Drängler im WLAN
Seite 3: Holzhammer
Holzhammer
Neben den genannten Manipulationsmethoden, gibt es noch etwas brachialere. Der Zwang, unter bestimmten Umständen, etwa bei Fehlern im Datenrahmen, die erweiterte Wartezeit EIFS ablaufen lassen zu müssen, ergibt einen weiteren Angriffspunkt für einen Angreifer. Stört eine Station gezielt einen Datenframe oder einen Bestätigungsframe, so dürfen alle anderen Stationen für die Dauer EIFS nicht senden. Die störende Station hat nun genügend Zeit, ihre Nachricht abzusetzen, ohne dabei mit den anderen Stationen in Konflikt zu geraten. Allerdings ist dieser Angriff, obwohl prinzipiell möglich, relativ ineffizient, da beim Stören einer Übertragung immer Zeit verloren geht. Zudem versucht der gestörte Sender noch einmal, genau das gleiche Frame zu senden, welches der Angreifer wieder stören muss. Hierdurch steigt die Last auf dem Netzwerk. Das Gegenteil des gewünschten Ziels ist erreicht: Die Bandbreite wird kleiner.
Die genannten Angreifsmethoden sind alle nicht neu, und in Fachkreisen schon lange bekannt. Allerdings ist es schwer, diese auszunutzen, da man hierzu in der Lage sein muss, die fundamentale Funktionsweise der Netzwerkadapter zu ändern. Diese befinden sich jedoch zumeist in der Firmware, und diese ist von den Herstellern für den Otto-Normalfunker praktisch gar nicht dokumentiert. Andererseits werden immer mehr Funktionen und Konfigurationsmöglichkeiten in die Betriebssystem-Treiber verlagert. Die Hersteller glauben häufig, dass die fehlende Dokumentation dafür sorgt, dass dies nicht ausgenutzt werden kann.
Bedrohung
Auf der Konferenz MobiSys 2004 [2] wurde nun eine einfache Möglichkeit gezeigt, durch das Verändern eines einzigen Registers in der Netzwerkkarte die Werte für CWmin und CWmax zu ändern. Dazu wurde der Quell-Code des WLAN-Treibers nur geringfügig angepasst. Damit wurde der beschriebene Angriff praktisch ermöglicht. Die Resultate sind verheerend für das Funknetz, die Monopolisierung klappt genau so wie vorausgesagt. Was kann man dagegen tun?
Das 802.11 Protokoll erlaubt es prinzipiell nicht, hiergegen vorzugehen. Es kann solche Verstöße gegen das Protokoll nicht einmal feststellen. In [2,3] wird eine Lösung vorgeschlagen, die für öffentliche Hot-Spots praktikabel erscheint: Ein weiterer Rechner in der Nähe des zentralen Zugangspunktes protokolliert über einen längeren Zeitraum Kollisionen und Wartezeiten. Benimmt sich eine Station auffällig, kann sie von der weiteren Übertragung ausgeschlossen oder bei bezahlten Hotspots mit einer erhöhten Gebühr belegt werden. Allerdings ist hier einiges Fein-Tuning notwendig, um Stationen nicht fälschlicherweise zu verdächtigen oder sich von cleveren Störern dennoch austricksen zu lassen.
Probleme bereiten zukünftige Erweiterungen, wie der Standard 802.11e für Dienstgüte. 802.11e nutzt beispielsweise eine neue Wartezeit, den sogenannten AIFS mit einer Länge zwischen dem kurzen SIFS und dem normalen DIFS [4]. Ebenso nutzt 802.11e verkürzte Back-Offs durch gezieltes Verringern von CWmax und CWmin. Ein nicht-konformes Verhalten von heute könnte also morgen schon konform sein. Solche Stationen würden also als Störer ausgemacht, bis die Messstation ein Update erfahren hat. Ähnliche Veränderungen des Protokolls sind jederzeit möglich, verlangen also ständiges Nachrüsten auf der Seite der Funknetzbetreiber.
Es stellt sich die Frage, wie groß die Bedeutung solcher Angriffe in der Praxis ist. Die Auswirkungen solcher Störungen des Funknetzes sind nur schwer vorhersehbar, auch für den Störer. Solange nur ein Angreifer vorhanden ist, kann er sich große Vorteile verschaffen. In dem Moment, wo ein zweiter Benutzer sich genau die gleichen Vorteile verschaffen will, dürfte das Netzwerk komplett versagen. Damit ist der massiven Ausnutzung solcher Schwachstellen ein natürliches Hindernis gesetzt.
Literatur
[1] Spiro Trikaliotis, Vorfahrt für die Schnellen: Sendezeitzuteilung bei WLANs und ihre ererbten Probleme, c't 18/03, S. 208.
[2] M. Raya, J.-P. Hubaux, Imad. Aad, "DOMINO: A System to Detect Greedy Behavior in IEEE 802.11 Hotspots. Proceedings of ACM MobiSys, Boston - MA, 2004, http://icawww.epfl.ch/Publications/raya/RayaHA04.pdf.
[3] DOMINO: System for Detection Of greedy behavior in the MAC layer of IEEE 802.11 public Networks
[4] Spiro Trikaliotis, WLAN-Feinschliff: Schnelleres Funknetz mit stabilerem Durchsatz, c't 06/04, S. 216. (dab)
