DoS-aanvallen nieuw wapen voor Russische maffia

Reacties

« 1 2 »

Door RooT, dinsdag 27 november 2001 17:03

Kunnen ze niet gewoon in de firewall dat IP blokeren en/of ping gewoon uitzetten, dan hebben die DoS aanvalleen geen effect meer

Door Tripp, dinsdag 27 november 2001 17:07

Dat zal wel een beetje moeilijk worden. Het zijn wel meer dan 1 iptje

. Om nou honderden(groffe schatting, misschien zijn het er wel meer dan duizend) te blokken lijkt me haast onmogelijk.

Bij een denial-of-service aanval sturen meerdere computers zoveel verzoeken om data naar de server dat deze niet meer toegankelijk is voor legitieme verzoeken.

Door Bart Coppens, dinsdag 27 november 2001 17:38

Klinkt mischien dom, maar noemen ze zoiets in zo'n geval dan niet een dDOS (distributed Denial of Service)?

Door Tripp, dinsdag 27 november 2001 17:47

ja idd. Znet bedoelt dit denk ik ook.
Als je maar met één ip aanvalt moet je wel een gigantische bandbreedte gereserveerd hebben voor dat ip( en een gigantisch systeem). Zouden die russische maffia zoiets tot hun beschikking hebben?

Er moeten wel meerdere computers met aparte ip's ingeschakeld worden. Alleen op deze manier kun je veel flooden.

Door Jimp, dinsdag 27 november 2001 21:58

Kunnen ze niet gewoon in de firewall dat IP blokeren en/of ping gewoon uitzetten, dan hebben die DoS aanvalleen geen effect meer

En lees dan:

Het beste dat bedrijven kunnen doen is zo snel mogelijk de politie te waarschuwen, zodat aan de hand van het rekeningnummer eventueel nog achterhaald kan worden wie de betreffende criminelen zijn.

Hieruit kan ik afleiden dat het niet om een "ping of death" gaat maar om continu inloggen op het casino. Als je met je bankrekening en de rest van de data steeds opnieuw, liefst met z'n allen, in gaat loggen kun je de server ook al tot z'n max belasten, dat is dus ook niet te blocken omdat dan niemand meer het casino in zou mogen van de firewall :(!!!!!

Door Netman768, dinsdag 27 november 2001 22:34

nee, het banknummer is het nummer waarop het geld gestort moet worden, dat wordt niet tijdens het inloggen ingvoerd. En met het uitzetten van de ping wordt bedoeld het niet meer reageren op ping, dit heeft geen nut, lees de reatie van veldmuizzz.

DoS is heel moeilijk tegen te gaan, dat wel......

ik zou nu niet graag een Internet-casino runnen

Door veldmuis, dinsdag 27 november 2001 17:09

nee, helaas
als je het blokkeert krijgt het nog wel die data te verwerken, hij moet immers het ip adres zien voordat ie het kan blocken
dus heeft ie die data al moeten verwerken, en hij blijft checken, dus firewall overbelast

Door RooT, dinsdag 27 november 2001 17:14

Mjah maar als je ping gewoon helemaal uitzet (is makkelijk te doen onder linux) dan heeft de andere host nix meer te pingen omdat ping uitstaat

Door Dr. Cheeks, dinsdag 27 november 2001 17:36

Nee, dat werkt dus niet. Dan wordt er alleen niet meer gereageerd op de ping, maar de ping komt nog steeds wel aan (en slokt dus alle bandbreedte op). Jij hebt de bel wel horen bellen, maar hebt geen idee waar de klepel hangt. Met andere woorden: je weet niet waar je het over hebt

.

Er valt NIETS tegen te beginnen, niet door de aangevallen site zelf tenminste. Dat is dus de ellende. En de zwakke achillishiel van het Internet. Het enige wat je kan doen is de data-flood 'hoger' in het netwerk al blokkeren, waar er genoeg bandbreedte is. Maar dit kan je niet zelf doen, maar moet bijvoorbeeld je uplinkprovider in hun routers doen. Erg lastig allemaal dus.

edit:
typo

Door _JGC_, woensdag 28 november 2001 11:28

[reactie op Dr Cheeks]Doen ze bij ons op school ook in de routerconfig. Waarom? Omdat we op school een 100Mbit connectie met het internet hebben als je in het goede lokaal gaat zitten. Kan je heel wat mensen mee lastigvallen >

Door Tripp, dinsdag 27 november 2001 17:25

als je het blokkeert krijgt het nog wel die data te verwerken, hij moet immers het ip adres zien voordat ie het kan blocken
dus heeft ie die data al moeten verwerken, en hij blijft checken, dus firewall overbelast

Dat blokkeren van data is niets anders dan even naar het ipnummer kijken das niet al te veel werk.
Het gaat erom dat hij geen bevestiging stuurt en dat kost veel meer tijd en bandbreedte in verhouding met ip'tje checken.

Maar zoals ik al eerder zei, de attack komt van meerdere ip's en dan wordt het pas lastig om te blokken.

Door Bunny_Feet, dinsdag 27 november 2001 22:35

"Maar zoals ik al eerder zei, de attack komt van meerdere ip's en dan wordt het pas lastig om te blokken."

Dat niet alleen. Het is makkelijk om het source adres te spoofen (vervalsen) en steeds te veranderen. Daar kan echt niemand iets aan doen omdat het constant andere ip's zijn die de bron zijn van de attack (zo lijkt het dus gezien vanaf het "slachtoffer").

Door Nighteye560, dinsdag 27 november 2001 20:06

Ehm, leuk maar dan nog wordt hun bandbreedte gebruikt.. nah hoeveel zou dat zijn?

2 trunks van ehm, 1 mbit?

die zijn zo vol bij een grote dDoS attack..
Ik zou de ISP contacten (het bedrijf waar men de server(s) aanvast heeft zitten, die hebben een dikkere pijp naar het inet toe, daar kunnen ze de betreffende poort waar de DoS attack op binnenkomt toch blocken lijkt me?...

Door WaarAnders, dinsdag 27 november 2001 20:56

reactie op RooT: MS heeft toch ook zo iets gedaan bij hun site?

Door [dG], dinsdag 27 november 2001 21:35

HMmz, als je een dDoS aan het brouwen bent, dan heb je toch als target een probleem.

Je krijgt heel veel requests (ICMP, TCP, UDP, IP), deze requests genereren incoming traffic ( voor de server ). Je firewall,router,webserver,downstream zou het niet aan kunnen.
Ik hoop dat de tweakertjes en tweaksters het nu snappen waarom het zo moeilijk is om een dos aanval te stoppen, juist omdat het niet een probleem veroorzaakt maar toch wel een paar probleemjes meer. Dit kan je niet zomaar even blokken.

Stel je hebt 400 clients hangen in je packet net die allemaal maar 0.5 mB/s kunnen sturen. Dan moet de server toch wel ff lekker 200 MB per seconden naar binnen happen. Die 0,5 mB/s is misschien nog wat laag. Ik bedoel als je veel uni's in je netje heb hangen dan is het al snel meer.

Tegenwoordig kost een beetje verbinding niks meer, en de mensen die zich systeembeheerder noemen hebben ook een LOI cursus achter de rug.
Als je dDoS bij de "source" wil aanpakken begin dan met de mensen die redhat/suse downloaden en daar lekker een webserver op gaan draaien, zonder dat ze het snappen/updaten.

<EDIT>
ff over het veranderen van ip's en je A record, mjah lekker handig refresh m'n zone van m'n nameserver ook altijd om de 10 minuten ( NOT ). Bij ISP's gebeurt dit meestal 1x per dag ( b.v. xs4all ) en daarna moet het nog door alle caches heen te beginnen bij de rootservers.
En vaak draaien de webservers ook de nameserver, die niks kan doen omdat ie onder aanval is en waarbij het ip toch echt hetzelfde moet blijven anders ben je niet meer de owner van je zone.
<EDIT>

Het TCP/IP protocol is best ok maar de mensen die er gebruik van maken ... die zijn pas erg

<EDIT>
Goo Jorden Verwer

) nog een die het snapt !!!
</EDIT>

*zucht*<div class=r>[Reaktie gewijzigd door [dG]]</div>

Door crusher_, woensdag 28 november 2001 12:06

Het probleem, dG, zit 'm ècht niet in tweakertjes die suse of redhat downloaden en een webserver draaien. Inderdaad zijn sommige distributies rootable, maar een groter probleem schuilt er in bijv. de mensen die Win2K met IIS draaien en dat soms zelf niet eens weten, en ook geen patches installeren. Ik heb alleen vandaag al 417 code red achtige requests in de logfile staan. Al die machines zijn in principe te infecteren met een dDos script.

Vaak wordt er niet eens gespoofd, maar een hele stapel gehackte hosts gebruikt waarmee men den een ddos netwerk bouwt.

Door Oxonium, woensdag 28 november 2001 14:59

Het is niet echt van de distributie afhankelijk of je rootable bent, maar van degene die erachter zit. En inderdaad, als iemand voor iets als Redhat of Suse kiest, zou het heel erg goed kunnen zijn dat diegene een van de vele n00b's is die denken dat ze geweldig zijn, "want ze draaien linux". Een goede sysop krijgt Redhat ook wel secure hoor.

Door RG, dinsdag 27 november 2001 23:17

Vergelijk een DoS aanval hiermee: iemand vraagt je iets, maar doordat iemand anders in je oor staat te schreeuwen komt de vraag van die andere figuur dus niet door. Bij een DDoS staan er een heleboel mensen in je oren te kwekken en kan je die andere gast dus helemaal niet meer verstaan.
Zoiets kun je gewoon niet uitzetten. Al zou je niet naar ze luisteren, dan nog maakt het een rot herrie en hoor je nog niks...

Door TheRealDcoy, woensdag 28 november 2001 11:14

Dat is toch net de essentie van een DoS attack, dat het ip adres van de afzender vervalst is...
een TCP/IP connectie wordt steeds in drie stappen opgebouw. A stuurt aanvraag naar B, B stuurd bevestiging naar A , tenslotte stuurt A die aanvraag+bevestiging terug naar B... Bij een DoS attack zit in de eerste aanvraag die A naar B stuurd een verkeerd adres van A, waardoor het antwoord van B dus nooit terug naar A kan gestuurd worden... B wacht dus vruchteloos op de uiteindelijke bevestiging en houdt de aanvraag in een buffer... en wanneer die vol is, kunnen de nieuwe aanvragen niet meer afgehandeld worden.

Door Greyfox, dinsdag 27 november 2001 17:04

DOS - aanvallen vinden toch plaats op een specifiek IP-adres?
Dan kun je dat toch wijzigen als er een DOS - attack geweest is?
(of denk ik dan te makkelijk?)

Door ^enterz^, dinsdag 27 november 2001 17:11

Mja ze worden uitgevoerd op 1 IP, maar dat IP hangt _meestal_ achter een hostname. En als ze gewoon de hostname doodpingen.. tjah.. dan hebben ze dus ook het IP..

En een DoS alleen valt idd te blokken maar een dDoS
wordt alweer een stuk lastiger, omdat er dan gepinged word van een paar honderd machines die telkes weer uitgebreid kunnen worden etc.

Kortom er kan weinig tegen gedaan worden

tssz dat ze zo laag kunnen zinken..

Door Herr_Qn, dinsdag 27 november 2001 17:12

ja je denkt te makkelijk, de site moet namelijk dan ook naar het nieuwe ip wijzen en dus kunnen die lui van de mafia direct het nieuwe ip-adres weer achterhalen...

Door Tripp, dinsdag 27 november 2001 17:14

Dat zal niet zo makkelijk gaan.

Er zijn veel mensen die van dit soort online-casino's gebruikt maken. En om nou zomaar even een ip'tje te veranderen gaat niet zomaar. [prietpraat weggehaald, klopte niets van/geblaat/geleuter enz]

EDIT:
de heren onder mij hebben 4kant gelijk

.
Maar dan moeten dus meerdere DNS servers geupdate worden. Dit duurt wel even en dat is nog steeds niet zo makkelijk als greyfox denkt...

Door buum, dinsdag 27 november 2001 17:20

Een formule??? Hoe kom je daar dan bij? De domeinnaam wordt gewoon opgezocht in een DNS-server, die je willekeurig welke waarde kan geven voor dat domein (of eigenlijk: de www-host). Ik kan dus www.bullshit.com EN www.geenbullshit.com precies hetzelfde ip-adres geven en een van deze twee ook veranderen, zonder enige problemen.

Door blissard, dinsdag 27 november 2001 17:23

wat een nonsense zeg. de relatie IP-adres - domeinnaam bestaat alleen op de DNS-server. Het is niet de vertaling van de domeinnaam in getallen ofzo.

Door Tripp, dinsdag 27 november 2001 17:33

o ja jullie hebben helamaal gelijk

.

ik dacht aan een andere formule.

die ene formule waarmee je een ip-nummer om kan zetten naar een groot getal

voor buurman onder:

ja die bedoel ik

Door Brug, dinsdag 27 november 2001 17:44

Huh ? Je bedoelt 123.123.123.123 => 123*(256^3) + 123*(256^2) + 123*(256) + 123 ? Dan krijg je het getal in decimale vorm maar dat wordt zelden gebruikt op het internet.

Door Captain Pervert, dinsdag 27 november 2001 17:06

Maffia... Ik denk dat een club slimme (en stoute

) nerds dit ook kan verzinnen. Hoeft niet per se een grondslag te hebben in de georganiseerde misdaad

Door OscarB, dinsdag 27 november 2001 17:22

Maffia... Ik denk dat een club slimme (en stoute ) nerds dit ook kan verzinnen. Hoeft niet per se een grondslag te hebben in de georganiseerde misdaad

Een club nerds die criminele dingen doen... klink toch echt als én georganiseerd én als misdaad.

Door ZroBioNe, dinsdag 27 november 2001 17:10

Zal mij benieuwen wat de politie hieraan doet.
Zijn er al wetten in Rusland over dit soort dingen?

Door OscarB, dinsdag 27 november 2001 17:18

Geen wetten, maar wel politie

Door DRvDijk, dinsdag 27 november 2001 17:11

ICMP-request uitzetten? Zodat de sites niet meer gepinged kunnen worden?
De rest blijft dan wel werken..

Door ^enterz^, dinsdag 27 november 2001 17:14

kan je wel uitzetten... maar ontvangen doe je ze wel. Het terugsturen alleen niet. . Dus dan slibt de verbinding ook dicht, of heb ik dit nu verkeerd begrepen? Het zal natuurlijk wel wat helpen.

Door Domino, dinsdag 27 november 2001 17:30

DoS attacks waren toch effectief doordat alle TCP/IP connections gebruikt werden? Niet omdat er zoveel data over de lijn loopt.

Voorbeeldje : een PC doet een TCP/IP request naar de server en verdwijnt, de server stuurt een packet terug maar die komt nooit aan. De socket blijf open totdat er een time-out optreed. na een tijdje zijn alle sockets in gebruik en is de server bijna niet meer toegankelijk.

Da's geloof ik een DoS attack. Dus IMCP blocken heeft wel degelijk effect imho.

Check ook effe http://grc.com/dos/grcdos.htm

Door radi0man, dinsdag 27 november 2001 20:24

Klein puntje: Je hebt het zelf al over TCP/IP. Da's dus wat anders dan ICMP.
Het opbouwen van een TCP-verbinding gaat in drie stappen (zoals je in je voorbeeld al noemt). Bij ICMP gebeurt dat niet. Bij een ping bijvoorbeeld stuurt een host een request en de ontvangende host stuurt een reply, maar houdt daarna geen socket open, want de ontvangende host verwacht geen reactie meer.
Ping floods worden wel gebruikt als DOS-attacks, maar zijn met name effectief doordat ze de hele link vullen met data. Je kan ICMP wel blokken (dat scheelt weer wat voor de ontvangende host, want die hoeft het pakketje niet te verwerken), maar het probleem blijft.

Door Standeman, dinsdag 27 november 2001 17:32

Dit lijkt me toch een zorgelijke situatie en is zeker niet alleen gelimiteerd tot Rusland.In principe kunnen zij op deze manier elke site ter wereld chanteren.
Het was ook slechts een kwestie van tijd dat exploits e.d. gebruikt zullen worden door criminelen. Er zijn natuurlijk genoeg mensen met verstand van hacken die niet alleen bezig zijn om veiligheidslekken aan te tonen en er best een goed zakcentje aan willen verdienen.
Ik zelf denk dat deze praktijken tot vrij grote problemen kan gaan leiden. Misschien leid dit wel naar een nieuw soort trend die ernstige schade kan berokkenen op de integriteit van het internet.

Het is niet zo dat ik gelijk een doemscenario wil oproepen, maar het is wel een probleem dat veel meer aandacht nodig heeft dan er tot nu toe aan wordt geschonken door justitie e.d.

Door algabra, dinsdag 27 november 2001 19:42

DoS aanvallen worden door grote groepen computers uitgevoerd.

Volgens Linux Admins moet je:
-eerst IP spoofen
-dan paar computers cracken en hun IP's spoofen
-dan IP-ranges scannen en een vette IP-range uitkiezen
-select target (IP) en laat de-computers-collectief-andere-computers-pingen.
-de pongs(reply van een ping) gaan naar het doelwit.
-target overload, het maak niet uit wat voor een systeem je bezit en welke OS/software.

Met een IP-range die 500 computers bevat geeft gemiddeld een burst van !!! 3 GByte/s. !!!

DoS kan je NIET blokkeren. Alleen je van IP veranderd.

CISCO routers (werelds beste netwerkmateriaal) schieten in brand (figuurlijk) als je 3GByte/s doorstuur. Snelste NIC is maar 1Gbps of ongeveer 100MByte/s (met overhead erbij).

Wat is de vermogen van 10000 DoS computers???
TeraByte/s???

Door Oxonium, woensdag 28 november 2001 15:08

Zoals al diverse keren eerder gezegd in deze thread is een DoS een afgebroken TCP connection attempt. Niets ping, da's flooding, en dat is dus geen DoS.
Wat jij ook over het hoofd ziet is dat als ik met 8 miljoen pc's kom aanzetten die ik met zijn allen laat pingen (wat jij een DoS noemt), ze met zijn allen wel proberen weet-ik-hoeveel Gb/sec aan data willen sturen, maar je verbinding moet het ook aankunnen. Als de gezamelijk uplink van dat subnet van jou een keer 100Mbit is, flood je je eigen router en niet die van iemand anders.

Door Jorden Verwer, dinsdag 27 november 2001 22:03

Het viel me op dat er hier weer behoorlijk wat onkennis heerst op gebied van dDOS-aanvallen. DOS-aanvallen (of ze nou distributed zijn of niet) kunnen drie doelen hebben:
1. Onderdeel zijn van een exploit
2. Het slachtoffer overbelasten, waardoor deze geheel of gedeeltelijk stopt met functioneren
3. Alle bandbreedte opslurpen

Punt 1 is een kwestie van een goed OS gebruiken en dit ook goed updaten, dan heb je op deze manier geen last van DOS.
Punt 2 is afhankelijk van je servercapaciteit, maar ook hier geldt dat je je OS goed moet configureren. In principe is ook dit dan goed aan te pakken. Een en ander is natuurlijk afhankelijk van wat je voor server draait, en router raakt bij correcte configuratie nooit overbelast (hij wordt hoogstens langzamer in het forwarden of gaat tijdelijk packets droppen), maar een webserver moet gewoon voldoende capaciteit hebben (voor TCP SYN floods etc.) om niet te stoppen met functioneren. Oftewel: ook al ligt het hier minder simpel, het is mogelijk om deze vorm van schade helemaal te voorkomen.
Punt 3 echter, is een enorm probleem, want hier kun je zelf HELEMAAL NIETS aan doen. Al het verkeer dat in jouw netwerk binnenkomt komt gewoon binnen en kan daarmee ander verkeer verdringen. Dan kun je het wel blocken maar daarmee maak je de bandbreedte nog niet vrij! De enige oplossing is om de routers van je upstream connectie de gewraakte IPs te laten blokkeren, maar aangezien dit er vaak erg veel zijn en ze ook nog eens regelmatig veranderen, is dit feitelijk onbegonnen werk.

Desondanks moet iedereen die op deze manier door een stel debiele Russen gechanteerd wordt hier geen gehoor aan geven, want anders houdt je dit soort zaken in stand. Laat ze maar komen, en roep de hulp in van degene die jou je internetverbinding verschaft.

Door Nighteye560, woensdag 28 november 2001 02:14

Laat ze maar komen, en roep de hulp in van degene die jou je internetverbinding verschaft.

dat zei ik.. laat alle requests bij je ISP al blokkeren zodat alleen 'goeie' pakketten doorgelaten worden..

Door crusher_, woensdag 28 november 2001 12:12

Het probleem is dat je niet kan zien welke pakketten de 'goeie' zijn, als je er tienduizenden per minuut krijgt van wellicht duizenden verschillende ip's.

Door Roellie, dinsdag 27 november 2001 22:53

Wie wat meer wil lezen over oorzaak en gevolg van dDos:
http://grc.com/dos/grcdos.htm

Door Mafioso, dinsdag 27 november 2001 23:16

* 786562 Mafioso

« 1 2 »

Op dit item kan niet meer gereageerd worden.

17:03	Zalman FanMate 1 fancontroller review
16:51	Het Badtrans.B virus slaat om zich heen

Nieuws I/O

Shortcuts

Categorieën

Reacties

26-05 Nieuws

23:51 Productreviews

02:22 Vraag & Aanbod

25-05 Jobs

02:44 Etc.

05:05 Reacties

05:08 Forum

25-05 Gesponsorde acties

00:16 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines