Route 666

Seite 3: Routing-Protokolle

Redirects weisen immer nur auf das nächste Gateway. Um also größere Umleitungen zu erzeugen, ist ein Paket pro Router auf dem Weg nötig -- ein geringer Aufwand, wenn man damit die Kommunikation eines entfernten Rechners an sich reißen kann.

Erschreckenderweise finden sich noch heute viele Router im Internet, die ICMP-Redirects annehmen und ihre Routing-Entscheidungen danach richten. Die meisten Provider haben diese Funktionalität allerdings zumindest auf ihren offen zugänglichen Routern eingeschränkt oder abgestellt.

Routing-Protokolle

Die normale Route vom Opfer zu seinem DNS-Server wäre über Router D und C. Durch ICMP-Redirects an das Opfer und die Router A und B jeweils mit Absender-Adresse von Router D kann der Angreifer mit drei Paketen den DNS-Server des Opfers ersetzen.

Bei Routing-Protokollen wird zwischen Interior Gateway Protocols (IGP) und Exterior Gateway Protocols (EGP) unterschieden. Wie die Namen vermuten lassen, sind IGPs Routing-Protokolle, die Informationen beispielsweise innerhalb eines autonomen Systems verbreiten, während EGPs dasselbe zwischen verschiedenen autonomen Systemen tun. Ein autonomes System (AS) bezeichnet in diesem Zusammenhang die Summe aller Router, die sich unter der gleichen administrativen Kontrolle befinden. In der Praxis ist das meist eine Gruppe von Routern, denen dieselben Routing-Informationen zur Verfügung stehen und die sich untereinander über Routing-Protokolle austauschen.

Das erste weit verbreitet eingesetzte Routing-Protokoll war RIP, das Routing Information Protocol. Bis heute findet es in vielen Netzwerken Verwendung, und bei weniger spezialisierten Systemen ist es oft das einzig verfügbare Protokoll zur Verteilung von dynamischen Routing-Informationen, so auch bei Windows NT/2000.

RIP beruht auf dem periodischen Ansagen der eigenen bekannten Routen mit der Zusatzinformation, wie viele Hops es bis zum zu erreichenden Zielrechner sind. Bei RIP Version 1 geschieht dies als Broadcast, bei Version 2 als Multicast. Jeder Rechner in der Broadcast/Multicast-Domain teilt allen anderen mit, welche Router er kennt und wer das nächste Gateway dafür ist. Ansonsten haben RIP 1 und 2 nur wenige Eigenschaften. RIP< >1 kann nur "classful" arbeiten, also mit Class A-, B- oder C-Netzen. Subnetzmasken gibt es nicht.

Ein Angreifer muss bei RIP also nur die von ihm gewünschte Route mit einer geringeren Metrik als alle anderen in das Netzwerk posaunen, und schon fließt der gesamte Verkehr in dieses Netz über seine Schnittstelle. Unix-Administratoren haben fast alle schon einmal einem Kollegen diesen Streich gespielt; zum Glück wird RIP nicht mehr so häufig eingesetzt.