|
|
|
|
|
|
Gast
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Adna rim
Also ich hab von der Sache nicht allzuviel Ahnung und wollte mal Fragen warum folgendes nicht funktioniert. Und zwar sagen wir nunmal, dass die Attacke auf Port 80 zielt. Wieso schliesst man den Port nicht einfach und sagt dem Webserver er solle nun an Port 4545 agieren und lässt www.gulli.com auf 80.190.192.41:4545 zielen? |
Wenn ich mich nicht ganz irre:
Der "User" versucht auf das Board über den Port 80 zuzugreifen! Sprich, man müsste den Port im Browser umstellen und das ist IMHO nicht möglich!
|
26. 12. 2005, 16:05
|
#76
|
|
moralisch divergent
Registrierungsdatum: Dec 2004
Beiträge: 1.323
|
Re: DDoS-Angriff auf gulli.com
Das macht wenig Sinn, denn jeder Besucher muesste dann manuell im Browser http://www.gulli.com:4545 eingeben um auf die Seite zu gelangen, vorausgesetzt natuerlich der Besucher wuesste ueberhaupt dass www.gulli.com unter Port 4545 erreichbar ist.
|
26. 12. 2005, 16:29
|
#77
|
|
Gesperrt
Registrierungsdatum: Aug 2004
Ort: Korova Milchbar
Beiträge: 2.752
|
Re: DDoS-Angriff auf gulli.com
K danke, ich dachte man könnte einer Domain sagen, dass sie auf einen gewissen Port automatisch verweisen soll.
|
|
26. 12. 2005, 16:41
|
#78
|
|
Retreat
Registered User
Registrierungsdatum: Aug 2000
Beiträge: 11.501
|
Re: DDoS-Angriff auf gulli.com
Zwar nicht auf einer Domain, sprich auf DNS Ebene, aber innerhalb vom Apache sind solche Umleitungen möglich. Jetzt stellt sich natürlich die Frage, was das bringt, die Angreifer werden dann auch umgeleitet (wobei es in der Realität gar nicht so weit kommen wird)
|
|
26. 12. 2005, 16:46
|
#79
|
|
Gesperrt
Registrierungsdatum: Aug 2004
Ort: Korova Milchbar
Beiträge: 2.752
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von onkelchen
Jetzt stellt sich natürlich die Frage, was das bringt, die Angreifer werden dann auch umgeleitet
|
Ja wenn das allerdings per Domain funzen würde, würden die Angreifer ja nicht weitergeleitet werden, da sie doch wahrscheinlichst direkt den Server und Port angreifen und nicht den Umweg über die Domain gehen. Wenn es nur vom Server ausgeht bringt das natürlich wie du sagst nichts.
|
|
26. 12. 2005, 17:03
|
#80
|
|
Idealist
Registrierungsdatum: Aug 2003
Ort: Rheinland-Pfalz
Beiträge: 247
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Adna rim
Ja wenn das allerdings per Domain funzen würde, würden die Angreifer ja nicht weitergeleitet werden, da sie doch wahrscheinlichst direkt den Server und Port angreifen und nicht den Umweg über die Domain gehen. Wenn es nur vom Server ausgeht bringt das natürlich wie du sagst nichts.
|
Ja funzen würde es ja, nur kommen dann die unwissenden User nicht mehr auf die Webseite  .
Also am besten durchhalten und sich nicht davon beirren lassen oder wie schaut die Strategie bei solchen Angriffen aus ?
|
|
26. 12. 2005, 17:18
|
#81
|
|
Mitglied
Registrierungsdatum: Aug 2004
Beiträge: 241
|
Re: DDoS-Angriff auf gulli.com
nun, es gäbe da schon Möglichkeiten, den Botmaster ausfindig zu machen
Die Computer des Botnetzes wiesen alle eine Sicherheitlücke auf. Diese Sicherheislücke wurde ausgenutzt, um die Botnet-Software zu installieren. Man kann davon ausgehen, dass die Sicherheitlücken grösstenteils immer noch existieren. Soll heissen, wenn man die reale IP der angreifenden Computer aufindig machen würde, könnte man vermutlich in die Systeme eindringen, durch die gleiche Sicherheislücke, die das Botnet ausgenutzt hat, um den Computer zu infizieren. Das wäre natürlich keinesfalls legal 
Die infizierten Computer bauen eine Verbindung zu einem IRC-Channel auf, um dort auf Kommandos vom Botmaster zu warten. Wenn man jetzt also in einen solchen Computer eingedrungen wäre, könnte man einen Sniffer laufen lassen, der den IRC-Channel, Passwörter und Kommandos aufzeichnet. Danach wäre es ein leichtes, diesen IRC-Channel zu joinen und dort den Botmaster ausfindig zu machen 
Soweit die Theorie ...
Gruss
trox
|
|
26. 12. 2005, 19:03
|
#82
|
|
Retreat
Registered User
Registrierungsdatum: Aug 2000
Beiträge: 11.501
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von troX
Soweit die Theorie ...
|
dito. Wie ich aber schon festgestellt habe, sind die Adressen bei einem DDoS aber gespooft.
|
|
26. 12. 2005, 19:07
|
#83
|
|
Mitglied
Registrierungsdatum: May 2005
Beiträge: 3
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von troX
nun, es gäbe da schon Möglichkeiten, den Botmaster ausfindig zu machen
Die Computer des Botnetzes wiesen alle eine Sicherheitlücke auf. |
Soweit die theorie, allerdings schließen gute bots diese Lücke von selber umn das genau zu verhindern und Rivalen vernzuhalten
Ciao mist
|
|
26. 12. 2005, 20:02
|
#84
|
|
Ehemaliges Gulli Mitglied
Registrierungsdatum: Apr 2001
Ort: Valhalla
Beiträge: 336
|
Re: DDoS-Angriff auf gulli.com
So jetzt habe ich noch 2 Fragen
1. Auf Microsoft wurden durch einen Wurm *wie heißt der noch* auch DDOS Attacken gestartet alles an einem Tag und die Halbe Welt machte mit, wie wurde das Problem gelöst gab es genug Hardware Ressourcen oder eine andere Technik?
2. Gibt es diese Sicherheitslücke die im TCP herrscht das die Anfragende addrese nicht auf gültigkeit überprüft wird auch im IPv6 ?
P.S Danke Onkelchen & C.o für die erklärungen
|
|
26. 12. 2005, 20:39
|
#85
|
|
Mitglied
Registrierungsdatum: Nov 2005
Beiträge: 25
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Crack David
So jetzt habe ich noch 2 Fragen
2. Gibt es diese Sicherheitslücke die im TCP herrscht das die Anfragende addrese nicht auf gültigkeit überprüft wird auch im IPv6 ?
P.S Danke Onkelchen & C.o für die erklärungen
|
zur 2: Es wird meines erachtens nur der "IP" Teil der beiden Protokolle "TCP" und IP" verändert, sodaß wohl die TCP-Schwächen erhalten bleiben.
Aber IPv6-Adressen sollten glaub ich auch zum Teil aus der MAC-Adresse bestehen, sodaß theoretisch eine eindeutige Identifizierung möglich ist. Nur kann man die MAC Adressen ja auch wieder "spoofen" 
Aber vielleicht gibt es ja ein neues Protokoll als TCP-Nachfolger, bis IPv6 richtig eingesetzt wird.
@cemil und Onkelchen
Erstmal muss ich euch auch Danke sagen für die Erklärungen und die Infos zum Angriff, frag euch aber auch nochmal, da Ihr ja als die Wissendsten in diesem Thread erscheint, wie man selber überprüfen kann ob der eigene Rechner zu so einem blöden Botnetz gehört.
Für den ja sehr bekannten "Phatbot" hab ich zum Beispiel auch noch kein Erkennungs-/ Entfernungstool gefunden, aber es gibt ja noch mehr.
Ich (und sicherlich viele andere) wäre euch sehr dankbar falls Ihr da helfen könnt 
|
|
27. 12. 2005, 00:05
|
#86
|
|
Paranoiker
Registrierungsdatum: Dec 2005
Ort: Köln / NRW
Beiträge: 5
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
wie man selber überprüfen kann ob der eigene Rechner zu so einem blöden Botnetz gehört.
|
hi...
zb mit einer tarpitting-software. ein tarpit spricht genau auf sowas an, und wenn du weißt auf welchen ports und von welchem pc in deinem netz aus die malware wirkt kann man sie auch schnell eliminieren.
mfg,
blAcky
externer link
|
|
27. 12. 2005, 00:21
|
#87
|
|
ex-Moderator
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.395
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Crack David
2. Gibt es diese Sicherheitslücke die im TCP herrscht das die Anfragende addrese nicht auf gültigkeit überprüft wird auch im IPv6 ?
|
ähm, meinst du konkret spoofen? Die Lücke wurde doch auch schon in IPv4 relativ gut geschlossen....
|
|
27. 12. 2005, 00:22
|
#88
|
|
Retreat
Registered User
Registrierungsdatum: Aug 2000
Beiträge: 11.501
|
Re: DDoS-Angriff auf gulli.com
Also ich zumindest habe nur äußerst rudimentäre Kenntnisse von Windows und Windows Sicherheitsmaßnahmen ...
|
|
27. 12. 2005, 00:32
|
#89
|
|
Retro Fan
Registrierungsdatum: Apr 2001
Ort: Angel Island
Beiträge: 1.556
|
Re: DDoS-Angriff auf gulli.com
Ich dachte, das IP Protokoll setzt auf das TCP auf. Ist die "Lücke" schon im TCP vorhanden kann es IP auch nicht schließen. Hab vor langer Zeit die http://www.rfc-editor.org dazu mal angeschaut
|
|
27. 12. 2005, 00:55
|
#90
|
|
Elementarteilchen
Registrierungsdatum: Aug 2005
Beiträge: 883
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von LongJohn
wie man selber überprüfen kann ob der eigene Rechner zu so einem blöden Botnetz gehört.
|
Eine Personal Firewall sollte das eigentlich auch können, da sie normalerweise bei jeder neuen connection die aus/eingeht nachfragt ob du sie erlaubst
|
|
27. 12. 2005, 00:55
|
#91
|
|
Ehemaliges Gulli Mitglied
Registrierungsdatum: Apr 2001
Ort: Valhalla
Beiträge: 336
|
Re: DDoS-Angriff auf gulli.com
@vmk
Ja das Spoofen ist gemeint wie ich lese ist die lücke doch vorhanden und gehört zum Protokol dazu.
Onkelchen
Zitat:
Das ganze nennt sich TCP Three-Way-Handshake.
Bei einem DDoS-Angriff werden sich die befallenen Rechner allerdings nicht mit ihrer echten IP-Adresse melden, der Server hält Ressourcen frei und schickt Pakete ins Nirwana. Niemand meldet sich und nach einem Timeout schließt der Server den Socket. Wenn das sehr oft und von sehr vielen Rechnern zugleich passiert, erreicht jeder Server irgendann seine Belastungsgrenzen - er fällt aus, der DDos ist erfolgreich.
Da sich diese Anfragen jedoch nicht von regulären unterscheiden, kann man die natürlich auch nicht filtern - Pech gehabt.
|
@LongJohn
Stimmt die MAC Adresse damit kommen wir wieder auf IPv4 bedingungen
Und der IPSec Dienst könnte der Helfen?
|
|
27. 12. 2005, 00:57
|
#92
|
|
ex-Moderator
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.395
|
Re: DDoS-Angriff auf gulli.com
Heute bist du bei IPv4 quasi anonym. Das fällt zum Glück miti IPv6, denn die Adressbereiche gehören dann fest einer Person und die sollte man schon eindeutig identifizieren können.
Spoofen: Nur so aus reiner Neugier: Wie willst du denn ein Paket mit falschen Absender verschicken? Jede Provider wird dir diese Pakete rausfiltern - Anti-Spoofing Massnahme halt :-)
|
|
27. 12. 2005, 01:03
|
#93
|
|
Ehemaliges Gulli Mitglied
Registrierungsdatum: Apr 2001
Ort: Valhalla
Beiträge: 336
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Spoofen: Nur so aus reiner Neugier: Wie willst du denn ein Paket mit falschen Absender verschicken? Jede Provider wird dir diese Pakete rausfiltern - Anti-Spoofing Massnahme halt :-)
|
Das habe ich aus dem Text Interpretiert
Zitat:
|
Bei einem DDoS-Angriff werden sich die befallenen Rechner allerdings nicht mit ihrer echten IP-Adresse melden, der Server hält Ressourcen frei und schickt Pakete ins Nirwana.
|
Zitat:
|
Das fällt zum Glück miti IPv6, denn die Adressbereiche gehören dann fest einer Person und die sollte man schon eindeutig identifizieren können.
|
Das dachte erst auch dan wären ja fast alles Sorgen und Freiheiten weg aber die Adresse errechnet sich aus der MAC.
Und jeder WLAN besitzer weiss es den Sicherheitsstandart der MAC identifizierung zu schätzen der gegen null geht.
|
|
27. 12. 2005, 01:27
|
#94
|
|
ex-Moderator
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.395
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Crack David
Das dachte erst auch dan wären ja fast alles Sorgen und Freiheiten weg aber die Adresse errechnet sich aus der MAC.
|
Nein, du bekommst wie damals ähm heute einfach einen Bereich zugeteilt, das hat nichts mit der MAC-Adresse zu tun.
|
|
27. 12. 2005, 01:34
|
#95
|
|
Ehemaliges Gulli Mitglied
Registrierungsdatum: Apr 2001
Ort: Valhalla
Beiträge: 336
|
Re: DDoS-Angriff auf gulli.com
Ich habe mal im Wiki geschaut
Zitat:
|
P-Vergabe wie bei IPv4 sollte es ja bei IPv6 nicht mehr geben. Datenschützer waren besorgt, dass auf diese Weise der Datenverkehr über eine bestimmte IP-Adresse auf Routern mitgeschnitten werden könnte und beispielsweise für Marketingmaßnahmen oder staatliche Interventionen aller Art verwendet werden könnte. Die IETF definierte deshalb nachträglich die Datenschutzerweiterungen („Privacy Extensions“) gemäß RFC 3041: Die MAC-Adresse wird dabei zunächst mit einer pseudozufälligen Zahl verwürfelt, und aus dem Ergebnis dann die linklokale Adresse des Gerätes ermittelt.
|
|
|
27. 12. 2005, 01:42
|
#96
|
|
Retreat
Registered User
Registrierungsdatum: Aug 2000
Beiträge: 11.501
|
Re: DDoS-Angriff auf gulli.com
Ich weiß ja nicht, was vmk so macht, aber die restliche Welt benutzt IPv4, die Zahl der IPv6 Hosts ist vergleichsweise irrelevant. In IPv4 kann man ohne weiteres IPs spoofen, das ist mittlerweile, durch die Raw Socket Implementation in Windows 2000 und Nachfolger sogar noch einfacher geworden.
IPv6 ist in erster Linie ist IPv6 auch eine Adresserweiterung auf 128 Bit. Meine Ausführungen beziehen sich, und das sage ich nochmal ausdrücklich, auf TCP/IP und zwar TCP/IPv4. Im Moment verspricht IPv6 zwar in der Tat eine Lösung dieses Problems, wie zuverlässig das funktioniert, wird sich allerdings erst zeigen, wenn IPv6 tatsächlich mal eine Rolle spielt.
|
|
27. 12. 2005, 01:50
|
#97
|
|
ex-Moderator
ex-Moderator
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.395
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von onkelchen
In IPv4 kann man ohne weiteres IPs spoofen, das ist mittlerweile, durch die Raw Socket Implementation in Windows 2000 und Nachfolger sogar noch einfacher geworden.
|
Das mag ja so weit klar sein, aber die ISP's filtern Pakete raus, wo die Absender-IP nicht der IP übereinstimmt, die man dir zugewiesen hat. Das ist zwar nur etwas, aber das bringt schon mal viele DialUp-Zombies zum Schweigen, wenn diese Spoofen wollen.
|
|
27. 12. 2005, 02:21
|
#98
|
|
A@ministrator
Registrierungsdatum: Jan 2004
Beiträge: 2.437
|
Re: DDoS-Angriff auf gulli.com
Zitat:
|
Zitat von Greg5000
Ich frage mich wer nicht |
gut formuliert 
|
|
27. 12. 2005, 02:48
|
#99
|
|
Retreat
Registered User
Registrierungsdatum: Aug 2000
Beiträge: 11.501
|
Re: DDoS-Angriff auf gulli.com
Das ist richtig vmk, für die meisten ISPs. Es gibt aber nach wie vor eine ziemlich bedeutende Anzahl an ISPs, die dies aber nicht filtern (und nicht wenige davon machen das wohl ganz bewusst). Im Endeffekt ist es aber auch egal, ob die Quelladresse existiert, oder ob sie beim DDoS gespooft ist - das Ergebnis ist immer das selbe für den angegriffenen Host. Es bleibt jedenfalls nicht einmal annähernd die Zeit, die Pakete genauer zu untersuchen.
|
|
27. 12. 2005, 03:29
|
#100
|
|
|
|
