in das Netzwerk geschickt werden, um die MitM-Position zu erlangen. Beispiele für Stellen, an denen MitM-Angriffe von gegenwärtig vorhandenen Sicherheitssystemen, wie beispielsweise Network-Intrusion-Detection-Systems (NIDS) aufgespürt werden, sind Switches, Hubs, WLAN-Zugangsknoten, Router und ähnliche aktive Netzwerkkomponenten, die eine Funktion zur Überwachung des aktuellen Datenstroms bieten. Dies ist sehr kostspielig, da die genannten aktiven Netzwerkkomponenten mit den Sicherheitssystemen nachgerüstet werden müssen, um einen Angriff zu erkennen.Security systems Those who have dealt with this topic so far work with attack pattern recognition. That means that this Security systems are placed in places on the network that are located at Origin of various attack packages are those of the attacker in the network will be sent to get the MitM position. Examples for jobs, MitM attacks from currently existing security systems, such as Network Intrusion Detection Systems (NIDS), are switches, hubs, wi-fi access nodes, routers and the like active network components that have a monitoring function of the current data stream. This is very expensive because the mentioned active network components with the security systems retrofitted Need to become, to detect an attack.

Die Angriffsmuster-Erkennungen basieren beispielsweise auf dem Vergleichen eines aktuellen Datenpaketes mit in einer Datenbank abgelegten Signaturen, die bekannte Angriffe identifizieren. Stimmt das aktuelle Datenpaket mit einer Signatur aus der Datenbank überein, wird ein Angriff gemeldet.The Attack pattern detections are based on, for example, comparison a current data package with signatures stored in a database, identify the known attacks. Fits the current data packet with a signature from the database, an attack is reported.

Ein Sicherheitssystem, welches auf Angriffsmuster-Erkennung basiert, hat weiterhin den Nachteil, daß für jede einzelne dieser Angriffs-Techniken in einer Datenbank eine Art Kontrolldatensatz mit einer Signatur vorhanden sein muß, die es dem Sicherheitssystem erlaubt, den Angriff zu erkennen. Die Datenbank müßte zudem regelmäßig aktualisiert werden, um die neuesten Signaturen für Angriffe zu enthalten.One Security system based on attack pattern recognition, has the further disadvantage that for each one This attack techniques in a database a kind of control record It must be present with a signature that it is the security system allowed to recognize the attack. The database should also updated regularly be to contain the latest signatures for attacks.

Das Dokument US 2005/022020 A1 offenbart ein Authentisierungsprotokoll zum Authentisieren eines Clients, welcher auf einen Server zugreifen will. Mit Hilfe des Authentisierungsprotokolls soll ein Man-in-the-Middle-Angriff (MITM-Angriff) auf den Server verhindert werden. Um das bekannte Authentifizierungsprotokoll einzuleiten, wird von dem Client zunächst eine Authentifizierungsanfrage, welche einen Benutzernamen umfaßt, an den Server übermittelt. Der Server sendet dann einen sogenannten Nonce-Wert an den Client. Aus diesem Nonce-Wert sowie aus anderen Werten ermittelt der Client mittels eines Hash-Algorithmus einen Authentifizierungscode, welchen er an den Server übersendet. Mit Hilfe des gleichen Hash-Algorithmus und der Daten, die auch ihm zur Verfügung stehen, ermittelt der Server einen Vergleichs-Authentifizierungscode. Dieser wird mit dem von dem Client erhaltenen Authentifizierungscode verglichen.The document US 2005/022020 A1 discloses an authentication protocol for authenticating a client wishing to access a server. The authentication protocol is intended to prevent a man-in-the-middle attack (MITM attack) on the server. In order to initiate the known authentication protocol, the client first transmits an authentication request, which comprises a user name, to the server. The server then sends a so-called nonce value to the client. From this nonce value and from other values, the client uses an hash algorithm to determine an authentication code which it sends to the server. Using the same hash algorithm and the data that is also available to it, the server determines a comparison authentication code. This is compared with the authentication code received from the client.

Die Dokumente US 2003/145232 A1 und US 2002/0311347 A1 beschreiben jeweils ein Verfahren, bei dem in einem Netzwerk übertragene Datenpakete untersucht werden, um einen sogenannten Denial-of-Service-Angriff (DoS-Angriff) zu erkennen und abzuwähren. Hierzu werden aus Header-Informationen der Datenpakete Parameter ermittelt, beispielsweise ein TTL-Wert. Aus den ermittelten Parametern aus mehreren Datenpaketen wird anschließend ein Histogramm erstellt, welches die Häufigkeit anzeigt, mit der die unterschiedlichen Parameter auftreten.The documents US 2003/145232 A1 and US 2002/0311347 A1 describe in each case a method in which data packets transmitted in a network are examined in order to detect and deny a so-called denial-of-service attack (DoS attack). For this purpose, parameters are determined from header information of the data packets, for example a TTL value. From the determined parameters from several data packets, a histogram is then created which shows the frequency with which the different parameters occur.

Das Dokument SUGENG, Hubert; POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Publickey-/SSH (Carleton University, April 2005) beschreibt die Möglichkeit von Man-in-the-Middle-Angriffen gegen Public-Key-Infrastrukturen am Beispiel eines MitM-Angriffs gegen das SSH-Protokoll.The Document SUGENG, Hubert; POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Publickey / SSH (Carleton University, April 2005) describes the possibility man-in-the-middle attacks against public-key infrastructures using the example of a MitM attack against the SSH protocol.

Das Dokument US 2002/0073338 A1 beschreibt ein System und ein Verfahren zur Eingrenzung von unerwünschtem Verhalten von Computern in Netzwerken.The document US 2002/0073338 A1 describes a system and method for limiting unwanted behavior of computers in networks.

Die ErfindungThe invention

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung zur Verfügung zu stellen, welche ein einfaches und zuverlässiges Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket in einem paketbasierten Netzwerk erlauben.Of the Invention is therefore the object of a method and a Device available to provide a simple and reliable determination of an undesirable Allow access to a data packet in a packet-based network.

Die Aufgabe wird erfindungsgemäß durch ein Verfahren nach dem unabhängigen Anspruch 1 und eine Vorrichtung nach dem unabhängigen Anspruch 8 gelöst.The The object is achieved by a Method according to the independent Claim 1 and a device according to independent claim 8 solved.

Erfindungsgemäß ist ein Verfahren zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten, wobei in dem Verfahren Header-Informationen des Datenpaketes ausgelesen werden; mindestens ein Parameter aus den ausgelesenen Header-Informationen des Datenpakets ermittelt wird; der mindestens eine ermittelte Parameter mit Eintragungen des Sender-Knotenpunktes des Datenpakets in einer Kontrolltabelle verglichen wird, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; und ein unerwünschter Zugriff auf das Datenpaket festgestellt wird, wenn der mindestens eine ermittelte Parameter mit dem entsprechenden mindestens einen Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt.According to the invention is a Method for determining unwanted access to a data packet, in particular, a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the receiver node Nodes, wherein in the method header information of the data packet be read out; at least one parameter from the read out Header information of the data packet is determined; the least a determined parameter with entries of the transmitter node of the data packet is compared in a control table in which for all Nodes of the packet-based network at least one Reference parameter is stored; and an unwanted access to the data packet detected If the at least one determined parameter with the corresponding at least one reference parameter of the transmitter node of the Data packets in the control table do not match.

Wenn ein unerwünschter Zugriff auf das Datenpaket festgestellt wurde:
In dem Verfahren wird mindestens ein weiterer ermittelter Parameter mit den Eintragungen in der Kontrolltabelle verglichen und ein unerwünschter Zugriff auf das Datenpaket wird als ein unerwünschter Zugriff erster Art identifiziert wird, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt; und der unerwünschte Zugriff auf das Datenpaket als ein unerwünschter Zugriff zweiter Art identifiziert wird, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt;
wobei in dem Verfahren der für jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der mindestens eine ermittelte Parameter einen Time-To-Live-Parameter umfasst, wobei einer der mindestens eine weitere Referenzparameter eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst; und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse des Sender-Knotenpunktes umfasst; wobei in dem Verfahren die Kontrolltabelle mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen der Header-Informationen aller Test-Datenpakete zum Ermitteln der Referenzparameter erstellt wird.If an unwanted access to the data packet has been detected:
In the method, at least one further determined parameter is compared with the entries in the control table and unwanted access to the data packet is identified as unwanted access of the first kind if the at least one further determined parameter is correlated with the corresponding at least one further reference parameter of the transmitter. Node of the data packet in the control table matches; and identifying the unwanted access to the data packet as unwanted access of the second type if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the sender node of the data packet in the control table;
wherein in the method the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, wherein one of the at least one further reference parameter is a Hardware address of the node comprises and one of the at least one further determined parameters comprises a hardware address of the transmitter node; and one of the at least one further reference parameter comprises a network address of the node, and one of the at least one further determined parameter comprises a network address of the transmitter node; wherein in the method, the control table is created by transmitting test data packets to the switching node from all remaining ones of the plurality of nodes of the network and then reading out the header information of all the test data packets to determine the reference parameters.

