# Welche Arten von Netzwerkattacken erkennt das Enginsight IDS?

Mit dem Intrusion Detection System (IDS) von Enginsight kannst du den Netzwerkverkehr auf allen Servern und Clients, auf denen ein Enginsight Agent (Pulsar) installiert wurde, überwachen und analysieren, um Angriffe, Missbrauch und Verstöße gegen Sicherheitsrichtlinien zu erkennen.

Für die Erkennung von Netzwerkanomalien und Angriffen werden System- und Netzwerkaktivitäten mithilfe mehrerer tausend vordefinierter Regelwerke, überwiegend sog. Snort Community Rules, analysiert und in der Enginsight Plattform angezeigt.

***

## Allgemeine Netzwerkangriffe

Das Enginsight IDS unterstützt die Erkennung der folgenden Angriffe:

<table><thead><tr><th width="214.40234375">Netzwerkattacke</th><th>Beschreibung</th></tr></thead><tbody><tr><td>SYN-Flooding</td><td>SYN-Flooding ist eine Denial-of-Service (DoS)-Attacke, die Webserver durch eine Flut (Flooding) von halboffenen TCP-Verbindungen überlastet. Angreifer senden massenhaft Verbindungsanfragen (SYN), schließen die Anfrage aber nicht mit einer sog. ACK-Antwort ab. Dadurch reserviert der Server Speicherplatz für die Antwort, die aber nie erfolgt, bis der Speicher voll ist und ein Dienst oder das gesamte System nicht mehr erreichbar sind.</td></tr><tr><td>ARP-Spoofing</td><td>ARP-Spoofing (Fälschen, Täuschen) ist eine Netzwerkattacke, bei der ein Angreifer gefälschte Address Resolution Protocol (ARP)-Nachrichten in ein lokales Netzwerk sendet, damit Datenpakete wie Kreditkartendaten, anstatt an ein legitimes Gerät versendet zu werden, an den Angreifer umgeleitet werden, der sie lesen und manipulieren kann.</td></tr><tr><td>Ping of Death (PoD)</td><td>Ein Ping-of-Death-Angriff ist eine DoS-Attacke, bei dem ein Angreifer ICMP-Anfragen (Ping) sendet, die Datenpakete enthalten, die größer als die maximal zulässige Paketgröße sind. Dadurch wird ein sog. Buffer Overflow erzeugt, also eine Überfrachtung des Zwischenspeichers, bis das betroffenen System einfriert oder ganz abstürzt. </td></tr><tr><td>Ping-DDoS</td><td>Bei einer Distributed Denial-of Service (DDoS)-Attacke via Ping senden Angreifer über mehrere verteilte Systeme gleichzeitig ICMP-Anfragen an ein Zielsystem, das durch die eingehenden Anfragen so überlastet wird, dass es deutlich langsamer wird oder ganz abstürzt.</td></tr><tr><td>DNS-Spoofing</td><td>DNS-Spoofing ist eine Netzwerkattacke, bei der die Zuordnung einer IP-Adresse zu einem Domain-Namen gefälscht wird. Auf diese Weise wird ein Besucher, der die eigentliche zu dieser Domain gehörende Webseite besuchen möchte, auf eine falsche Webseite umgeleitet, die dem Angreifer gehört, damit dieser sensible Daten abgreifen kann.</td></tr><tr><td>Port-Scan (TCP- und UDP-Ports)</td><td>Bei einem Port-Scan überprüfen Angreifer systematisch Netzwerkports an einer IP-Adresse, um eine offene Tür zu finden, über die weitere schädliche Handlungen durchgeführt werden können. Durch Port-Scans lassen sich bspw. aktive Dienste oder Betriebssysteme identifizieren, deren bekannte Schwachstellen ausgenutzt werden können. </td></tr><tr><td>Brute-Force-Angriff</td><td><p>Bei einem Brute-Force-Angriff probieren Angreifer automatisiert verschiedenste Passwortkombinationen aus, um ein Zielsystem zu knacken. <br><br>Das Enginsight IDS kann Brute-Force-Angriffe auf folgende Dienste erkennen:</p><ul><li>SSH (Secure Shell)</li><li>MySQL</li><li>MongoDB</li><li>HTTP Basic Authentication</li><li>FTP (File Transfer Protocol)</li><li>RDP (Remote Desktop Protocol)</li><li>RPC (Remote Procedure Call)</li><li>VNC (Virtual Network Computing)</li><li>SMB (Server Message Block)</li></ul></td></tr><tr><td>Cross-Site Scripting (XSS)</td><td>Beim Cross-Site Scripting (Webseiten-übergreifendes Skripten) schleusen Angreifer bösartige Skripte in vertrauenswürdige Webseiten ein, die im Browser eines Besuchers ausgeführt werden. Dadurch kann ein Angreifer z.B. Sitzungs-Cookies und andere Daten ausspähen oder sogar Konten übernehmen.</td></tr><tr><td>HTTP Request Corruption</td><td>HTTP Request Corruption bezeichnet die Veränderung von Daten während der Übertragung einer HTTP-Anfrage zwischen Client und Server. Durch einen Angreifer verfälschte HTTP-Header können dann bspw. zu weiteren Sicherheitslücken führen, wenn der Server die manipulierten Daten verarbeitet.</td></tr><tr><td>HTTP Response Splitting</td><td>HTTP Response Splitting ist eine Sicherheitslücke, bei der ein Angreifer die HTTP-Antwort eines Servers manipulieren kann, indem er spezielle Steuerzeichen einschleust und die Antwort so aufteilt (Splitting). Auf diese Weise kann er z.B. eigene Cookies setzen, Redirects manipulieren oder falsche Inhalte in den Cache laden.</td></tr><tr><td>HTTP Request Smuggling</td><td>Beim HTTP Request Smuggling manipuliert ein Angreifer mehrere HTTP-Anfragen so, dass sie von verschiedenen Komponenten unterschiedlich interpretiert werden, sich bspw. Frontend- und Backend-Server uneinig darüber sind, wo eine HTTP-Anfrage endet. Ein Angreifer kann dadurch zusätzliche HTTP-Anfragen einschleusen (Smuggling), mit deren Hilfe er Sitzungen übernehmen oder Zugriff auf geschützte Ressourcen erhalten kann.</td></tr><tr><td>Remote Code Execution (RCE)</td><td>Bei einer Remote Code Execution nutzt ein Angreifer eine Schwachstelle in einer Anwendung, einem Dienst oder im Betriebssystem aus, um einen beliebigen Code aus der Ferne auf einem Zielsystem auszuführen, ohne dabei physischen Zugriff auf das System zu benötigen.</td></tr><tr><td>Path Traversal</td><td>Path Traversal erlaubt Angreifern den unbefugten Zugriff auf Dateien und Verzeichnisse außerhalb des Web-Root-Verzeichnisses. Dabei nutzen sie Sonderzeichen wie <code>../</code>, um im Verzeichnisbaum in übergeordnete Dateiordner zu navigieren und so z.B. Kennwort-Dateien des Servers auszulesen.</td></tr><tr><td>SQL Injection</td><td>Bei einer SQL Injection, oder SQL-Einschleusung, schleust ein Angreifer bösartige SQL-Befehle in Eingabefelder von Webanwendungen ein, um die dahinterliegende Datenbank zu manipulieren und bspw. sensible Daten auszulesen, zu löschen, oder zu verändern.</td></tr><tr><td>SSL/TLS Cipher Enumeration</td><td>Bei einer SSL/TLS Cipher Enumeration werden alle Verschlüsselungsalgorithmen eines Servers abgefragt, inklusive TLS-Versionen, Schlüssellängen und Schlüsselalgorithmen. Auf diese Weise kann ein Angreifer Schwachstellen identifizieren, die er weiter ausnutzen kann.</td></tr><tr><td>SSL/TLS Protocol Scan</td><td>Bei einem SSL/TLS Protocol Scan untersucht ein Angreifer das System auf die Verwendung veralteter SSL/TLS-Protokollversionen, Konfigurationsfehler und andere Schwachstellen, die er weiter ausnutzen kann.</td></tr><tr><td>Bot-Aktivität</td><td>Ein Bot ist ein Softwareprogramm, das im Internet aktiv ist und wiederholte Aufgaben ausführt. Bei einem Bot-Angriff werden bspw. automatisierte Skripte verwendet, um die Leistung einer Website zu beeinträchtigen, Daten zu stehlen, oder andere bösartige Aktionen auszuführen.</td></tr><tr><td>Blacklisted IP Database</td><td>Enginsight überprüft IP-Adressen darauf, ob sie bereits auf einer bekannten Schwarzen Liste stehen.</td></tr></tbody></table>

***

## SNORT Community Rules

Zusätzlich unterstützt Enginsight die Erkennung von Angriffen, die in den [SNORT](https://www.snort.org/) Community Rules beschrieben sind.&#x20;

Dabei handelt es sich auch um spezifischere Angriffe (z.B. Attacken auf Microsoft IIS oder Exange Server, Zugriffsversuche auf sensible Daten eines Webservers oder Common Gateway Interface (CGI)-Angriffe).

{% hint style="info" %}
Die verwendeten SNORT Community Rules fallen unter die [GPLv2-Lizenz](https://www.snort.org/gpl).
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/intrusion-detection-system-ids/welche-arten-von-netzwerkattacken-erkennt-das-enginsight-ids.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
Netzwerkattacke	Beschreibung
SYN-Flooding	SYN-Flooding ist eine Denial-of-Service (DoS)-Attacke, die Webserver durch eine Flut (Flooding) von halboffenen TCP-Verbindungen überlastet. Angreifer senden massenhaft Verbindungsanfragen (SYN), schließen die Anfrage aber nicht mit einer sog. ACK-Antwort ab. Dadurch reserviert der Server Speicherplatz für die Antwort, die aber nie erfolgt, bis der Speicher voll ist und ein Dienst oder das gesamte System nicht mehr erreichbar sind.
ARP-Spoofing	ARP-Spoofing (Fälschen, Täuschen) ist eine Netzwerkattacke, bei der ein Angreifer gefälschte Address Resolution Protocol (ARP)-Nachrichten in ein lokales Netzwerk sendet, damit Datenpakete wie Kreditkartendaten, anstatt an ein legitimes Gerät versendet zu werden, an den Angreifer umgeleitet werden, der sie lesen und manipulieren kann.
Ping of Death (PoD)	Ein Ping-of-Death-Angriff ist eine DoS-Attacke, bei dem ein Angreifer ICMP-Anfragen (Ping) sendet, die Datenpakete enthalten, die größer als die maximal zulässige Paketgröße sind. Dadurch wird ein sog. Buffer Overflow erzeugt, also eine Überfrachtung des Zwischenspeichers, bis das betroffenen System einfriert oder ganz abstürzt.
Ping-DDoS	Bei einer Distributed Denial-of Service (DDoS)-Attacke via Ping senden Angreifer über mehrere verteilte Systeme gleichzeitig ICMP-Anfragen an ein Zielsystem, das durch die eingehenden Anfragen so überlastet wird, dass es deutlich langsamer wird oder ganz abstürzt.
DNS-Spoofing	DNS-Spoofing ist eine Netzwerkattacke, bei der die Zuordnung einer IP-Adresse zu einem Domain-Namen gefälscht wird. Auf diese Weise wird ein Besucher, der die eigentliche zu dieser Domain gehörende Webseite besuchen möchte, auf eine falsche Webseite umgeleitet, die dem Angreifer gehört, damit dieser sensible Daten abgreifen kann.
Port-Scan (TCP- und UDP-Ports)	Bei einem Port-Scan überprüfen Angreifer systematisch Netzwerkports an einer IP-Adresse, um eine offene Tür zu finden, über die weitere schädliche Handlungen durchgeführt werden können. Durch Port-Scans lassen sich bspw. aktive Dienste oder Betriebssysteme identifizieren, deren bekannte Schwachstellen ausgenutzt werden können.
Brute-Force-Angriff	Bei einem Brute-Force-Angriff probieren Angreifer automatisiert verschiedenste Passwortkombinationen aus, um ein Zielsystem zu knacken. Das Enginsight IDS kann Brute-Force-Angriffe auf folgende Dienste erkennen: SSH (Secure Shell) MySQL MongoDB HTTP Basic Authentication FTP (File Transfer Protocol) RDP (Remote Desktop Protocol) RPC (Remote Procedure Call) VNC (Virtual Network Computing) SMB (Server Message Block)
Cross-Site Scripting (XSS)	Beim Cross-Site Scripting (Webseiten-übergreifendes Skripten) schleusen Angreifer bösartige Skripte in vertrauenswürdige Webseiten ein, die im Browser eines Besuchers ausgeführt werden. Dadurch kann ein Angreifer z.B. Sitzungs-Cookies und andere Daten ausspähen oder sogar Konten übernehmen.
HTTP Request Corruption	HTTP Request Corruption bezeichnet die Veränderung von Daten während der Übertragung einer HTTP-Anfrage zwischen Client und Server. Durch einen Angreifer verfälschte HTTP-Header können dann bspw. zu weiteren Sicherheitslücken führen, wenn der Server die manipulierten Daten verarbeitet.
HTTP Response Splitting	HTTP Response Splitting ist eine Sicherheitslücke, bei der ein Angreifer die HTTP-Antwort eines Servers manipulieren kann, indem er spezielle Steuerzeichen einschleust und die Antwort so aufteilt (Splitting). Auf diese Weise kann er z.B. eigene Cookies setzen, Redirects manipulieren oder falsche Inhalte in den Cache laden.
HTTP Request Smuggling	Beim HTTP Request Smuggling manipuliert ein Angreifer mehrere HTTP-Anfragen so, dass sie von verschiedenen Komponenten unterschiedlich interpretiert werden, sich bspw. Frontend- und Backend-Server uneinig darüber sind, wo eine HTTP-Anfrage endet. Ein Angreifer kann dadurch zusätzliche HTTP-Anfragen einschleusen (Smuggling), mit deren Hilfe er Sitzungen übernehmen oder Zugriff auf geschützte Ressourcen erhalten kann.
Remote Code Execution (RCE)	Bei einer Remote Code Execution nutzt ein Angreifer eine Schwachstelle in einer Anwendung, einem Dienst oder im Betriebssystem aus, um einen beliebigen Code aus der Ferne auf einem Zielsystem auszuführen, ohne dabei physischen Zugriff auf das System zu benötigen.
Path Traversal	Path Traversal erlaubt Angreifern den unbefugten Zugriff auf Dateien und Verzeichnisse außerhalb des Web-Root-Verzeichnisses. Dabei nutzen sie Sonderzeichen wie `../`, um im Verzeichnisbaum in übergeordnete Dateiordner zu navigieren und so z.B. Kennwort-Dateien des Servers auszulesen.
SQL Injection	Bei einer SQL Injection, oder SQL-Einschleusung, schleust ein Angreifer bösartige SQL-Befehle in Eingabefelder von Webanwendungen ein, um die dahinterliegende Datenbank zu manipulieren und bspw. sensible Daten auszulesen, zu löschen, oder zu verändern.
SSL/TLS Cipher Enumeration	Bei einer SSL/TLS Cipher Enumeration werden alle Verschlüsselungsalgorithmen eines Servers abgefragt, inklusive TLS-Versionen, Schlüssellängen und Schlüsselalgorithmen. Auf diese Weise kann ein Angreifer Schwachstellen identifizieren, die er weiter ausnutzen kann.
SSL/TLS Protocol Scan	Bei einem SSL/TLS Protocol Scan untersucht ein Angreifer das System auf die Verwendung veralteter SSL/TLS-Protokollversionen, Konfigurationsfehler und andere Schwachstellen, die er weiter ausnutzen kann.
Bot-Aktivität	Ein Bot ist ein Softwareprogramm, das im Internet aktiv ist und wiederholte Aufgaben ausführt. Bei einem Bot-Angriff werden bspw. automatisierte Skripte verwendet, um die Leistung einer Website zu beeinträchtigen, Daten zu stehlen, oder andere bösartige Aktionen auszuführen.
Blacklisted IP Database	Enginsight überprüft IP-Adressen darauf, ob sie bereits auf einer bekannten Schwarzen Liste stehen.