McAfee gaat DoS-aanvallen halt toeroepen

Bij InfoWorld is een artikel verschenen waarin melding wordt gemaakt van de samenwerking tussen McAfee en anti-DoS bedrijven Mazu Networks, Asta Networks en Arbor Networks. Het doel van deze samenwerking is een methode te ontwikkelen om DoS-aanvallen tegen te gaan. Op de eerste plaats komt het identificeren wanneer netwerken nu worden aangevallen en ten tweede bepalen welke systemen bij deze aanvallen betrokken zijn en of deze systemen misbruikt worden door derden of dat de eigenaar zelf schuldig is. De bedoeling is om de technologie die wordt ontwikkeld in de bestaande programma's te verwerken. Men verwacht de eerste resultaten binnen zes maanden:

McAfee logo The first McAfee product that incorporates the HTTP scanning technology is the company's recently released WebShield e500 Gateway device, said Tony Thompson, public relations representative for McAfee. Other McAfee hardware and software offerings will have the new technology added in their next upgrades, he said.

Met dank aan B3avis voor de tip.

Door Robin van Rootseler

Developer

Feedback • 21-08-2001 17:56 36

21-08-2001 • 17:56

36

Lees meer

McAfee accepteert bod Network Associates
McAfee accepteert bod Network Associates Nieuws van 14 april 2002
Nieuwe Code Red variant?
Nieuwe Code Red variant? Nieuws van 4 augustus 2001
Groot mediaoffensief tegen Code Red
Groot mediaoffensief tegen Code Red Nieuws van 30 juli 2001
Code Red worm waarschijnlijk 1 augustus in heraanval
Code Red worm waarschijnlijk 1 augustus in heraanval Nieuws van 29 juli 2001
Amerika wil computercriminaliteit harder aanpakken
Amerika wil computercriminaliteit harder aanpakken Nieuws van 22 juli 2001
Code Red worm valt duizenden webservers aan
Code Red worm valt duizenden webservers aan Nieuws van 20 juli 2001
Meer producten en artikelen
Software

Reacties (36)

-Moderatie-faq
36
32
26
10
3
0
Wijzig sortering

Sorteer op:

Weergave:
Masselink 21 augustus 2001 18:04
ik vraag me af hoe ze dat precies gaan doen.
De webshield is een kastje dat na de router geplaatst wordt, dus er is 1 punt waar al het verkeer langs moet komen. Firewalls kunnen een DOS attack detecteren en tegen gaan. Zullen ze in de webshield een funnctie inbouwen die het omgekeerde doet ? Het stoppen van een dataflood naar een bepaald adres ?

Ik vraag me dan weer af wat ze tegen een worm doen die elk kwartier 1 keer contact legt met een bepaalde server. (dat lijkt niet effectief, maar als je via internet 100.000-en servers bereikt, dan kan McAfee het ook niet tegenhouden....
SlaSauS @Masselink21 augustus 2001 19:16
ik denk dat de enige manier om DoS-attacks te beperken (voorkomen lijkt me helemaal uitgesloten) is om te zorgen dat ze jouw eigen bak/uplink niet gebruiken bij een aanval, je servers dus goed beveiligen :)

<utopia-mode>
als iedereen dit nou deed hadden we geen flauwe DoS-attacks :Z
</utopia-mode>
Verwijderd 21 augustus 2001 18:04
Een zeer goede zaak! hoe meer er gedaan wordt tegen dit soort praktijken hoe beter.
Maar ik ben bang dat dit soort akties alweer snel achterhaald zullen zijn..

hackers en consorten zijn nu eenmaal flexibel in het bedenken van "oplossingen".
TheGhostInc @Verwijderd22 augustus 2001 00:33
Een echte hacker zal nooit (zelden) een DoS attack doen, het zijn de irritante mensen die toevallig een proggie hebben gevonden die de meeste schade aanrichten.
Deze DoS attacks zijn wel kleiner, maar daardoor minder interessant om op te sporen, maar wel irritanter voor de mensen die er last van hebben.

Daarnaast is de drempel dan hoger, hoe meer kennis je nodig hebt, hoe meer kans je hebt iemand te pakken, hij kan immers niet alles weten.... meestal.
neh @TheGhostInc22 augustus 2001 08:36
Een echte hacker zal nooit (zelden) een DoS attack doen, het zijn de irritante mensen die toevallig een proggie hebben gevonden die de meeste schade aanrichten.
Dat doet niet af aan het feit dat er wel "oplossingen" gevonden kunnen worden. (D)DoS aanvallen zijn in eerste instantie door mensen met kennis van zaken ontwikkeld. en de drang naar het vinden van flaws (en publiciteit :) ) zal ervoor zorgen dat een eventuele oplossing van bijvoorbeeld mcafee grondig doorgrond zal worden. Ik heb ook het idee dat je het begrip "echte hacker" een beetje misbruikt, maar daar zullen we maar geen holy war over beginnen.
Deze DoS attacks zijn wel kleiner, maar daardoor minder interessant om op te sporen, maar wel irritanter voor de mensen die er last van hebben.
:? Kleiner dan wat? Als je bedoelt wat ik denk dat je bedoelt dan moet ik je erop wijzen dat de grootste DDoS aanvallen (ebay enzo) door een sciptkiddie zijn uitgevoerd.
Daarnaast is de drempel dan hoger, hoe meer kennis je nodig hebt, hoe meer kans je hebt iemand te pakken, hij kan immers niet alles weten.... meestal.
:? :? :?

edit:
typo
BadRespawn 21 augustus 2001 18:20
DoS met spoofed ip nummers (wat met de release van WinXP waarschijnlijk sterk toe zal nemen) had eigenlijk al onmogelijk moeten zijn:

van http://grc.com/dos/winxp.htm#egress

Network "Egress" Filtering & ISP Responsibility

"...well-known and long-established RFC's (Internet standards documents) (RFC 2267) (RFC 2827) and other Internet "Best Practice" documents which recommend that packets carrying spoofed source IP addresses should not be allowed to "egress" (leave) the ISP's locally-controlled network. Such clearly invalid packets should simply be discarded as they attempt to "escape" out onto the global Internet."

'victim-side' filtering kan bandwidth congestion hooguit gedeeltelijk oplossen.
neh @BadRespawn21 augustus 2001 19:09
Hoe simpel egress ook te implementeren is, dat "ene simpele regeltje" verhoogt toch de load op routers, afhankelijk van het verkeer dat erlangs vloeit.

Bovendien kan het filteren aan de kant van het slachtoffer natuurlijk de congestion helemaal niet oplossen omdat deze het verkeer al lang via zijn link heeft ontvangen op het moment dat hij begint met filteren.
Crazy D @neh21 augustus 2001 20:43
Bovendien kan het filteren aan de kant van het slachtoffer natuurlijk de congestion helemaal niet oplossen omdat deze het verkeer al lang via zijn link heeft ontvangen op het moment dat hij begint met filteren
Precies, dus dan ben je in principe al te laat.

Filteren bij ISP's, zorgen dat het afzender ip een geldig ip is en dat dat geldige ip ook rechten heeft om via die server het inet op te gaan lijkt me dan efficienter (maja ik ben geen expert).
Maar ik kan me ook wel voorstellen dat een isp niet vrolijk wordt als 'ie van ieder pakketje eerst het afzender ip moet checken, ik kan me voorstellen dat dat een aardige extra load voor de servers teweeg brengt..
neh @Crazy D22 augustus 2001 00:30
het probleem bij DDOS zijn niet zozeer de spoofed packets... Die zijn er alleen om te zorgen dat de "kiddies" hun zombies vaken kunnen gebruiken... een DDOS aanval van een echte host is net zo schadelijk.... de oplossing moet dus zeker niet in de richting van gespoofde packets gezocht worden....
Verwijderd @BadRespawn22 augustus 2001 09:45
'Steve is barking up the wrong tree' als je het mij vraagt. Dat ze nu eindelijk een volledige TCP/IP implementatie in WinXP gemaakt hebben is juist _goed_ ipv slecht. Win2k is al een secure OS (mits de updates bijgehouden worden, iets wat voor elk OS geld) en aangezien XP op 2k gebaseerd is denk ik dat het zo langzamerhand moet kunnen.