Gegenüber dem Stand der Technik hat das Verfahren den Vorteil, daß die Feststellung des unerwünschten Zugriffs mittels eines einfachen Vergleichs von Parametern mit Referenzparametern erfolgt. Ein Durchsuchen des Datenpakets nach bestimmten Signaturen eines Angriffs muß nicht erfolgen. Dies ermöglicht ein schnelles und zuverlässiges Überprüfen des Datenpakets.Compared to the In the prior art, the method has the advantage that the determination of the undesirable Access by means of a simple comparison of parameters with reference parameters he follows. A search of the data packet for specific signatures an attack does not have to respectively. this makes possible a quick and reliable check of the Data packet.

Außerdem entfällt die Speicherung von Signaturen bekannter Angriffe, die dann mit dem Inhalt des Datenpakets verglichen werden muß. Statt dessen reicht ein Erkennen der Aus wirkungen des Angriffs, nämlich der Veränderung von Parametern in den Header-Informationen des Datenpakets, aus, um einen MitM-Angriff festzustellen. Da diese Auswirkungen des Angriffs als Symptome des Angriffs anzusehen sind, kann hier von einer symptomatischen Erkennung eines MitM-Angriffs gesprochen werden. Hierdurch werden auch Angriffe, deren Art bislang unbekannt sind, die aber eine Positionierung des Angreifers in einer MitM-Position zur Folge haben, durch die im erfindungsgemäßen Verfahren untersuchten Symptome erkannt.In addition, the deleted Storage of signatures of known attacks, which then with the Content of the data packet must be compared. Instead, one is enough Recognizing the effects of the attack, namely the change parameters in the header information of the data packet, to determine a MitM attack. This one Effects of the attack are considered to be symptoms of the attack, here can be symptomatic detection of a mitM attack to be spoken. As a result, attacks are also known, their kind so far unknown which are but a positioning of the attacker in a MitM position result, by the examined in the method according to the invention Symptoms detected.

Ferner kann ein Angriff auch an einer Stelle im Netz ermittelt, die sich nicht unmittelbar am Ursprungsort des Angriffs, also an der Position im paketbasierten Netzwerk, an der ein Rechner des Angreifers tatsächlich angeschlossen ist, befindet. Somit werden keine aufwendigen Anforderungen an das paketbasierte Netzwerk gestellt, wie beispielsweise eine Überwachungsfunktion aktiver Knotenpunkte, wie Hubs oder Switches.Further An attack can also be detected at a point in the network that is not directly at the place of origin of the attack, ie at the position in the packet-based network to which an attacker's machine is actually connected is located. Thus, no complicated requirements to the packet-based network, such as a monitoring function active nodes, such as hubs or switches.

Weitere Vorteile von bevorzugten Ausführungsformen der Erfindung sind Gegenstand der abhängigen Ansprüche.Further Advantages of preferred embodiments The invention is the subject of the dependent claims.

Erfindungsgemäß ist ferner eine Vorrichtung zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten vorgesehen, wobei die Vorrichtung Verbindungsmittel zum Verbinden mit dem paketbasierten Netzwerk; Empfangsmittel zum Empfangen des Datenpakets; Auslesemittel zum Auslesen von Header-Informationen des Datenpaketes; Extraktionsmittel zum Ermitteln mindestens eines Parameters aus den ausgelesenen Header-Informationen des Datenpakets; Speichermittel zum Speichern einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; Vergleichsmittel zum Vergleichen des mindestens einen ermittelten Parameters mit Eintragungen in der in den Speichermittel gespeicherten Kontrolltabelle; Verarbeitungsmittel zum Feststellen eines unerwünschten Zugriffs auf das Datenpaket, wenn der mindestens eine ermittelte Parameter für keines der Knotenpunkte mit dem entsprechenden mindestens einen Referenzparameter in der Kontrolltabelle übereinstimmt; und Mittel zum Vergleichen von mindestens einem weiteren ermittelten Parameter mit den Eintragungen in der Kontrolltabelle; und Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zu griff erster Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt; und Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff zweiter Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt; wobei der für jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der mindestens eine ermittelte Parameter einen Time-To-Live-Parameter umfasst, wobei einer der mindestens eine weitere Referenzparameter eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst; und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse des Sender-Knotenpunktes umfasst, wobei die Kontrolltabelle mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen der Header-Informationen aller Test-Datenpakete zum Ermitteln der Referenzparameter erstellt wird; und Sendemittel zum Weiterleiten des Datenpakets umfaßt.According to the invention, a device for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the transmitter Node and the node comprising the receiver node, the device comprising connection means for connection to the packet-based network; Receiving means for receiving the data packet; Read-out means for reading header information of the data packet; Extraction means for determining at least one parameter from the read-out header information of the data packet; Storage means for storing a control table in which at least one reference for each node of the packet-based network parameter is stored; Comparison means for comparing the at least one determined parameter with entries in the control table stored in the storage means; Processing means for detecting unwanted access to the data packet if the at least one determined parameter for none of the nodes coincides with the corresponding at least one reference parameter in the control table; and means for comparing at least one further determined parameter with the entries in the control table; and means for identifying the unwanted access to the data packet as an undesired access of the first kind if the at least one further determined parameter matches the corresponding at least one further reference parameter of the sender node of the data packet in the control table; and means for identifying the unwanted access to the data packet as a second type unwanted access if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the sender node of the data packet in the control table; wherein the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, one of the at least one further reference parameter being a hardware address of the node and at least one further determined parameter comprises a hardware address of the sender node; and one of the at least one further reference parameter comprises a network address of the node and one of the at least one further determined parameter comprises a network address of the sender node, the control table transmitting test data packets to the switching node of all remaining ones of the plurality of nodes of the network and then reading out the header information of all test data packets to determine the reference parameters; and transmitting means for forwarding the data packet.

Beschreibung von bevorzugten AusführungsbeispielenDescription of preferred embodiments

Die Erfindung wird im folgenden anhand von Ausführungsbeispielen unter Bezugnahme auf Figuren einer Zeichnung näher erläutert. Hierbei zeigen:The Invention will be described below with reference to exemplary embodiments with reference on figures of a drawing closer explained. Hereby show:

1 eine schematische Darstellung eines paketbasierten Netzwerkes mit einem Rechner A und einem Rechner B; 1 a schematic representation of a packet-based network with a computer A and a computer B;

2 eine schematische Darstellung einer Übertragung eines Datenpaketes; 2 a schematic representation of a transmission of a data packet;

3 eine schematische Darstellung eines Abschnittes eines Datenpaketes mit Nutzdaten und Header-Informationen; 3 a schematic representation of a portion of a data packet with user data and header information;

4 einen Ablauf-Diagramm der Übertragung eines Datenpaketes zwischen einem Rechner A und einem Rechner B; 4 a flow chart of the transmission of a data packet between a computer A and a computer B;

5 eine schematische Darstellung eines weiteren paketbasierten Netzwerkes mit einem Rechner A, einem Rechner B und einem Angreifer; 5 a schematic representation of another packet-based network with a computer A, a computer B and an attacker;

6 ein Ablauf-Diagramm einer Übertragung eines Datenpaketes, bei der ein Angriff basierend auf einer erste Methode erfolgt; 6 a flow diagram of a transmission of a data packet, in which an attack is based on a first method;

7 ein Ablauf-Diagramm einer Übertragung eines Datenpaketes, bei der ein Angriff basierend auf einer zweite Methode erfolgt; 7 a flow diagram of a transmission of a data packet, in which an attack is based on a second method;

8 ein weiteres paketbasiertes Netzwerk mit einem Rechner A, einem Rechner B, einem Angreifer und einer Vorrichtung zum Ermitteln eines unerwünschten Zugriffs; 8th another packet-based network with a computer A, a computer B, an attacker and a device for detecting an unwanted access;

9 einen Aufbau einer Kontrolltabelle; 9 a structure of a control table;

10 ein Ablauf-Diagramm eines Verfahrens zum Ermitteln eines Angriffs auf ein Datenpaket; und 10 a flow diagram of a method for determining an attack on a data packet; and

11 ein Ablauf-Diagramm eines weiteren Verfahrens zum Ermitteln eines Angriffs auf ein Datenpaket. 11 a flow chart of another method for determining an attack on a data packet.

1 zeigt eine schematische Darstellung eines paketbasierten Netzwerkes, welches zwei Knotenpunkte umfaßt. In dem hier gezeigten paketbasierten Netzwerk soll ein Datenpaket von einem Sender-Knotenpunkt, und einem Empfänger-Knotenpunkt übertragen werden. Der Sender-Knotenpunkt wird durch einen Rechner A gebildet, während der Empfänger-Knotenpunkt durch einen Rechner B gebildet wird. 1 shows a schematic representation of a packet-based network, which includes two nodes. In the packet-based network shown here, a data packet is to be transmitted from a sender node, and a receiver node. The transmitter node is formed by a computer A, while the receiver node is formed by a computer B.

Hierbei werden die Knotenpunkte des paketbasierten Netzwerkes mittels zweier Parameter gekennzeichnet. Einer dieser Parameter ist die sogenannte MAC-Adresse (MAC – „Media Access Control") des Knotenpunktes. Eine MAC-Adresse ist eine Hardwareadresse, welche einem Netzwerkelement, beispielsweise einer Netzwerkkarte in einem Rechner, bei seiner Herstellung zugeordnet wird. Jeder Hersteller von Netzwerkelementen hat einen bestimmten Anfangswert, mit dem jede Hardwareadresse der von ihm hergestellten Netzwerkelemente beginnt. Die Hardwareadresse kennzeichnet das Netzwerkelement eindeutig und ist mittels Software nicht veränderbar. Der andere der zwei Parameter zur Kennzeichnung eines Knotenpunktes ist die sogenannte IP-Adresse (IP – „Internet Protocol"). Die IP-Adresse ist eine Netzwerkadresse, welche einem Knotenpunkt in einem paketbasierten Netzwerk beim Anmelden des Knotenpunktes softwaremäßig zugeordnet wird. Wenn das paketbasierte Netzwerk ein Teilnetzwerk eines größeren Gesamtnetzwerkes ist, kann es sich bei der einem Knotenpunkt des paketbasierten Netzwerkes zugeordneten IP-Adresse um eine private IP-Adresse handeln, welche den Knotenpunkt in dem Gesamtnetzwerk nicht eindeutig kennzeichnet.In this case, the nodes of the packet-based network are identified by means of two parameters. One of these parameters is the so-called MAC address (MAC - "Media Access Control") of the node A MAC address is a hardware address which is assigned to a network element, for example a network card in a computer, during its manufacture has a certain initial value, which starts every hardware address of the network elements that it produces The hardware address uniquely identifies the network element and is not changeable by software The other of the two parameters for identifying a node is the same The IP address is a network address that is software-assigned to a node in a packet-based network when the node logs in. If the packet-based network is a subnetwork of a larger overall network, it may be at the IP address associated with a node of the packet-based network is a private IP address that does not uniquely identify the node in the overall network.

In dem in der 1 gezeigten Netzwerk sind der Einfachheit halber der Rechner A und der Rechner B direkt, das heißt ohne das Vorhandensein eines dazwischenliegenden Knotenpunktes, miteinander verbunden. Im Allgemeinen werden Datenpakete jedoch für die Übertragung von Daten in größeren Netzwerken verwendet. In diesen Fällen muß ein Datenpaket typischerweise mehrere zwischen dem Sender-Knotenpunkt und dem Empfänger-Knotenpunkt angeordnete Knotenpunkte passieren. Hierbei können die das Netzwerk bildenden Knotenpunkte beispielsweise Router, Switches und ähnliche Vorrichtungen umfassen.In the in the 1 For the sake of simplicity, the computer A and the computer B are connected to each other directly, that is to say without the presence of an intervening node. In general, however, data packets are used for the transmission of data in larger networks. In these cases, a data packet typically needs to pass several nodes located between the sender node and the receiver node. Here, the nodes forming the network may include, for example, routers, switches and similar devices.

Die 2 veranschaulicht den Ablauf einer Übertragung eines Nutzdaten umfassenden Datenpaketes vom Rechner A zum Rechner B. Hierzu wird zunächst das Datenpaket im Rechner A gebildet, indem den Nutzdaten mittels eines Übertragungsprotokolls, beispielsweise des im Internet verwendeten TCP/IP-Protokolls, wichtige Informationen angehängt werden, beispielsweise über die zu übertragenden Nutzdaten, dem Rechner A, dem Format, mittels welchem die Nutzdaten kodiert sind, usw. Diese Informationen werden in einem Abschnitt zusammengefaßt, welcher im Allgemeinen den Anfang oder Kopf eines Datenpakets bildet.The 2 illustrates the process of transmitting a user data comprehensive data packet from the computer A to the computer B. For this purpose, the data packet is first formed in the computer A by the user data by means of a transmission protocol, such as the TCP / IP protocol used in the Internet, important information attached, for example about the user data to be transmitted, the computer A, the format by means of which the user data are encoded, etc. This information is summarized in a section which generally forms the beginning or head of a data packet.

Dieser Abschnitt wird daher auch Protokoll-Kopf oder Header genannt, wobei die hierin enthaltenen Informationen als Header-Informationen bezeichnet werden. Der Vorgang des Bildens des Datenpakets im Rechner A ist in der 2 mittels des Pfeils A veranschaulicht. Das Übertragungsprotokoll umfaßt unterschiedliche Schichten („Layers"). In jedem dieser Schichten werden die Nutzdaten mit einem eigenen Header versehen. In dem hier dargestellten Übertragungsprotokoll umfaßt das sogenannte ISO OSI-Schichtenmodell fünf Schichten. Andere Übertragungsprotokolle können mehr oder weniger Schichten umfassen.This section is therefore also called a protocol header or header, the information contained herein being referred to as header information. The process of forming the data packet in the computer A is in the 2 illustrated by the arrow A. In each of these layers, the payload is provided with a header of its own In the transfer protocol illustrated here, the so-called ISO OSI layer model comprises five layers Other transfer protocols may include more or fewer layers.

Wie mittels des Pfeils B in der 2 dargestellt, kann das Datenpaket anschließend zum Rechner B übertragen werden. Am Rechner B angekommen, muß das Datenpaket dann die verschiedenen Schichten des Übertragungsprotokolls in umgekehrter Reihenfolge durchlaufen. Dies wird mit Hilfe des Pfeils C in der 2 angedeutet. Hierbei werden die zuvor im Rechner A hinzugefügten Header-Informationen schrittweise vom Datenpaket entfernt und ausgewertet, so daß dem Rechner B schließlich die Nutzdaten zur Verfügung stehen.As by means of the arrow B in the 2 shown, the data packet can then be transferred to the computer B. Arrived at the computer B, the data packet must then go through the different layers of the transmission protocol in reverse order. This is done using the arrow C in the 2 indicated. Here, the previously added in the computer A header information is gradually removed from the data packet and evaluated so that the computer B finally the user data are available.

Die 3 zeigt eine schematische Darstellung eines Abschnittes des Datenpaketes, um den Aufbau des Datenpaketes zu verdeutlichen. Das Datenpaket umfaßt Nutzdaten und Header-Informationen. Die Header-Informationen umfassen Informationen und Parameter, welche für die korrekte Übertragung und anschließende Bearbeitung des Datenpaketes benötigt werden. In der 3 sind beispielhaft Parameter dargestellt, welche von den Headern umfaßt werden, die den Nutzdaten von der Schicht 2 (Data Link Layer) und der Schicht 3 (Transport Layer) des in der 2 dargestellten Übertragungsprotokolls hinzugefügt wurden. Die Nutzdaten werden in der Schicht 3 (Transport Layer) mit einem IP-Header versehen. Der IP-Header dient zu Routing-Zwecken in IP-Netzwerken. IP-Header umfassen daher die IP-Adresse des Empfänger-Knotenpunktes (IP-Ziel-Adresse) und die IP-Adresse des Sender-Knotenpunktes (IP-Quell-Adresse), sowie einen sogenannten Time-To-Live-Parameter (TTL-Parameter). Weiterhin umfassen die Header-Informationen die MAC-Adresse des Sender-Knotenpunktes (MAC-Quell-Adresse) und die MAC-Adresse des Empfänger-Knotenpunktes (MAC-Ziel-Adresse). Der TTL-Parameter bestimmt die Anzahl der Knotenpunkte, die das Datenpaket durchlaufen kann, bevor es verworfen wird. Zweck des TTL-Parameter ist es beispielsweise, Endlosschleifen von Datenpaketen zu vermeiden.The 3 shows a schematic representation of a portion of the data packet to illustrate the structure of the data packet. The data packet includes user data and header information. The header information includes information and parameters needed for the correct transmission and subsequent processing of the data packet. In the 3 By way of example, parameters are shown which are covered by the headers which contain the payload data from the layer 2 (Data Link Layer) and the layer 3 (Transport Layer) of the in the 2 added to the transmission protocol shown. The payload is in the layer 3 (Transport Layer) with an IP header. The IP header is used for routing purposes in IP networks. IP headers therefore include the IP address of the recipient node (IP destination address) and the IP address of the sender node (IP source address), as well as a so-called time-to-live (TTL) parameter. Parameter). Further, the header information includes the MAC address of the sender node (MAC source address) and the MAC address of the receiver node (MAC destination address). The TTL parameter determines the number of nodes that the data packet can go through before it is discarded. The purpose of the TTL parameter is, for example, to avoid endless loops of data packets.

Ein TTL-Anfangswert, das heißt der Wert des TTL-Parameter zu Beginn der Übertragung des Datenpaketes, ist vom Betriebsystem abhängig, welches vom Sender-Knotenpunkt verwendet wird. Der TTL-Anfangswert variiert typischerweise zwischen 32 und 255. Beispielsweise verwendet ein Linux-Betriebssystem typischerweise einen TTL-Anfangswert von 64. Der TTL-Parameter wird um jeweils 1 herabgesetzt, sobald das Datenpaket einen weiteren Knotenpunkt, welcher beispielsweise einen weiteren Rechners, einen Router oder ähnliches passiert.One TTL initial value, that is the value of the TTL parameter at the beginning of the transmission of the data packet, depends on the operating system, which is used by the sender node. The TTL initial value typically varies between 32 and 255. For example, used a Linux operating system typically has a TTL initial value of 64. The TTL parameter is decremented by 1 each time the Data packet another node, which for example a another computer, a router or similar happens.

Die 4 zeigt ein Ablauf-Diagramm, welches die Übertragung eines Datenpaketes zwischen dem Rechner A und Rechner B veranschaulicht. Hierbei wird zunächst das Datenpaket im Rechner A erzeugt (Schritt 1). Anschließend wird das Datenpaket vom Rechner A ausgesendet (Schritt 2). Das Datenpaket wird schließlich vom Rechner B empfangen (Schritt 3). Wie in der 4 dargestellt, wird das Datenpaket mit einem im Rechner A mit einem TTL-Anfangswert von 64 versehen. Da das Datenpaket bei der hier dargestellten Übertragung zwischen dem Rechner A und dem Rechner B keinen weiteren Knotenpunkt durchlauft, bleibt der Wert des TTL-Parameter beim Empfang des Datenpaketes unverändert bei 64. Auch die weiteren hier dargestellten, die Header-Informationen bildenden Parameter, nämlich die MAC-Ziel-Adresse, die IP-Ziel-Adresse, die MAC-Quell-Adresse und die IP-Quell-Adresse bleiben bei der Übertragung unverändert.The 4 shows a flow chart illustrating the transmission of a data packet between the computer A and computer B. Here, the data packet is first generated in the computer A (step 1 ). Subsequently, the data packet is sent from the computer A (step 2 ). The data packet is finally received by the computer B (step 3 ). Like in the 4 shown, the data packet is provided with a in the computer A with a TTL initial value of 64. Since the data packet in the transmission shown here between the computer A and the computer B no further Kno When the data packet is received, the value of the TTL parameter remains unchanged at 64. The other parameters shown here, which form the header information, namely the MAC destination address, the IP destination address, the MAC source Address and IP source address remain unchanged during transmission.

Die 5 zeigt ein weiteres paketbasiertes Netzwerk aus einem Rechner A als Sender-Knotenpunkt und einem Rechner B als Empfänger-Knotenpunkt. Zusätzlich hierzu umfaßt das weitere paketbasierte Netzwerk auch einen Angreifer, welcher sich zwischen dem Rechner A und dem Rechner B positioniert hat, um auf ein vom Rechner A zum Rechner B zu übertragendes Datenpaket zuzugreifen. Bei dem Angreifer kann es sich beispielsweise um einen einfachen Rechner handeln, der mit dem paketbasierten Netzwerk aus der 1 verbunden wurde, um etwa sensible Daten abzugreifen und/oder zu manipulieren. In diesem Fall spricht man davon, daß sich der Angreifer in die MitM-Position zwischen Rechner A und Rechner B bringt.The 5 shows another packet-based network of a computer A as a transmitter node and a computer B as a receiver node. In addition to this, the further packet-based network also includes an attacker who has positioned itself between the computer A and the computer B in order to access a data packet to be transmitted from the computer A to the computer B. The attacker may, for example, be a simple computer connected to the packet-based network from the 1 connected to, for example, tapping and / or manipulating sensitive data. In this case one speaks of the fact that the attacker brings in the MitM position between computer A and computer B.

In dem vorliegenden Beispiel hat der Rechner A die MAC-Adresse 00:00:00:00:00:01 und die IP-Adresse 10.0.0.1, während der Rechner B die MAC-Adresse 00:00:00:00:00:05 und die IP-Adresse 10.0.0.5 aufweist. Der Angreifer weist die MAC-Adresse 00:00:00:00:00:02 und die IP-Adresse 10.0.0.2 auf.In In the present example, the computer A has the MAC address 00: 00: 00: 00: 00: 01 and the IP address 10.0.0.1 while the computer B the MAC address 00: 00: 00: 00: 00: 05 and the IP address 10.0.0.5 having. The attacker has the MAC address 00: 00: 00: 00: 00: 02 and the IP address 10.0.0.2.

Die 6 zeigt ein Ablauf-Diagramm der Übertragung eines Datenpaketes in dem paketbasierten Netzwerk aus der 5. Auch hier wird zunächst das Datenpaket im Rechner A erzeugt (Schritt 4) und anschließend vom Rechner A versendet (Schritt 5). Nun kommt jedoch der Angreifer, welcher sich zwischen den Rechnern A und B positioniert hat zum Zug und empfängt das Datenpaket (Schritt 6). Das Datenpaket wird anschließend vom Angreifer modifiziert (Schritt 7) und wieder versendet (Schritt 8), so daß es schließlich vom Rechner B empfangen wird (Schritt 9).The 6 shows a flow chart of the transmission of a data packet in the packet-based network from the 5 , Again, the data packet is first generated in the computer A (step 4 ) and then sent from computer A (step 5 ). Now, however, the attacker who has positioned himself between the computers A and B comes to the train and receives the data packet (step 6 ). The data packet is then modified by the attacker (step 7 ) and resent (step 8th ), so that it is finally received by the computer B (step 9 ).

Wenn sich der Angreifer einmal in seiner MitM-Position positioniert und auf ein Datenpaket zugegriffen hat, kann er im Allgemeinen eine von zwei Methoden anwenden, um das Datenpakete weiterzuleiten. Eine erste Methode wird „Forwarding" genannt und ist in dem Diagramm in 6 dargestellt. Bei dieser Methode bleibt die IP-Quell-Adresse des Datenpaketes erhalten, es ändert sich jedoch die MAC-Quell-Adresse. Anstatt der MAC-Adresse des Rechners A wird nun die MAC-Adresse des Angreifers im Ethernet-Header eingetragen.Once the attacker has positioned himself in his MitM position and accessed a data packet, he can generally use one of two methods to forward the data packet. A first method is called "forwarding" and is in the diagram in 6 shown. With this method, the IP source address of the data packet is retained, but the MAC source address changes. Instead of the MAC address of the computer A, the MAC address of the attacker is now entered in the Ethernet header.

Wie in der 6 zu erkennen ist, wurden durch das „Forwarding" die Parameter des Datenpaketes vom Angreifer dahingehend modifiziert, daß es zum einen nun die MAC-Quell-Adresse des Angreifers enthält (00:00:00:00:00:02), und zum anderen wurde der Time-To-Live-Wert (TTL) des Paketes um 1 vermindert (von 64 auf 63). Das Wesentliche hierbei ist jedoch, dass die IP-Quell-Adresse als die IP-Adresse des Rechners A (10.0.0.1) beibehalten wird, während MAC-Quell-Adresse geändert wird, so daß sie mit der MAC-Adresse des Angreifers übereinstimmt. Hierdurch entsteht eine Inkonsistenz zwischen der IP-Quell-Adresse und der MAC-Quell-Adresse in den Header-Informationen des Datenpaketes. Das bedeutet, die IP-Quell-Adresse und die MAC-Quell-Adresse stimmen nicht mit einem Paar von IP-Adresse und MAC-Adresse eines Knotenpunktes im paketbasierten Netzwerk überein.Like in the 6 As can be seen, the forwarding parameter has been used by the attacker to modify the parameters of the data packet so that it now contains the MAC source address of the attacker (00: 00: 00: 00: 00: 02) and, secondly the packet's time-to-live value (TTL) has been decreased by 1 (from 64 to 63), but the essential thing is that the IP source address is the IP address of machine A (10.0.0.1) while MAC source address is changed to match the attacker's MAC address, this results in an inconsistency between the IP source address and the MAC source address in the header information of the data packet. That is, the IP source address and the MAC source address do not match a pair of IP address and MAC address of a node in the packet-based network.

Eine zweite Methode ist die so genannte „NAT" (Network-Address-Translation), welche in der 7 veranschaulicht wird. Hierbei wird ähnlich wie in der 6 ebenfalls ein vom Rechner A generiertes (Schritt 10) und versendetes (Schritt 11) Datenpaket von einem zwischen den Rechnern A und B positionierten Angreifer empfangen (Schritt 12). Das Datenpaket wird anschließend vom Angreifer modifiziert (Schritt 13) und wieder versendet (Schritt 14), so daß es schließlich vom Rechner B empfangen wird (Schritt 15). Bei dem auf NAT basierenden Angriff wird jedoch, im Gegensatz zu dem auf Forwarding basierenden Angriff, sowohl die IP-Quell-Adresse als auch die MAC-Quell-Adresse des Datenpaketes vom Angreifer modifiziert. Das bedeutet, die Header-Informationen des vom Rechner B im Schritt 15 empfangenen Datenpaketes umfassen eine IP-Quell-Adresse und eine MAC-Quell-Adresse, welche nicht mehr mit der IP-Adresse und der MAC-Adresse des Rechners A sondern mit der IP-Adresse und der MAC-Adresse des Angreifers übereinstimmen.A second method is the so-called "NAT" (Network Address Translation), which in the 7 is illustrated. Here is similar as in the 6 also generated by the computer A (step 10 ) and shipped (step 11 ) Receive data packet from an attacker positioned between computers A and B (step 12 ). The data packet is then modified by the attacker (step 13 ) and resent (step 14 ), so that it is finally received by the computer B (step 15 ). However, in the NAT-based attack, in contrast to the forwarding-based attack, both the IP source address and the MAC source address of the data packet are modified by the attacker. This means the header information of the computer B in step 15 received data packets include an IP source address and a MAC source address, which no longer match the IP address and the MAC address of the computer A but with the IP address and the MAC address of the attacker.

Nun sind die IP-Quell-Adresse und die MAC-Quell-Adresse konsistent. Das bedeutet, die IP-Quell-Adresse und die MAC-Quell-Adresse stimmen mit der IP-Adresse und der MAC-Adresse eines Knotenpunktes, nämlich des Angreifers, im paketbasierten Netzwerk überein. Deshalb würde in diesem Fall eine Überprüfung der IP-Quell-Adresse und der MAC-Quell-Adresse allein nicht ausreichen, um einen unerwünschten Zugriff auf das Datenpaket zu ermitteln.Now Both the IP source address and the MAC source address are consistent. That means the IP source address and the MAC source address matches the IP address and MAC address of a node, namely of the attacker, in the packet-based network. That's why in this case a review of IP source address and the MAC source address alone are insufficient to an undesirable Access to the data packet.

Jedoch wird auch in diesem Fall, der TTL-Parameter um 1 vermindert (von 63 auf 64), da das Datenpaket einen Knotenpunkt, nämlich den Angreifer, passiert hat. Das führt dazu, daß der TTL-Parameter einen Wert aufweist, der von dem Wert abweicht, den der TTL-Parameter aufgewiesen hätte, hätte der Angreifer das Datenpaket nicht empfangen und wieder versendet.however In this case too, the TTL parameter is decreased by 1 (from 63 to 64), since the data packet is a node, namely the Attacker, has happened. Leading to that the TTL parameter has a value that differs from the value the TTL parameter would have had the Attacker does not receive and resend the data packet.

Die 8 zeigt ein paketbasiertes Netzwerk mit dem Rechner A, dem Rechner B, dem Angreifer sowie einer vor dem Rechner B geschalteten sogenannten MitM-Bridge. Die MitM-Bridge umfaßt eine Vorrichtung zum Ermitteln eines unerwünschten Zugriffs auf ein zwischen dem Rechner A und dem Rechner B übertragenes Datenpaket. Die MitM-Bridge bildet in diesem Fall einen Knotenpunkt im paketbasierten Netzwerk. In einer anderen Ausführung kann der MitM-Bridge jedoch auch einen Teil des Rechners B bilden. Wenn das paketbasierte Netzwerk ein Teilnetz eines übergeordneten Gesamtnetzwerkes, beispielsweise des Internets, ist und über sogenannte Gateways mit Knotenpunkten des Gesamtnetzwerkes verbunden ist, kann die MitM-Bridge zweckmäßigerweise vor einem der Gateways angeordnet werden, um eine Übertragung von Datenpaketen zwischen einem Knotenpunkt des paketbasierten Netzwerkes und einem Knotenpunkt des Gesamtnetzwerkes außerhalb des paketbasierten Netzwerkes zu überprüfen.The 8th shows a packet-based network with the computer A, the computer B, the attacker and a switched before the computer B so-called MitM Bridge. The MitM-Bridge comprises a device for determining unwanted access to a data packet transmitted between the computer A and the computer B. In this case, the MitM bridge forms a node in the packet-based network. In another embodiment, however, the MitM bridge may also form part of the computer B. If the packet-based network is a subnetwork of a superordinate overall network, for example the Internet, and is connected via so-called gateways to nodes of the overall network, the MitM bridge can expediently be arranged in front of one of the gateways in order to transmit data packets between a node of the packet-based network and to check a node of the overall network outside the packet-based network.

Vorteilhaft ist auch ein Positionieren der MitM-Bridge vor sensiblen Systemen, wie Datenbank-Servern, Datei-Servern oder ähnlichen Systemen im paketbasierten Netzwerk, die vor Passwort-Diebstahl zu schützen sind.Advantageous is also a positioning of the MitM-Bridge in front of sensitive systems, such as database servers, file servers or similar systems in the packet-based Network to protect against password theft.

Die 9 zeigt schematisch eine Kontrolltabelle, welche Eintragungen für jeden Knotenpunkt im paketbasierten Netzwerk umfaßt. In der Kontrolltabelle sind für jeden Knotenpunkt die MAC-Adresse sowie die IP-Adresse des Knotenpunktes abgelegt. Diese Adressen können zum Beispiel von einem Netzwerkverwalter zur Verfügung gestellt worden sein, welcher die Adressen zur Verwaltung von Datenpaket-Übertragungen im paketbasierten Netzwerk benötigt. Wenn sich beispielsweise weitere Rechner als weitere Knotenpunkte mit dem paketbasierten Netzwerk verbinden möchten, so werden zunächst die MAC-Adresse sowie die IP-Adresse dieser weiteren Rechner der Kontrolltabelle hinzugefügt.The 9 schematically shows a control table which includes entries for each node in the packet-based network. In the control table, the MAC address and the IP address of the node are stored for each node. These addresses may, for example, have been provided by a network administrator who needs the addresses to manage data packet transmissions in the packet-based network. If, for example, further computers want to connect to the packet-based network as further nodes, first the MAC address and the IP address of these additional computers are added to the control table.

Vorteilhafterweise ist die Kontrolltabelle in einem Speicher der MitM-Bridge gespeichert.advantageously, the control table is stored in a memory of the MitM bridge.

Für jedem Knotenpunkt umfaßt die Kontrolltabelle ferner einen sogenannten Standard-TTL-Parameter. Dies ist der TTL-Parameter, welchen ein Datenpaket aufweist, der von dem jewei ligen Knotenpunkt abgesendet und von dem Knotenpunkt, an welchem die Kontrolltabelle gespeichert ist, beispielsweise von der MitM-Bridge aus der 8, empfangen wird, wenn kein Angreifer im paketbasierten Netzwerk vorhanden ist. Der Standard-TTL-Parameter dient somit als ein Referenzparameter.For each node, the control table further includes a so-called standard TTL parameter. This is the TTL parameter which a data packet has sent from the respective node and from the node where the control table is stored, for example from the MitM bridge 8th , is received if there is no attacker in the packet-based network. The standard TTL parameter thus serves as a reference parameter.

Die 10 zeigt den Ablauf-Diagramm eines Verfahrens zum Ermitteln eines Man-In-The-Middle-Angriffs auf ein Datenpaket in einem paketbasierten Netzwerk. Hierbei werden zunächst die Header-Informationen des Datenpaketes ausgelesen und der TTL-Parameter aus den ausgelesenen Header-Informationen ermittelt (Schritt 20). Anschließend wird der ermittelte TTL-Parameter mit jedem der in der Kontrolltabelle gespeicherten Standard-TTL-Parameter verglichen (Schritt 21). Wird ein mit dem TTL-Parameter übereinstimmender Standard-TTL-Parameter gefunden, so wird angenommen, daß der zu dem Standard-TTL-Parameter gehörende Knotenpunkt das Datenpaket ausgesendet hat, und das Datenpaket wird weitergeleitet (Schritt 22). Sollte jedoch der TTL-Parameter mit keinem der in der Kontrolltabelle gespeicherten Standard-TTL-Parameter übereinstimmen, so ist dies ein Anzeichen dafür, daß ein MitM-Angriff stattgefunden hat und auf das Datenpaket unerwünscht zugegriffen worden ist.The 10 Figure 12 shows the flow diagram of a method for determining a man-in-the-middle attack on a data packet in a packet-based network. In this case, first the header information of the data packet is read out and the TTL parameter is determined from the read header information (step 20 ). Subsequently, the determined TTL parameter is compared with each of the standard TTL parameters stored in the control table (step 21 ). If a standard TTL parameter matching the TTL parameter is found, it is assumed that the node belonging to the standard TTL parameter has sent out the data packet and the data packet is forwarded (step 22 ). However, if the TTL parameter does not match any of the standard TTL parameters stored in the control table, then this is an indication that a MitM attack has occurred and the data packet has been inadvertently accessed.

In diesem Fall wird anhand eines Vergleiches der IP-Adresse und der MAC-Adresse mit den Eintragungen in der Kontrolltabelle überprüft, um welche Art eines MitM-Angriff es sich handelt (Schritt 23). Dieser zusätzliche Vergleichsschritt kann jedoch in einer vereinfachten Ausführungsform des Verfahrens entfallen.In this case, a comparison of the IP address and the MAC address with the entries in the control table checks what type of MitM attack it is (step 23 ). However, this additional comparison step can be omitted in a simplified embodiment of the method.

Stellt sich bei dem Vergleich heraus, daß die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes konsistent sind, das bedeutet, es wird ein mit diesen Adressen übereinstimmendes Paar an IP-Adresse und MAC-Adresse in der Kontrolltabelle gefunden, so handelt es sich bei dem MitM-Angriff um einen auf NAT basierenden Angriff, einen sogenannten NATed-MitM. Es wird anschließend ein Warnhinweis erzeugt, um den Angriff anzuzeigen (Schritt 24).If the comparison shows that the IP source address and the MAC source address of the data packet are consistent, that is, a pair of IP address and MAC address corresponding to these addresses are found in the control table, Thus, the MitM attack is a NAT-based attack, a so-called NATed MitM. A warning will then be generated to indicate the attack (step 24 ).

Bei einem NATed-MitM kann der entsprechende Knotenpunkt, dessen IP-Adresse und MAC-Adresse mit der IP-Quell-Adresse und der MAC-Quell-Adresse des Datenpaketes, auf welches unerwünscht zugegriffen wurde, aus dem paketbasierten Netzwerk isoliert werden.at a NATed-MitM can be the corresponding node, its IP address and MAC address with the IP source address and the MAC source address of the data packet, on which undesirable has been accessed, isolated from the packet-based network.

Sind jedoch die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes inkonsistent, das heißt, das paketbasierte Netzwerk umfaßt keinen Knotenpunkt mit dem entsprechenden Paar von IP-Adresse und MAC-Adresse, so handelt es sich bei dem MitM-Angriff um einen auf Forwarding basierenden Angriff, einen sogenannten Forwarded-MitM, und ein entsprechender Warnhinweis wird erzeugt (Schritt 25).However, if the IP source address and the MAC source address of the data packet are inconsistent, that is, the packet-based network does not include a node with the corresponding pair of IP address and MAC address, then the MitM attack is is generated by a forwarding-based attack, a so-called forwarded MitM, and a corresponding warning (step 25 ).

Die 11 zeigt den Ablauf-Diagramm eines weiteren Verfahrens zum Ermitteln eines Man-In-The-Middle-Angriffs auf ein Datenpaket in einem paketbasierten Netzwerk. Hierbei werden ebenso wie im vorangehend beschriebenen Verfahren die Header-Informationen des Datenpaketes ausgelesen und der TTL-Parameter aus den ausgelesenen Header-Informationen ermittelt (Schritt 30). Anschließend wird der ermittelte TTL-Parameter mit jedem der in der Kontrolltabelle gespeicherten Standard-TTL-Parameter verglichen (Schritt 31). Wird ein mit dem TTL-Parameter übereinstimmender Standard-TTL-Parameter entdeckt, so wird in diesem Fall nicht sofort angenommen, daß der zu dem Standard-TTL-Parameter gehörende Knotenpunkt das Datenpaket ausgesendet hat. Statt dessen werden die beiden anderen Parameter, nämlich die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes mit der IP-Adresse und der MAC-Adresse des entsprechenden Knotenpunktes in der Kontrolltabelle verglichen. Nur wenn alle drei Parameter des Datenpaketes, nämlich der TTL-Parameter, die IP-Quell-Adresse und die MAC-Quell-Adresse, eine Entsprechung in der Kontrolltabelle finden, kann angenommen werden, daß auf das Datenpaket nicht unerwünscht zugegriffen wurde, und das Datenpaket kann weitergeleitet werden (Schritt 35).The 11 FIG. 12 shows the flow diagram of another method for determining a man-in-the-middle attack on a data packet in a packet-based network. FIG. In this case, as in the method described above, the header information of the data packet is read out and the TTL parameter is determined from the read header information (step 30 ). Subsequently, the determined TTL parameter is compared with each of the standard TTL parameters stored in the control table (step 31 ). If a standard TTL parameter matching the TTL parameter is detected, then it is not immediately assumed in this case that the node belonging to the standard TTL parameter has sent out the data packet. Instead, the two other parameters, namely the IP source address and the MAC source address of the data packet are compared with the IP address and the MAC address of the corresponding node in the control table. Only if all three parameters of the data packet, namely the TTL parameter, the IP source address and the MAC source address, find a correspondence in the control table can it be assumed that the data packet has not been accessed in an undesired manner Data packet can be forwarded (step 35 ).

Sollte anhand der Kontrolltabelle eine Inkonsistenz zwischen der IP-Quell-Adresse und der MAC-Quell-Adresse ermittelt worden sein, so ist es möglich, daß eine bisher unbekannte Art eines MitM-Angriffs stattgefunden hat. In diesem Fall wird eine entsprechende Warnung ausgegeben (Schritt 34).If an inconsistency between the IP source address and the MAC source address has been determined based on the control table, it is possible that a previously unknown type of MitM attack has taken place. In this case, a corresponding warning is issued (step 34 ).

Sollte jedoch der TTL-Parameter mit keinem der in der Kontrolltabelle gespeicherten Standard-TTL-Parameter übereinstimmen, so ist dies analog zu dem Verfahren aus der 10 ein Anzeichen dafür, daß ein MitM-Angriff stattgefunden hat und auf das Datenpaket unerwünscht zugegriffen worden ist. In diesem Fall wird ebenfalls anhand eines Vergleiches der IP-Adresse und der MAC-Adresse mit den Eintragungen in der Kontrolltabelle überprüft, um welche Art eines MitM-Angriff es sich handelt (Schritt 33). Dieser zusätzliche Vergleichsschritt kann jedoch in einer vereinfachten Ausführungsform des Verfahrens entfallen.However, if the TTL parameter does not match any of the standard TTL parameters stored in the control table, this is analogous to the method of 10 an indication that a MitM attack has occurred and the data packet has been accessed unwantedly. In this case, the type of a MitM attack is also checked by comparing the IP address and the MAC address with the entries in the control table (step 33 ). However, this additional comparison step can be omitted in a simplified embodiment of the method.

Stellt sich bei dem Vergleich heraus, daß die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes konsistent sind, so handelt es sich bei dem MitM-Angriff um einen auf NAT basierenden Angriff, einen sogenannten NATed-MitM. Es wird anschließend ein Warnhinweis erzeugt, um den Angriff anzuzeigen (Schritt 36). Sind jedoch die IP-Quell-Adresse und die MAC-Quell-Adresse des Datenpaketes inkonsistent, das heißt, das paketbasierte Netzwerk umfaßt keinen Knotenpunkt mit dem entsprechenden Paar von IP-Adresse und MAC-Adresse, so handelt es sich um einen sogenannten Forwarded-MitM und ein entsprechender Warnhinweis wird erzeugt (Schritt 37). Alternativ oder zusätzlich kann in diesem Fall der Knotenpunkt, dessen MAC-Adresse mit der MAC-Quell-Adresse des Datenpaketes übereinstimmt, als Knotenpunkt eines Angreifers identifiziert und aus dem Netzwerk isoliert werden.If the comparison reveals that the IP source address and the MAC source address of the data packet are consistent, then the MitM attack is a NAT-based attack called a NATed MitM. A warning will then be generated to indicate the attack (step 36 ). If, however, the IP source address and the MAC source address of the data packet are inconsistent, that is, the packet-based network does not include a node with the corresponding pair of IP address and MAC address, then this is a so-called forwarded packet. With M and a corresponding warning is generated (step 37 ). Alternatively or additionally, in this case, the node whose MAC address matches the MAC source address of the data packet can be identified as the node of an attacker and isolated from the network.

Wenn ein MitM-Angriff ermittelt wurde, kann außerdem das betroffene Datenpaket isoliert, beispielsweise gelöscht, werden, um ein weiteres Sicherheitsrisiko für das paketbasierte Netzwerk zu vermeiden.If a MitM attack has been detected can also cause the affected data packet isolated, for example deleted, become another security risk to the packet-based network to avoid.

Bei den vorangehend beschriebenen Verfahren wurde zunächst oder ausschließlich der TTL-Parameter des Datenpaketes mit den Eintragungen in der Kontrolltabelle verglichen. Es können hierzu jedoch auch zunächst oder ausschließlich die IP-Quell-Adresse und/oder die MAC-Quell-Adresse verwendet werden.at The method described above was initially or exclusively the TTL parameter of the data packet compared to the entries in the control table. It can but also first or exclusively the IP source address and / or the MAC source address are used.

Die in der vorstehenden Beschreibung, den Ansprüchen und der Zeichnung offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung der Erfindung in ihren verschiedenen Ausführungsformen von Bedeutung sein.The in the foregoing description, claims and drawings Features of the invention can both individually and in any combination for the realization of the invention in its various embodiments of importance be.

Claims (8)

Verfahren zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten, wobei das Verfahren die folgenden Verfahrensschritte umfaßt: a) Auslesen von Header-Informationen des Datenpaketes; b) Ermitteln mindestens eines Parameters aus den ausgelesenen Header-Informationen des Datenpakets; c) Vergleichen des mindestens einen ermittelten Parameters mit Eintragungen des Sender-Knotenpunktes des Datenpakets in einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; und d) Feststellen eines unerwünschten Zugriffs auf das Datenpaket, wenn der mindestens eine ermittelte Parameter mit dem entsprechenden mindestens einen Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt. Wenn ein unerwünschter Zugriff auf das Datenpaket festgestellt wurde: e) Vergleichen von mindestens einem weiteren ermittelten Parameter mit den Eintragungen in der Kontrolltabelle; f) Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff erster Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt, und g) Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff zweiter Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens ei nen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt; wobei der für jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der mindestens eine ermittelte Parameter einen Time-To-Live-Parameter umfasst, wobei einer der mindestens eine weitere Referenzparameter eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst; und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse des Sender-Knotenpunktes umfasst, wobei die Kontrolltabelle mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen der Header-Informationen aller Test-Datenpakete zum Ermitteln der Referenzparameter erstellt wird.A method for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the Receiver node comprising nodes, the method comprising the following steps: a) reading header information of the data packet; b) determining at least one parameter from the read-out header information of the data packet; c) comparing the at least one determined parameter with entries of the transmitter node of the data packet in a control table in which at least one reference parameter is stored for each node of the packet-based network; and d) detecting unwanted access to the data packet if the at least one determined parameter does not match the corresponding at least one reference parameter of the sender node of the data packet in the control table. If unwanted access to the data packet has been detected: e) comparing at least one other determined parameter with the entries in the control table; f) identifying the unwanted access to the Data packet as an unwanted access of the first type, if the at least one further determined parameter matches the corresponding at least one further reference parameter of the sender node of the data packet in the control table, and g) identifying the unwanted access to the data packet as an unwanted access of the second kind, if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the transmitter node of the data packet in the control table; wherein the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, one of the at least one further reference parameter being a hardware address of the node and at least one further determined parameter comprises a hardware address of the sender node; and one of the at least one further reference parameter comprises a network address of the node and one of the at least one further determined parameter comprises a network address of the sender node, the control table transmitting test data packets to the switching node of all remaining ones of the plurality of nodes of the network and then read the header information of all test data packets to determine the reference parameters is created. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Verfahren an einem Vermittlungs-Knotenpunkt durchgeführt wird, welcher zwischen dem Sender-Knotenpunkt und dem Empfänger-Knotenpunkt angeordneten ist oder mit dem Empfänger-Knotenpunkt übereinstimmt.Method according to claim 1, characterized in that that this Method is performed at a switching node, which is between the sender node and the receiver node is arranged or coincides with the receiver node. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der mindestens eine Knotenpunkt isoliert wird, wenn der unerwünschte Zugriff auf das Datenpaket als ein unerwünschter Zugriff erster Art Identifiziert wurde.Method according to claim 1 or 2, characterized that the At least one node is isolated when the unwanted access on the data packet as an unwanted Access of the first kind was identified. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das Verfahren in jedem Knotenpunkt des paketbasierten Netzwerkes durchgeführt wird.Method according to one of the preceding claims, characterized characterized in that Procedure is performed in each node of the packet-based network. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das paketbasiertes Netzwerk ein Teilnetzwerk eines übergeordneten Gesamtnetzwerk ist.Method according to one of the preceding claims, characterized characterized in that packet-based network is a subnetwork of a parent overall network is. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß ein Warnhinweis angezeigt wird, wenn ein unerwünschter Zugriff auf das Datenpaket festgestellt wurde.Method according to one of the preceding claims, characterized characterized in that a Warning message is displayed when an unwanted access to the data packet was determined. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß das Datenpaket gelöscht wird, wenn ein unerwünschter Zugriff auf das Datenpaket festgestellt wurde.Method according to one of the preceding claims, characterized characterized in that Data packet deleted will, if an undesirable Access to the data packet was detected. Vorrichtung zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket, insbesondere eines Man-In-The-Middle-Angriffs, bei einer Übertragung des Datenpaketes zwischen einem Sender-Knotenpunkt und einem Empfänger-Knotenpunkt in einem paketbasierten Netzwerk aus mehreren, den Sender-Knotenpunkt und den Empfänger-Knotenpunkt umfassenden Knotenpunkten, mit: – Verbindungsmittel zum Verbinden mit dem paketbasierten Netzwerk; – Empfangsmittel zum Empfangen des Datenpakets; – Auslesemittel zum Auslesen von Header-Informationen des Datenpaketes; – Extraktionsmittel zum Ermitteln mindestens eines Parameters aus den ausgelesenen Header-Informationen des Datenpakets; – Speichermittel zum Speichern einer Kontrolltabelle, in welcher für alle Knotenpunkte des paketbasierten Netzwerkes jeweils mindestens ein Referenzparameter abgelegt ist; – Vergleichsmittel zum Vergleichen des mindestens einen ermittelten Parameters mit Eintragungen in der in den Speichermittel gespeicherten Kontrolltabelle; – Verarbeitungsmittel zum Feststellen eines unerwünschten Zugriffs auf das Datenpaket, wenn der mindestens eine ermittelte Parameter für keines der Knotenpunkte mit dem entsprechenden mindestens einen Referenzparameter in der Kontrolltabelle übereinstimmt; und – Mittel zum Vergleichen von mindestens einem weiteren ermittelten Parameter mit den Eintragungen in der Kontrolltabelle; und – Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff erster Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle übereinstimmt; und – Mittel zum Identifizieren des unerwünschten Zugriffs auf das Datenpaket als einen unerwünschten Zugriff zweiter Art, wenn der mindestens eine weitere ermittelte Parameter mit dem entsprechenden mindestens einen weiteren Referenzparameter des Sender-Knotenpunktes des Datenpakets in der Kontrolltabelle nicht übereinstimmt; wobei der für jeden Knotenpunkt in der Kontrolltabelle abgelegte mindestens eine Referenzparameter einen Standard-Time-To-Live-Parameter umfaßt und der mindestens eine ermittelte Parameter einen Time-To-Live-Parameter umfasst, wobei einer der mindestens eine weitere Referenzparameter eine Hardwareadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Hardwareadresse des Sender-Knotenpunktes umfasst; und einer der mindestens eine weitere Referenzparameter eine Netzwerkadresse des Knotenpunktes umfaßt und einer der mindestens eine weitere ermittelte Parameter eine Netzwerkadresse des Sender-Knotenpunktes umfasst, wobei die Kontrolltabelle mittels Aussenden von Test-Datenpaketen an den Vermittlungs-Knotenpunkt von allen übrigen der mehreren Knotenpunkte des Netzwerkes und anschließendem Auslesen der Header-Informationen aller Test-Datenpakete zum Ermitteln der Referenzparameter erstellt wird; und – Sendemittel zum Weiterleiten des Datenpakets.Device for determining an undesired access to a data packet, in particular a man-in-the-middle attack, in a transmission of the data packet between a sender node and a receiver node in a packet-based network of several, the sender node and the Receiver node comprising nodes, comprising: connection means for connecting to the packet-based network; - receiving means for receiving the data packet; - Reading means for reading header information of the data packet; - Extraction means for determining at least one parameter from the read header information of the data packet; - Storage means for storing a control table in which at least one reference parameter is stored for each node of the packet-based network in each case; Comparison means for comparing the at least one determined parameter with entries in the control table stored in the storage means; - processing means for detecting unwanted access to the data packet if the at least one determined parameter for none of the nodes coincides with the corresponding at least one reference parameter in the control table; and - means for comparing at least one further determined parameter with the entries in the control table; and means for identifying the unwanted access to the data packet as an undesired access of the first type if the at least one further determined parameter matches the corresponding at least one further reference parameter of the sender node of the data packet in the control table; and - means for identifying the unwanted access to the data packet as a second type of unwanted access if the at least one further determined parameter does not match the corresponding at least one further reference parameter of the sender node of the data packet in the control table; wherein the at least one reference parameter stored for each node in the control table comprises a standard time-to-live parameter and the at least one determined parameter comprises a time-to-live parameter, one of the at least one further reference parameter comprises a hardware address of the node and one of the at least one further determined parameter comprises a hardware address of the transmitter node; and one of the at least one further reference parameter comprises a network address of the node and one of the at least one further determined parameter comprises a network address of the sender node, the control table transmitting test data packets to the switching node of all remaining ones of the plurality of nodes of the network and then reading out the header information of all test data packets to determine the reference parameters; and - transmitting means for forwarding the data packet.
DE200510050584 2005-10-21 2005-10-21 Method for determining unwanted access to a data packet Expired - Fee Related DE102005050584B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510050584 DE102005050584B4 (en) 2005-10-21 2005-10-21 Method for determining unwanted access to a data packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510050584 DE102005050584B4 (en) 2005-10-21 2005-10-21 Method for determining unwanted access to a data packet

Publications (2)

Publication Number Publication Date
DE102005050584A1 DE102005050584A1 (en) 2007-05-16
DE102005050584B4 true DE102005050584B4 (en) 2009-04-30

Family

ID=37982507

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510050584 Expired - Fee Related DE102005050584B4 (en) 2005-10-21 2005-10-21 Method for determining unwanted access to a data packet

Country Status (1)

Country Link
DE (1) DE102005050584B4 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020031134A1 (en) * 2000-09-07 2002-03-14 Poletto Massimiliano Antonio Device to protect victim sites during denial of service attacks
US20020073338A1 (en) * 2000-11-22 2002-06-13 Compaq Information Technologies Group, L.P. Method and system for limiting the impact of undesirable behavior of computers on a shared data network
US20030145232A1 (en) * 2002-01-31 2003-07-31 Poletto Massimiliano Antonio Denial of service attacks characterization
US20050022020A1 (en) * 2003-07-10 2005-01-27 Daniel Fremberg Authentication protocol

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020031134A1 (en) * 2000-09-07 2002-03-14 Poletto Massimiliano Antonio Device to protect victim sites during denial of service attacks
US20020073338A1 (en) * 2000-11-22 2002-06-13 Compaq Information Technologies Group, L.P. Method and system for limiting the impact of undesirable behavior of computers on a shared data network
US20030145232A1 (en) * 2002-01-31 2003-07-31 Poletto Massimiliano Antonio Denial of service attacks characterization
US20050022020A1 (en) * 2003-07-10 2005-01-27 Daniel Fremberg Authentication protocol

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GODBER,Austin, DASGUPTA,Partha: Countering Rogues in Wireless Networks. IEEE, Proceedings of the ICPPW'03, 2003; SUGENG, Hubert *
GODBER,Austin, DASGUPTA,Partha: Countering Rogues in Wireless Networks. IEEE, Proceedings of the ICP PW'03, 2003; SUGENG, Hubert; POOL, Jesse: Man-in-t he-Middle: Vulnerabilities in Public-key/SSH.Carle ton,University, April 2005
POOL, Jesse: Man-in-the-Middle: Vulnerabilities in Public-key/SSH Carleton,University, April 2005 *

Also Published As

Publication number Publication date
DE102005050584A1 (en) 2007-05-16

Similar Documents

Publication Publication Date Title
DE60213391T2 (en) Personal firewall with position detection
DE60216218T2 (en) Personal firewall with space-dependent functionality
DE60115615T2 (en) SYSTEM, DEVICE AND METHOD FOR FAST PACKAGE FILTERING AND PROCESSING
DE69825801T2 (en) Apparatus and method for enabling equal access control in a network
DE69734019T2 (en) METHOD AND DEVICE FOR DYNAMIC PACKAGE FILTER ASSIGNMENT
EP3542511B1 (en) Process for a communication network and electronic control unit
DE60312235T2 (en) METHOD AND SYSTEM FOR INHIBITING PREVENTION AND DEFLECTION
DE60016613T2 (en) DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE
DE60314659T2 (en) System and method for discovering and setting from a server
DE69737395T2 (en) SECURED DHCP SERVER
DE19741239C2 (en) Generalized security policy management system and procedures
DE60121133T2 (en) Method and device for handling unauthorized access data
EP1494401B1 (en) Router and method of activating a deactivated computer
DE102006004202A1 (en) Method for protecting SIP based applications
EP3542510A1 (en) Method for a communications network, and electronic control unit
DE60302003T2 (en) Handling contiguous connections in a firewall
DE102005050584B4 (en) Method for determining unwanted access to a data packet
DE102019210226A1 (en) Device and method for attack detection in a communications network
EP3059926B1 (en) Method for detecting a denial of service attack in a communication network
EP1464150B1 (en) Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators
DE102019210224A1 (en) Device and method for attack detection in a computer network
DE102012208290B4 (en) NETWORKING COMPONENT WITH INQUIRY / RESPONSE ALLOCATION AND MONITORING
DE102019210223A1 (en) Device and method for attack detection in a computer network
EP2164021A1 (en) Method for recognising unwanted access and network server device
EP3024193B1 (en) Method and system for sustainable defence against botnet malware

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee