DOS Angriff auf Loseseiten

dmeder schrieb:
Der nächste Vorteil ist,das so nicht Infos veröffentlicht werden,die "den Feind" interessieren könnten wie zB. Schutzmassnahmen!
Ihr bittet hier für den Feind eine sehr Hilfreiche Lehrstunde...den ihr sagt ihm hier öffentlich,wie ihr euch zu schützen versucht!
Zum Vergrößern anklicken....
es gibt nur einen wirksamen Schutz, und den kennen auch die Betreiber von Botnetzen, sehr sehr sehr viel Bandbreite.
Und direkt mit einem RZ oder auf noch höheren Instanzen absprechen, dass schon so früh wie möglich der ganze Mist weggeblockt wird.
Oder eben in den sauren Apfel beißen und zu einer der teuren Firmen gehen, die ihr Geld mit DDoS-Protection Services anbieten, denn die haben unheimlich viel Bandbreite und die nötige Hardware um so etwas zu realisieren, aber das kostet eben mehr als nen billiger Server von 1&1 und co.

dmeder schrieb:
Zum Thema Elite Crew - 1337 Crew:
Es wäre doch mal sehr interessant zu wissen wann die ganzen attacken angefangen haben....
Weil so lang ist das mit der Verhaftung der Elite Crew - 1337 Crew Mitgliedern ja noch nicht her,oder?
Wann war den die Verhaftung?
Wann fingen die Attacken in so einem Ausmaß an?
Zum Vergrößern anklicken....
ach das sind nur Versteifungen von Kurzdenkern, es gibt noch weit mehr solche "Organisationen" wie die 1337 Crew, nur es sind nicht alle so dumm in einem Forum groß zu posen, dass sie Klamm nen paar Tage lahm legen können.


dmeder schrieb:
Zum Thema Technik:
Der/Die Feind/e müssen über sehr gute Technik verfügen um so etwas über Wochen aufrecht zu erhalten...das kann sich kein Kiddi leisten und auch kein Hobby-Hacker!
Allerdings kann man sich auch kosten für ein Botnetz sparen...da brauch man keine 1000$ für ausgeben....
Zum Vergrößern anklicken....
ich glaube langsam das sind gehackte Server, und wenn einer vom Provider gesperrt wird, kommt einfach ein neuer hinzu. Für Desktop-Rechner ist das ein bisschen viel Bandbreite.
 
ice-breaker schrieb:
ich glaube langsam das sind gehackte Server, und wenn einer vom Provider gesperrt wird, kommt einfach ein neuer hinzu. Für Desktop-Rechner ist das ein bisschen viel Bandbreite.
Zum Vergrößern anklicken....

Leider falsch. Wir haben die IPs ausgewertet. Der Überwiegende Teil kommt von normalen DSL Providern. Darunter T-Online, Arcor, Alice u.s.w. Eigentlich ist bei der Menge sogut wie jeder Provider dabei den es gibt. Irgendwo ist immer ein Zombie dabei.

mfg X Future Media
 
Werden eigentlich keine Mac nummmern oder wie diese Computer identifikation heißt beim Server erfasst? Bzw kann man diese nicht abfragen und dann bei xx zugriffen den PC aussperren?

mfg

traxtrax
 
Ob das möglich ist weiß ich nicht, aber das Problem liegt in DDOS selbst.
Der Rechner wird einfach mit soviel Daten zugeknallt, dass die Bandbreite belegt ist, da hilft keine Software auf dem Server, dass die Pakete dann filtert.
 
traxtrax schrieb:
Werden eigentlich keine Mac nummmern oder wie diese Computer identifikation heißt beim Server erfasst?
Zum Vergrößern anklicken....

technisch nicht Möglich. MAC kommt nicht weiter als bis zum ersten Router. Hab mich damit mal befasst da ich eine neue Idee für Reloadsperren bei Paid4 hatte einfach die MAC Adresse verwenden aber geht leider nicht :mrgreen:

Und 100Mbit sind 100Mbit wenn die zugeknallt werden nützt jegliche Erfassung nichts mehr. Man müsste die Quelle (den Steuerserver des Botnetzs) erwischen dazu bräuchte man nur den Trojaner den die Zombies auf den PC haben. Also falls hier wer als Zombie fungiert rückt mal den Trojaner rüber :ugly:

mfg

Chris
 
Dazu müsste der User dann aber auch erstmal wissen, das er als Zombie fungiert und den Trojaner drauf hat.
 
chrisi01 schrieb:
Man müsste die Quelle (den Steuerserver des Botnetzs) erwischen dazu bräuchte man nur den Trojaner den die Zombies auf den PC haben. Also falls hier wer als Zombie fungiert rückt mal den Trojaner rüber :ugly:
Zum Vergrößern anklicken....

auch dann ist es nicht einfach, es gibt da einige Berichte im Netz mit welchen Anstrengungen Sicherheitsfirmen Botnetze ausgeschaltet haben und welche Sicherungen es da gab, es ist alles andere als einfach ;)
 
Das einfachste wäre man kennt jemanden der wen kennt und der die Namen der Zombie rechner besorgt und man von denen mittels Virenprüfung rausfindet welcher Trojaner aktiv ist. Danach könnte man eventuel sogar von diesem Rechner aus herausfinden wo die Attacken herkommen, aber das sind sicher gehackte Server ;(

mfg

traxtrax
 
so einfach funktioniert das nicht ;)
Botnetze sind ne "klasse Erfindung" um die Identität des eigentlichen Angreifers geheim zu halten, besonders weil der Angreifer auch nicht direkt in Kontakt mit den Bots steht sondern über indirekte Wege Informationen für die Bots hinterlegt, so nach dem Motto:
Code: 
DDOS:klamm.de|seite1.de|seite2.de

extrem versimpelt ;) in echt ist es ne ganze ecke komplexer, da wird Code in Skriptsprachen hinterlegt die dann auch den Schadcode auf dem Rechner aktualisieren können usw.
 
chrisi01: Man müsste die Quelle (den Steuerserver des Botnetzs) erwischen dazu bräuchte man nur den Trojaner den die Zombies auf den PC haben. Also falls hier wer als Zombie fungiert rückt mal den Trojaner rüber
Zum Vergrößern anklicken....

Vielleicht sollte man möglichst viele Leute dazu bewegen ein hijackthis scan zu machen.Vielleicht sogar hier übers Forum. Hätte den Vorteil das die Datei nicht sofort vom Antivirenprogramm gelöscht wird.

Vorausgesetzt es kann jmd was mit dem Trojaner/was auch immer anfangen.
Hilfreich wäre es dann zu schauen von wo die Befehle kommen um den entsprechenden Serverbesitzer zu kontaktieren.Denn das werden die wohl kaum über den eigenen server machen.

Schön wäre natürlich ein Ip Abgleich der Angreifer mit Klamm zu machen. Und dann betroffene User direkt kontaktieren um an den Bot zu kommen.

Dürfte aber wohl bei der Menge schwer machbar sein.Ausserdem ist da ja noch das Datenschutzgesetz.
 
Nochmal als kleine Anmerkdung für LEute, die sich dafür interessieren 2 Artikel:
:arrow: Im Körper des Feindes: Forscher kontrollieren Botnetz
:arrow: Intelligenten Botnetze schützen sich vor Abschaltung

eins wird daraus sehr klar, solche Botnetze sind schon keine simple Sache mehr sondern wirklich hochkomplexe Systeme. Während der Rest der Welt seit Jahren neue Wege sucht und findet um Ausfallsicherheit zu gewährleisten (P2P-Netze, Dezentralität usw) kopieren die Entwickler dieser Botnetze diese Ideen.

Und selbst wenn es ein System mit solch einem Control-Server ist, dann liegt der in Gebieten, die mit unseren Staaten nicht kooperieren, Server auf Karibikinseln usw.
Wird dann doch einmal solch ein Server gesperrt, kommt einfach ein neuer, der 1. Artikel beschreibt sehr schön wie man das machen kann, und das ist nur die Spitze des Eisberges, es werden auch sehr gerne Daten auf nopaste-Seiten, Filehostern, Google Docs usw usw gehostet: schnell und kostenlos angelegt und die Bots ziehen sich einfach die Daten, ne Stunde später ist es gesperrt, aber die Bots verteilen die Daten dann ja schon längst untereinander ;)

Edit: Und ach seid froh, die DDOS-Angriffe könnten noch viel schlimmer sein, es gibt da leider einige Lücken in PHP, die sich sehr böse ausnutzen lassen, womit schon eine handvoll Clients einen ganzen Server lahm legen können, denn PHP wird hier bei den Loseseiten ja leider nicht geupdatet. Und das "tolle" daran, jeder der nur ein bisschen Bugtracker oder wichtige RSS-Feeds liest, bekommt das mit, dafür muss man nichtmal tief in der Materie stecken.
*** PHP-Bug Link entfernt***
 
Zuletzt bearbeitet:
Was auch ganz witzig anzuschauen ist - der oder die Angreifer schicken in regelmäßigen Abständen ihren netten kleinen Bot los, scheinbar um die Lage zu prüfen.

Das sieht in den Serverlogs dann etwa so aus:
[26/Dec/2009:15:48:28 +0100] "GET /games/fruits/fruits.swf HTTP/1.1" 404 345 "-" "NannoK der Vergelter - V.666"
Zum Vergrößern anklicken....
Gelegentliche Schönheitsfehler sind dabei natürlich nicht ausgeschlossen, denn einen solchen Slot gibt es auf der betreffenden Seite gar nicht :LOL:.

Hat da wohl wer vergessen den Bot umzuschreiben? :ugly:
 
Wer sowas in den Logs findet könnte die vom Bot gesuchte Datei ja verschieben oder umbenennen.
Das würde vielleicht den Anschein erwecken das die Seite nicht erreichbar ist.
 
nen 404 bedeutet "Datei nicht gefunden", das bedeutet aber auch, dass der Server noch läuft.
Egal wie wird man dem Angreifer sagen, dass die Seite noch funktioniert, man müsste die TCP-Verbindung einfach kappen, wenn diese Anfrage kommt, aber ich bezweifle, dass dies die einzige eingebaute Möglichkeit ist, um zu erkennen, ob der Server noch läuft.
 
Wie sieht's aus diese Anfragen als Honeypot zu verwenden so dass sich die Bots selbst verraten und man dann die Firewall so einstellen kann?
Also mit iptables sollte das kein Problem sein (SSH session auf die Firewall die einfach iptables befehle durchpiped)
 
:wall: :wall: :wall:

wenn der DDoS die Bandbreite auslastet, bringt es dir nichts auf dem Server Honeypot zu spielen und die IPs zu bannen, denn die Pakete werden dann erst auf dem Server gesperrt und verbrauchen immernoch die Bandbreite des Switches.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

News-Bot
News Putin: Kann Angriff auf Europa schriftlich ausschließen
Antworten
2
Aufrufe
597
Klamsy
K
M
Loseseiten mit Sportwetten
Antworten
3
Aufrufe
2K
dalewilson
dalewilson
Zurück
Oben