Je moet niet een OS gaan limiteren (kreupel maken) omdat er veel onbenullige users mee werken, daar kan het OS zelf niets aan doen.
Verwijderd @BadRespawn21 augustus 2001 20:46
Sorry hoor maar dat stuk van Steve Gibson is weer een extreem paniekverhaal... hij schrijft zo veel onzin en af en toe blijkt er iets van uit te komen.

Wat ik probeer te zeggen... hij laat het allemaal veel erger (en anders) klinken dan het is. En zo ook dat gedoe met Winxp...
neh @Verwijderd22 augustus 2001 00:37
inderdaad... daar ben ik het helemaal mee eens... die raw sockets waar hij het over heeft zijn zeker niet het probleem, die zijn al eeuwen lang geïmplementeerd in de verschillende UNIX varianten... het probleem is dat windows bakken tot nu toe zo verschikkelijk makkelijk te hacken zijn geweest en dat die sockets dan dus misbruikt kunnen worden.... maar een windows machine zonder raw sockets kan in een DDOS aanval net zoveel schade aanrichten als een machine mét...

edit:
typo
blaatenator @BadRespawn21 augustus 2001 23:09
oke, ik heb de link gelezen, maar waarom nou de toename van DOS door ingebruikneming van WinXP. Ik bespeur hier weer een flame, niet anders van zulke als in een blad als 'privé'.
Denk dat mcAffee hier een goede zet doet, nu nog in de AV sector, als ik bepaalde artikelen mag geloven. Maar ook daar staat McAffee niet alleen in het falen ;)
Verwijderd 21 augustus 2001 18:14
Goede zaak. Maar ook een hele moeilijke

DoS attacks worden nog maar zelden van enkele hele snelle servers gedaan en meestal door heel veel zombies (dat is de benaming die er volgens mij aan gegeven wordt).

Dus moet de controle inderdaad gebeuren aan de kant van de ontvanger.

Puntje voor McAfee ;)
Confusion 22 augustus 2001 14:32
Hezik en nvdh moeten nodig de grc site (http://grc.com) eens gaan lezen. Daar staat glashelder uitgelegd waarom DDoS attacks met gespoofde IP's door scriptkiddies een enorm probleem kunnen gaan vormen. Zowel de opmerking van nvdh (het probleem bij DDOS zijn niet zozeer de spoofed packets... ) als de opmerking van hezik (Je moet niet een OS gaan limiteren (kreupel maken) omdat er veel onbenullige users mee werken, ) zijn zeer naief. Vooral dat laatste; dat is zoiets als: je moet geen veiligheidspal op een geweer aanbrengen omdat sommige idioten er onvoorzichtig mee zijn en er anderen (per ongeluk) mee doodschieten...
neh @Confusion22 augustus 2001 15:07
dan mag jij me toch even uitleggen waarom precies spoofed packets het probleem zijn in DDOS aanvallen... dat is namelijk helemaal niet het probleem... de continue stroom packets is het probleem, gespoofed of niet.... het spoofen van de packets zorgt er alleen maar voor dat de source moeilijker op te sporen is, wat dus bij het forenische onderzoek pas van belang is, maar op het moment dat dat gestart moet worden ligt het slachtoffer bij een goeie aanval al lang op zijn.. eeeh... gezicht...

Dat grc.com artikel heb ik bij het uitkomen al gelezen en schrijf ik persoonlijk af als een paniekverhaal zoals hierboven beschreven... Het komt op mij over als een sensatiebelust artikel... Bijvoorbeeld hoe simpel hij een oplossing voorstelt. Die ene routerregel die dan de silver bullet zou zijn. Hij vertelt er niks over de nadelen bij, maar ook daar heb ik al wat gepost.
Vooral dat laatste; dat is zoiets als: je moet geen veiligheidspal op een geweer aanbrengen omdat sommige idioten er onvoorzichtig mee zijn en er anderen (per ongeluk) mee doodschieten...
Dat vind ik echt totaal geen goeie vergelijking... Het niet aanbrengen van een veiligheidspal heeft geen noemenswaardige voordelen, terwijl raw sockets al lang echt een gemis zijn in de windows wereld. Als je alleen maar op die bronnen zoals grc.com afgaat dan kom je natuurlijk tot de conclusie dat raw sockets "evil" zijn, maar als je je had verdiept in raw sockets dan had je wel geweten dat ze een boel goeds brengen.

Vat het op als een flame of niet, maar ik vind persoonlijk dat je je niet op één bron moet baseren als je mensen aan gaat vallen met termen als naïef e.d.
Verwijderd @Confusion22 augustus 2001 16:30
Je moet zelf het artikel nog maar eens gaan lezen denk ik want het draait er helemaal niet om of er al dan niet een DDos attack plaatsvindt of niet, het gaat er alleen maar om dat het met gespoofde IP's moeilijker wordt de bronnen te achterhalen ie. welke PC's deelnemen aan een attack. Dit heeft dus niets met het voorkomen van een dergelijke aanval te maken. Het idee dat er nu ineens meer attacks zullen plaatsvinden is imo dan ook onzin, de attack op grc.com is bv. gewoon gedaan door een scriptkiddie via een heleboel windows-zombies. Gibson heeft _niet_ uit de oorspr. IP-nummers (welke dus met XP gespoofed kunnen worden) kunnen achterhalen wie die attack geplaatst heeft, daarvoor heeft hij het gebruikte programma moeten ontleden en IRC botjes moeten schrijven.

Ik persoonlijk vind eerder de visie andersom naif. Ok, dus je kunt achterhalen welke PC's er aan een aanval meededen. So what? Alsof je daardoor minder attacks krijgt (not) en alsof je met die info iets kunt doen (not).

Als jij 10000 PC's op je dak krijgt (ddos-attack) dan is het nu zo dat je de 10000 bijbehorende IP's kunt achterhalen en dat zou in de toekomst moeilijker kunnen zijn. So what? Dat is geen info waar je wat aan hebt, je moet de gast hebben die je aanvalt en die zit lekker op IRC of achter zijn gespoofde linux bak.

Overigens is in jouw analogie de tcp/ip implementatie niet de veiligheidspal. Dat is de firewall/viruscanner.
Christiaan @Verwijderd25 augustus 2001 23:05
Toch heeft Steve wel een goed punt. Omdat XP standaard (admins mogen het, en jij bent standaard admin) toestemming geeft tot de raw sockets is het heel gemakkelijk om dus je IP te spoofen.

Het spoofen van een IP is idd te detecteren, maar vergis je niet in het feit dat je nog steeds IPs uit hetzelfde subnet kunt gebruiken. Op die manier heeft de ISP het hoogswaarschijnlijk niet door en kan het helemaal niet tot jou teruggeleid worden.

Het grote gevaar van XP is dat er tools beschikbaar komen als TearDrop en WinNuke die mbv raw sockets zeer krachtige DoS en DDoS attacks mogelijk maken. Naast dat je niet te traceren bent kunnen deze tools de packets ook zo verkrachten dat ze de firewall in de war brengen (er schijnen al dergelijke tools voor win2k te zijn - dat raw sockets ondersteunt).

NMap voor win2k bijvoorbeeld ondersteunt raw sockets en je kunt dus een portscan uitvoeren met allemaal decoys. Uiteindelijk zit jij er nog wel tussen, maar de decoys lijken echt het doelwit te pingen.

Feit blijft dat DoS-attacks niet te voorkomen zijn. In amerika komen er binnenkort 1 Gb verbindingen bij mensen thuis. Stel je voor wat een enorme lading data door zulke lijnen kunnen versturen. Nou kan McAfee wel zeggen dat ze de router beschermen, maar het verkeer moet alsnog via de al zwaar overbelaste wegen naar die router toe zien te komen. Misschien is de aanval VANAF de router gestopt omdat deze alles blokkeert, maar er ontstaat een enorme opstopping VOOR de router.

Daarnaast kunnen met raw sockets ook aanvullen gedaan worden waar geen firewall nog veel te kan doen (de windows firewalls dan). De SYN-flood DoS attacks die met linux al uitgevoerd worden zijn bijvoorbeeld met XP ook beschikbaar voor de script-kiddies op dit platform (en dat zijn er veel meer). Die SYN-floods zijn amper te voorkomen en zullen de firewall/router helemaal overspannen krijgen.
drfootz @Christiaan6 september 2001 11:20
"Omdat XP standaard (admins mogen het, en jij bent standaard admin) toestemming geeft tot de raw sockets is het heel gemakkelijk om dus je IP te spoofen. "

wel eens geprobeerd om (spoofed, dus semi- )RFC791/793 compliant RAW sockets te programmeren? :) gemakkelijk?
Olaf van der Spek 21 augustus 2001 18:47
Tegen aanvallen met spoofed source addresses kun je weinig doen. Misschien zijn deze aanvallen zelfs niet eens goed te detecteren. Verder denk ik dat deze software dan moet draaien op routers van grote hosting maatschappijen, zodat de bandbreedte naar de server vrijgehouden kan worden voor normaal verkeer.
TheEmperor @Olaf van der Spek21 augustus 2001 19:37
Gespoofde source adresses zouden door de isp's van de verzender makkelijk gedetecteerd kunnen worden. Ik denk dat die dan ook onmisbaar zijn in dit soort acties.
Olaf van der Spek @TheEmperor24 augustus 2001 13:01
Ja, maar ik dacht dat deze software juist op de machine van de verdediger zou lopen.
TheGhostInc @Olaf van der Spek22 augustus 2001 00:30
Grote hostings bedrijven hebben niet altijd veel bandbreedte. @Home heeft veel meer bandbreedte per user dan bv. Worldonline.
Een kleine hoster met een GB uplink kan soms evenveel zooi leveren als Worldonline, die vaak ook niet meer hebben dan een GB uplink. Het is gewoon alvast belangrijk dat de zooi uit je eigen netwerk blijft, dan kun je eventueel door meerdere uplinks te gebruiken een stuk van je netwerk omhoog houden.
Helox-in-a-box 21 augustus 2001 19:00
McAfee gaat DoS-aanvallen halt toeROEPEN
STOP ALLEN MET UW DoS AANVALLEN :)
neh @Helox-in-a-box21 augustus 2001 19:10
all you DoS are belong to us
Verwijderd @Helox-in-a-box21 augustus 2001 20:54
McAfee gaat DoS-aanvallen halt toeROEPEN

STOP ALLEN MET UW DoS AANVALLEN
bwaa...nee....gewoon "HALT !!".toe roepen.....
beter lezen knaapje....
Verwijderd 21 augustus 2001 20:44
McAfee said that updates to its anti-virus products will allow for scans of incoming HTTP traffic to eliminate such programs.

Dus als ik het goed begrijp gaat het om protectie tegen worms,trojans en andere "zombie" achtige programma's. Als iedereen dit gaat gebruiken, ja dan werkt dat maar er zijn er genoeg die over het internet surfen en email ontvangen zonder enige protectie.

en filteren bij een de web-site, lees www.grc.com maar. Bij een DDoS (Distributed Deniel of Service) attack wordt het toch heel moeilijk om alles af te schermen. Het kwaad is dan al geschied en ligt de bewuste web-site er gewoon een hele tijd af.

Gewoon opletten en zorg voor voldoende protectie.
Houdt de security-updates bij en installeer deze dan ook.
Zarc.oh 21 augustus 2001 22:20
Webshield de bandbreedte laten berekenen die in gebruik is en dat vergelijken met wat een DDoS is / kan zijn...
Brazza 21 augustus 2001 18:02
Dit zou de eerste verstandige beslissing zijn dit jaar om DoS aanvallen tegen te gaan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq