kostenloser Webspace werbefrei: lima-city


DDoS-Angriff

lima-cityForumDie eigene HomepageInternet Allgemein

  1. Autor dieses Themas

    die-pcag

    Kostenloser Webspace von die-pcag

    die-pcag hat kostenlosen Webspace.

    Hey Leute,
    (Hoffe mal dass es hier die richtige Ecke für die Frage ist – sonst entschuldige ich mich schon mal)

    Da Lima-City gerade einen DDoS-Angriff durchläuft fallen mir zwei Fragen zu dem Thema ein:

    1. Was kann ich machen damit mein PC/Notebook nicht Teil eines solchen Angriffs wird?

    2. Wie kann ich feststellen ob mein PC Teil eines solchen Angriffs ist?

    Normalerweise hat der PC ein Antivirenprg und die Windows Firewall. Reicht dieser Schutz aus? Natürlich sollen auch die Updates installiert sein. Aber was kann sonst noch gemacht werden?

    Ich hoffe das Lima-City die Situation bald in den Griff bekommt und alle Funktionen wieder „normal“ laufen.

    mfG
    Georg
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Also erstmal, DoS heißt "Denial of Service" (Dienstverweigerung).
    DDoS hingegen bezeichnet den "Distributed Denial of Service", was bedeutet, dass mehrere Systeme (meist unwissentlich) an dem Angriff auf Lima-City beteiligt waren.
    Diese vorgehensweise macht es schonmal unmöglich, den Absender ausfindig zu machen.

    Normalerweise hat der PC ein Antivirenprg und die Windows Firewall. Reicht dieser Schutz aus? Natürlich sollen auch die Updates installiert sein. Aber was kann sonst noch gemacht werden?

    Das wird dir alles nichts helfen.

    Mach doch mal folgendes:
    --> Klick auf Start
    --> Klick auf Ausführen
    --> Gib "ping google.de" ein
    --> Drück <Enter>

    Was du jetzt siehst, sind 4 Datenpakete, die mit jeweils 32 Bytes an Google gesendet werden.
    Google gibt dir daraufhin ein sogenanntes "Echo" zurück, als Antwort, dass die Seite verfügbar ist.
    Auch wenn du einfach ganz normal in deinen Browser http://www.google.de eingibst oder einfach nur auf der Seite navigierst bzw. eine Aktion bestätigst....Google gibt dir immer die entsprechende Reaktion auf deine Aktionen.
    Das verbraucht natürlich Traffic.

    32 Bytes an sich sind da kein Problem....aber was passiert, wenn man nun dieses Datenpaket erhöht?
    Mehr Traffic....und wenn man noch dazu nicht nur 4 Datenpakete versendet, sondern den Datenstrom am Laufen hält (Möglich mit der Eingabe "ping google.de -t"), dann erhält man eine Dauerbelastung.
    Wenn man dies nun von mehreren Systemen macht, erhöht sich der Traffic exponentiell....noch dazu, kann man mehrere Anfragen auf einmal laufen lassen.

    Um diese Ping-Abfrage an mehrere Systeme zu verteilen (möglich mit Backdoor-Programmen) und Google dazu zu bringen, das "Echo" nicht an dich, sondern an eben diese anderen Systeme zurückzuschicken, wird das sogenannten IP-Spoofing angewand.
    Die Kopfzeile des Absenders (in der die IP-Adresse zu finden ist) kann ganz leicht verändert werden.

    So ist es zum Beispiel möglich, das lima-city dauerhaft Ping-Abfragen von dutzenden PCs erhält und der eigentliche Angreifer beim aktiven Angriff nicht beteiligt ist.
    Irgendwann quitiert der Service dann seinen Dienst....wenn dieses Problem nicht beseitigt werden kann, muss notfalls das System abgeschalten werden, um den Angriff zu beenden.
    Sollte das System wieder online gehen, ist es eigentlich kein Problem, die IP Adresse (falls dynamisch) erneut ausfindig zu machen und den Angriff von vorne zu beginnen.
    Hat sich die IP hingegen nicht geändert (statisch), geht der Angriff nach hochfahren des Systems einfach automatisch weiter.



    1. Was kann ich machen damit mein PC/Notebook nicht Teil eines solchen Angriffs wird?

    Gar nichts, ausser du deaktivierst den "Echo-Dienst".
    Wenn ich eine Ping-Abfrage an deine IP-Adresse schicke, schickst du mir automatisch ne Antwort zurück....da helfen dir auch Antivirensoftware und Firewall nicht.
    Eine andere Möglichkeit währe es natürlich, den zulässigen Trafic zu beschränken....für einen Webhoster würde das allerdings Einschränkungen auf Seiten der Nutzer bedeuten.


    2. Wie kann ich feststellen ob mein PC Teil eines solchen Angriffs ist?

    Ich weis nicht....schätze mal mit einem Paketsniffer oder mit jedem x-beliebigem Programm, das deinen Traffic mißt.
    Gibt es zuhauf im Netz.

    Beitrag zuletzt geändert: 11.3.2010 12:37:52 von adelwoehrer
  4. adelwoehrer schrieb:
    1. Was kann ich machen damit mein PC/Notebook nicht Teil eines solchen Angriffs wird?

    Gar nichts, ausser du deaktivierst den "Echo-Dienst".
    Wenn ich eine Ping-Abfrage an deine IP-Adresse schicke, schickst du mir automatisch ne Antwort zurück....da helfen dir auch Antivirensoftware und Firewall nicht.


    Das ist so nicht korrekt. Das F-Secure Sicherheitspaket, welches ich hier auf der Arbeit verwende blockiert den Ping sehr wohl. Ich weiss das, weil ich immer vergesse, diesen als Ausnahme in die Regeln zu schreiben. Wenn ich nun den PC pinge, so bekomme ich keine Antwort.

    Hilft nur bei einer Attacke auf das Gateway, der externen IP, leider nichts, da dort kein F-Secure installiert ist.

    Beitrag zuletzt geändert: 11.3.2010 7:45:24 von karpfen
  5. Das F-Secure Sicherheitspaket, welches ich hier auf der Arbeit verwende blockiert den Ping sehr wohl.

    Ob man ihn jetzt Blockiert oder gar nicht erst erlaubt, läuft doch aufs selbe hinaus....

    Hilft nur bei einer Attacke auf das Gateway, der externen IP, leider nichts, da dort kein F-Secure installiert ist.

    ....eben. =)



    Ich kopier hier mal die Gegenmaßnahmen laut Wikipedia rein:
    Eine dynamische Vorgehensweise besteht im laufenden Abgleich der IP-Adressen mit so genannten Blacklists und die Analyse und Filterung des eingehenden Datenverkehrs durch den Grenzrouter des Providers. Datenpakete von bekannten IP-Adressen werden verworfen. Ebenso kann sich eine dynamische Filterung auf Datenmengen beziehen. Jeder IP-Adresse, die einen einstellbaren Grenzwert (Datenvolumen pro Zeit) überschreitet, kann der Zugang komplett verweigert oder die Bandbreite beschränkt werden.

    Bei kleineren DDoS-Angriffen, die keinen erheblichen Datenverkehr verursachen und lediglich den Server unnötig belasten, kann das Blocken auf Basis der Herkunfts-IP-Adresse durch den Server selbst sinnvoll sein.

    Bei der kompletten Sperre des eingehenden Datenverkehrs werden am Grenzrouter des Providers alle auf die betroffene Ziel-IP-Adresse eingehenden Datenpakete verworfen. Das bedeutet im Umkehrschluss, dass auch legitime Anfragen an die IP-Adresse und den dahinterliegenden Server verworfen werden. Der Server ist dann faktisch nicht mehr erreichbar, womit die Attacke ihr Ziel erreicht hat. Diese Maßnahme kann also nur kurzfristig eingesetzt werden.

    Treten die Angriffe wiederholt auf, besteht zudem die Möglichkeit, die IP-Adresse des Servers zu ändern. Erfolgt der DoS-Angriff jedoch auf den DNS-Hostname des Servers und nicht auf die IP-Adresse, so hilft diese Maßnahme nur kurzfristig. Selbst wenn der Angriff statisch die IP-Adresse des Servers verwendet, ist es möglich, dass der Angreifer innerhalb kurzer Zeit die Änderung dieser bemerkt und sein Ziel entsprechend anpasst.



    Wenn du eine noch detailiertere Beschreibung suchst, dann schau HIER rein.
    Möchtest du die Funktionsweise der Programme selbst testen, gibt es einige davon HIER zum download.
    Man findet HIER sogar ein Tutorial für sowas.

    Im Prinzip kann also jedes Scriptkiddy, dem gerade langweilig ist, einen Angriff starten.

    Beitrag zuletzt geändert: 11.3.2010 8:10:15 von adelwoehrer
  6. Ich wollte es nur richtig stellen :wink: Nicht das noch jemand denkt, eine Softwarefirewall kann dies nicht.
    Bei einem DDos-Angriff aber auch von daher egal, da der Angreifer ja gar keine Antwort braucht. Die Leitung ist ja schon dicht, wenn er einem große Pakete auf die Leitung jagt.
  7. ich will noch eins richtig stellen: ein ping ist die billigste Variante eines dDos angriffs... heurtzutage dürfte der Ping nciht mehr viel schaden anrichten...

    der schädlichere part ist, wenn jemand laufend HTTP-Requests rausfeuert. ein Webserver ist sehr viel anfälliger, als der Ping-Dienst... außerdem erfolgt beim Ping ein symmetrischer Datenaustausch

    -> xdu schickst 2k und erhälsst 2k... ergo kannst du nur so viel last erzeugen, wie du übertragungsgeschwindigkeit hast...

    bei dem http-Request schickst du nur eine anfrage und er feuert dir den ganzen Webcontent raus... wenn die Webseite nicht nur 1k groß ist, dürften dann probleme auftauchen... es sei denn, man begrenzt die maximalen Zugriffe auf einen Webserver auf ein sinnvolles Maß...

    normalerweise müssten aber hochwertige Netzkkoppelgeräte solche Attacken erkennen können...
  8. der schädlichere part ist, wenn jemand laufend HTTP-Requests rausfeuert

    Ja....und einen HTTP-Flooder zu finden, ist auch kein Problem.
    HIER hätten wir sogar ein ganzes Softwarepacket mit solchen Tools.

    -> xdu schickst 2k und erhälsst 2k... ergo kannst du nur so viel last erzeugen, wie du übertragungsgeschwindigkeit hast...

    Stimmt, weshalb auch mehrere Systeme verwendet werden.
    Ich hab vor einiger Zeit mal einige Methoden getestet, solche Programme in Umlauf zu bringen....die Effektivste war Shark 3.1....ein Remotesteuerungsprogramm, nur muss das Opfer damit eben nicht einverstanden sein.
    Damit lässt sich der Ziel-PC komplett abriegeln, sodas dem Opfer, das am Angriff beteiligt ist, nur noch die Option bleibt, den Stecker zu ziehen.
    Man kann damit sogar die Webcam, falls vorhanden, einschalten.

    Wurde natürlich alles privat oder mit Einverständnis getestet....

    Beitrag zuletzt geändert: 11.3.2010 12:36:25 von adelwoehrer
  9. mastersofpuppets

    mastersofpuppets hat kostenlosen Webspace.

    Da die meisten Bot Netzwerke über das IRC Protokoll miteinander "reden", bringt es unter Umständen, diesen Port zu schließen, dadurch kannst du zwar selber auch nicht mehr im IRC aktiv sein, aber die Botkommunikation übers IRC ist damit auch nicht mehr möglich.

    sebulon schrieb:

    normalerweise müssten aber hochwertige Netzkkoppelgeräte solche Attacken erkennen können...


    Je nachdem wie groß oder breitfächrig der Angriff ist, kannst du es zwar erkennen und zum Teil auch verhindern, aber Einschränkungen wirst du normal immer bekommen oder du sperrst zu viele aus. Da liegt der Unterschied zwischen Website nicht mehr erreichbar oder Website erreichbar, aber langsam.

    adelwoehrer schrieb:

    Im Prinzip kann also jedes Scriptkiddy, dem gerade langweilig ist, einen Angriff starten.


    Jop das ist auch schon ein paar Mal der Fall leider gewesen, dass Leute, die keine Ahnung haben, so etwas gemacht haben, die Schadprogramm sind sogar sehr gut dokumentiert und zur Not hilft einem der Entwickler auch persönlich über einen Chat weiter (schon alles bei einer Tagung des BSI erlebt)
  10. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!