DoS-aanvallen nieuw wapen voor Russische maffia

Door Mark Timmer, dinsdag 27 november 2001 17:02, 44 reacties • Feedback
Bron: ZDNet

DOS-attack Aangezien de techniek zich steeds verder ontwikkelt, spreekt het voor zich dat ook organisaties zoals de maffia zich niet meer beperken tot het gebruik van oude middelen om hun doel te bereiken. Zo schrijft ZDNet over de Russische maffia, die nu met Denial-of-Service (DoS) aanvallen probeert geld af te troggelen van goksites. Op systematische wijze worden de internetsite gechanteerd, waar helaas weinig tegen te beginnen is.

In eerste instantie wordt de site ongeveer een kwartier offline gehaald, door een korte DoS-aanval uit te voeren. Op deze manier maakt men duidelijk dat er geen grap wordt uitgehaald, maar de mogelijkheden serieus beschikbaar zijn. Een tijdje daarna halen de maffiosi de site nogmaals down, waarna het bedrijf een bepaald bedrag in rekening gebracht wordt. Pas als de 'beveiligingsconsultancy diensten' afbetaald zijn, wordt de bandbreedte van de servers weer vrijgegeven. Het beste dat bedrijven kunnen doen is zo snel mogelijk de politie te waarschuwen, zodat aan de hand van het rekeningnummer eventueel nog achterhaald kan worden wie de betreffende criminelen zijn.

Reacties (44)

RooT
27 november 2001 17:03

Kunnen ze niet gewoon in de firewall dat IP blokeren en/of ping gewoon uitzetten, dan hebben die DoS aanvalleen geen effect meer

Tripp
@RooT • 27 november 2001 17:07

Dat zal wel een beetje moeilijk worden. Het zijn wel meer dan 1 iptje

. Om nou honderden(groffe schatting, misschien zijn het er wel meer dan duizend) te blokken lijkt me haast onmogelijk.

Bij een denial-of-service aanval sturen meerdere computers zoveel verzoeken om data naar de server dat deze niet meer toegankelijk is voor legitieme verzoeken.

Bart Coppens
@Tripp • 27 november 2001 17:38

Klinkt mischien dom, maar noemen ze zoiets in zo'n geval dan niet een dDOS (distributed Denial of Service)?

Tripp
@Bart Coppens • 27 november 2001 17:47

ja idd. Znet bedoelt dit denk ik ook.
Als je maar met één ip aanvalt moet je wel een gigantische bandbreedte gereserveerd hebben voor dat ip( en een gigantisch systeem). Zouden die russische maffia zoiets tot hun beschikking hebben?

Er moeten wel meerdere computers met aparte ip's ingeschakeld worden. Alleen op deze manier kun je veel flooden.

Jimp
@Tripp • 27 november 2001 21:58

Kunnen ze niet gewoon in de firewall dat IP blokeren en/of ping gewoon uitzetten, dan hebben die DoS aanvalleen geen effect meer

En lees dan:

Het beste dat bedrijven kunnen doen is zo snel mogelijk de politie te waarschuwen, zodat aan de hand van het rekeningnummer eventueel nog achterhaald kan worden wie de betreffende criminelen zijn.

Hieruit kan ik afleiden dat het niet om een "ping of death" gaat maar om continu inloggen op het casino. Als je met je bankrekening en de rest van de data steeds opnieuw, liefst met z'n allen, in gaat loggen kun je de server ook al tot z'n max belasten, dat is dus ook niet te blocken omdat dan niemand meer het casino in zou mogen van de firewall :(!!!!!

Netman768

@Jimp • 27 november 2001 22:34

nee, het banknummer is het nummer waarop het geld gestort moet worden, dat wordt niet tijdens het inloggen ingvoerd. En met het uitzetten van de ping wordt bedoeld het niet meer reageren op ping, dit heeft geen nut, lees de reatie van veldmuizzz.

DoS is heel moeilijk tegen te gaan, dat wel......

ik zou nu niet graag een Internet-casino runnen

+3 veldmuis
@RooT • 27 november 2001 17:09

nee, helaas
als je het blokkeert krijgt het nog wel die data te verwerken, hij moet immers het ip adres zien voordat ie het kan blocken
dus heeft ie die data al moeten verwerken, en hij blijft checken, dus firewall overbelast

Tripp
@veldmuis • 27 november 2001 17:25

als je het blokkeert krijgt het nog wel die data te verwerken, hij moet immers het ip adres zien voordat ie het kan blocken
dus heeft ie die data al moeten verwerken, en hij blijft checken, dus firewall overbelast

Dat blokkeren van data is niets anders dan even naar het ipnummer kijken das niet al te veel werk.
Het gaat erom dat hij geen bevestiging stuurt en dat kost veel meer tijd en bandbreedte in verhouding met ip'tje checken.

Maar zoals ik al eerder zei, de attack komt van meerdere ip's en dan wordt het pas lastig om te blokken.

Bunny_Feet
@Tripp • 27 november 2001 22:35

"Maar zoals ik al eerder zei, de attack komt van meerdere ip's en dan wordt het pas lastig om te blokken."

Dat niet alleen. Het is makkelijk om het source adres te spoofen (vervalsen) en steeds te veranderen. Daar kan echt niemand iets aan doen omdat het constant andere ip's zijn die de bron zijn van de attack (zo lijkt het dus gezien vanaf het "slachtoffer").

RooT
@veldmuis • 27 november 2001 17:14

Mjah maar als je ping gewoon helemaal uitzet (is makkelijk te doen onder linux) dan heeft de andere host nix meer te pingen omdat ping uitstaat

Dr. Cheeks
@RooT • 27 november 2001 17:36

Nee, dat werkt dus niet. Dan wordt er alleen niet meer gereageerd op de ping, maar de ping komt nog steeds wel aan (en slokt dus alle bandbreedte op). Jij hebt de bel wel horen bellen, maar hebt geen idee waar de klepel hangt. Met andere woorden: je weet niet waar je het over hebt

.

Er valt NIETS tegen te beginnen, niet door de aangevallen site zelf tenminste. Dat is dus de ellende. En de zwakke achillishiel van het Internet. Het enige wat je kan doen is de data-flood 'hoger' in het netwerk al blokkeren, waar er genoeg bandbreedte is. Maar dit kan je niet zelf doen, maar moet bijvoorbeeld je uplinkprovider in hun routers doen. Erg lastig allemaal dus.

edit:
typo

0 _JGC_
@RooT • 28 november 2001 11:28

[reactie op Dr Cheeks]
Doen ze bij ons op school ook in de routerconfig. Waarom? Omdat we op school een 100Mbit connectie met het internet hebben als je in het goede lokaal gaat zitten. Kan je heel wat mensen mee lastigvallen >

+3 [dG]
@RooT • 27 november 2001 21:35

HMmz, als je een dDoS aan het brouwen bent, dan heb je toch als target een probleem.

Je krijgt heel veel requests (ICMP, TCP, UDP, IP), deze requests genereren incoming traffic ( voor de server ). Je firewall,router,webserver,downstream zou het niet aan kunnen.
Ik hoop dat de tweakertjes en tweaksters het nu snappen waarom het zo moeilijk is om een dos aanval te stoppen, juist omdat het niet een probleem veroorzaakt maar toch wel een paar probleemjes meer. Dit kan je niet zomaar even blokken.

Stel je hebt 400 clients hangen in je packet net die allemaal maar 0.5 mB/s kunnen sturen. Dan moet de server toch wel ff lekker 200 MB per seconden naar binnen happen. Die 0,5 mB/s is misschien nog wat laag. Ik bedoel als je veel uni's in je netje heb hangen dan is het al snel meer.

Tegenwoordig kost een beetje verbinding niks meer, en de mensen die zich systeembeheerder noemen hebben ook een LOI cursus achter de rug.
Als je dDoS bij de "source" wil aanpakken begin dan met de mensen die redhat/suse downloaden en daar lekker een webserver op gaan draaien, zonder dat ze het snappen/updaten.

<EDIT>
ff over het veranderen van ip's en je A record, mjah lekker handig refresh m'n zone van m'n nameserver ook altijd om de 10 minuten ( NOT ). Bij ISP's gebeurt dit meestal 1x per dag ( b.v. xs4all ) en daarna moet het nog door alle caches heen te beginnen bij de rootservers.
En vaak draaien de webservers ook de nameserver, die niks kan doen omdat ie onder aanval is en waarbij het ip toch echt hetzelfde moet blijven anders ben je niet meer de owner van je zone.
<EDIT>

Het TCP/IP protocol is best ok maar de mensen die er gebruik van maken ... die zijn pas erg

<EDIT>
Goo Jorden Verwer

) nog een die het snapt !!!
</EDIT>

*zucht*<div class=r>[Reaktie gewijzigd door [dG]]</div>

0 crusher_
@[dG] • 28 november 2001 12:06

Het probleem, dG, zit 'm ècht niet in tweakertjes die suse of redhat downloaden en een webserver draaien. Inderdaad zijn sommige distributies rootable, maar een groter probleem schuilt er in bijv. de mensen die Win2K met IIS draaien en dat soms zelf niet eens weten, en ook geen patches installeren. Ik heb alleen vandaag al 417 code red achtige requests in de logfile staan. Al die machines zijn in principe te infecteren met een dDos script.

Vaak wordt er niet eens gespoofd, maar een hele stapel gehackte hosts gebruikt waarmee men den een ddos netwerk bouwt.

0 Oxonium
@crusher_ • 28 november 2001 14:59

Het is niet echt van de distributie afhankelijk of je rootable bent, maar van degene die erachter zit. En inderdaad, als iemand voor iets als Redhat of Suse kiest, zou het heel erg goed kunnen zijn dat diegene een van de vele n00b's is die denken dat ze geweldig zijn, "want ze draaien linux". Een goede sysop krijgt Redhat ook wel secure hoor.

+1 Nighteye560
@RooT • 27 november 2001 20:06

Ehm, leuk maar dan nog wordt hun bandbreedte gebruikt.. nah hoeveel zou dat zijn?

2 trunks van ehm, 1 mbit?

die zijn zo vol bij een grote dDoS attack..
Ik zou de ISP contacten (het bedrijf waar men de server(s) aanvast heeft zitten, die hebben een dikkere pijp naar het inet toe, daar kunnen ze de betreffende poort waar de DoS attack op binnenkomt toch blocken lijkt me?...

+1 WaarAnders
@RooT • 27 november 2001 20:56

reactie op RooT: MS heeft toch ook zo iets gedaan bij hun site?

+1 RG
@RooT • 27 november 2001 23:17

Vergelijk een DoS aanval hiermee: iemand vraagt je iets, maar doordat iemand anders in je oor staat te schreeuwen komt de vraag van die andere figuur dus niet door. Bij een DDoS staan er een heleboel mensen in je oren te kwekken en kan je die andere gast dus helemaal niet meer verstaan.
Zoiets kun je gewoon niet uitzetten. Al zou je niet naar ze luisteren, dan nog maakt het een rot herrie en hoor je nog niks...

0 TheRealDcoy
@RooT • 28 november 2001 11:14

Dat is toch net de essentie van een DoS attack, dat het ip adres van de afzender vervalst is...
een TCP/IP connectie wordt steeds in drie stappen opgebouw. A stuurt aanvraag naar B, B stuurd bevestiging naar A , tenslotte stuurt A die aanvraag+bevestiging terug naar B... Bij een DoS attack zit in de eerste aanvraag die A naar B stuurd een verkeerd adres van A, waardoor het antwoord van B dus nooit terug naar A kan gestuurd worden... B wacht dus vruchteloos op de uiteindelijke bevestiging en houdt de aanvraag in een buffer... en wanneer die vol is, kunnen de nieuwe aanvragen niet meer afgehandeld worden.

+1 Greyfox
27 november 2001 17:04

DOS - aanvallen vinden toch plaats op een specifiek IP-adres?
Dan kun je dat toch wijzigen als er een DOS - attack geweest is?
(of denk ik dan te makkelijk?)

+2 ^enterz^
@Greyfox • 27 november 2001 17:11

Mja ze worden uitgevoerd op 1 IP, maar dat IP hangt _meestal_ achter een hostname. En als ze gewoon de hostname doodpingen.. tjah.. dan hebben ze dus ook het IP..

En een DoS alleen valt idd te blokken maar een dDoS
wordt alweer een stuk lastiger, omdat er dan gepinged word van een paar honderd machines die telkes weer uitgebreid kunnen worden etc.

Kortom er kan weinig tegen gedaan worden

tssz dat ze zo laag kunnen zinken..

+1 Herr_Qn
@Greyfox • 27 november 2001 17:12

ja je denkt te makkelijk, de site moet namelijk dan ook naar het nieuwe ip wijzen en dus kunnen die lui van de mafia direct het nieuwe ip-adres weer achterhalen...

Tripp
@Greyfox • 27 november 2001 17:14

Dat zal niet zo makkelijk gaan.

Er zijn veel mensen die van dit soort online-casino's gebruikt maken. En om nou zomaar even een ip'tje te veranderen gaat niet zomaar. [prietpraat weggehaald, klopte niets van/geblaat/geleuter enz]

EDIT:
de heren onder mij hebben 4kant gelijk

.
Maar dan moeten dus meerdere DNS servers geupdate worden. Dit duurt wel even en dat is nog steeds niet zo makkelijk als greyfox denkt...

+1 buum
@Tripp • 27 november 2001 17:20

Een formule??? Hoe kom je daar dan bij? De domeinnaam wordt gewoon opgezocht in een DNS-server, die je willekeurig welke waarde kan geven voor dat domein (of eigenlijk: de www-host). Ik kan dus www.bullshit.com EN www.geenbullshit.com precies hetzelfde ip-adres geven en een van deze twee ook veranderen, zonder enige problemen.

+1 blissard
@Tripp • 27 november 2001 17:23

wat een nonsense zeg. de relatie IP-adres - domeinnaam bestaat alleen op de DNS-server. Het is niet de vertaling van de domeinnaam in getallen ofzo.

Tripp
@blissard • 27 november 2001 17:33

o ja jullie hebben helamaal gelijk

.

ik dacht aan een andere formule.

die ene formule waarmee je een ip-nummer om kan zetten naar een groot getal

voor buurman onder:

ja die bedoel ik

0 Brug
@blissard • 27 november 2001 17:44

Huh ? Je bedoelt 123.123.123.123 => 123*(256^3) + 123*(256^2) + 123*(256) + 123 ? Dan krijg je het getal in decimale vorm maar dat wordt zelden gebruikt op het internet.

DRvDijk
27 november 2001 17:11

ICMP-request uitzetten? Zodat de sites niet meer gepinged kunnen worden?
De rest blijft dan wel werken..

+1 ^enterz^
@DRvDijk • 27 november 2001 17:14

kan je wel uitzetten... maar ontvangen doe je ze wel. Het terugsturen alleen niet. . Dus dan slibt de verbinding ook dicht, of heb ik dit nu verkeerd begrepen? Het zal natuurlijk wel wat helpen.

Domino
@^enterz^ • 27 november 2001 17:30

DoS attacks waren toch effectief doordat alle TCP/IP connections gebruikt werden? Niet omdat er zoveel data over de lijn loopt.

Voorbeeldje : een PC doet een TCP/IP request naar de server en verdwijnt, de server stuurt een packet terug maar die komt nooit aan. De socket blijf open totdat er een time-out optreed. na een tijdje zijn alle sockets in gebruik en is de server bijna niet meer toegankelijk.

Da's geloof ik een DoS attack. Dus IMCP blocken heeft wel degelijk effect imho.

Check ook effe http://grc.com/dos/grcdos.htm

+1 radi0man
@Domino • 27 november 2001 20:24

Klein puntje: Je hebt het zelf al over TCP/IP. Da's dus wat anders dan ICMP.
Het opbouwen van een TCP-verbinding gaat in drie stappen (zoals je in je voorbeeld al noemt). Bij ICMP gebeurt dat niet. Bij een ping bijvoorbeeld stuurt een host een request en de ontvangende host stuurt een reply, maar houdt daarna geen socket open, want de ontvangende host verwacht geen reactie meer.
Ping floods worden wel gebruikt als DOS-attacks, maar zijn met name effectief doordat ze de hele link vullen met data. Je kan ICMP wel blokken (dat scheelt weer wat voor de ontvangende host, want die hoeft het pakketje niet te verwerken), maar het probleem blijft.

+1 Jorden Verwer
27 november 2001 22:03

Het viel me op dat er hier weer behoorlijk wat onkennis heerst op gebied van dDOS-aanvallen. DOS-aanvallen (of ze nou distributed zijn of niet) kunnen drie doelen hebben:
1. Onderdeel zijn van een exploit
2. Het slachtoffer overbelasten, waardoor deze geheel of gedeeltelijk stopt met functioneren
3. Alle bandbreedte opslurpen

Punt 1 is een kwestie van een goed OS gebruiken en dit ook goed updaten, dan heb je op deze manier geen last van DOS.
Punt 2 is afhankelijk van je servercapaciteit, maar ook hier geldt dat je je OS goed moet configureren. In principe is ook dit dan goed aan te pakken. Een en ander is natuurlijk afhankelijk van wat je voor server draait, en router raakt bij correcte configuratie nooit overbelast (hij wordt hoogstens langzamer in het forwarden of gaat tijdelijk packets droppen), maar een webserver moet gewoon voldoende capaciteit hebben (voor TCP SYN floods etc.) om niet te stoppen met functioneren. Oftewel: ook al ligt het hier minder simpel, het is mogelijk om deze vorm van schade helemaal te voorkomen.
Punt 3 echter, is een enorm probleem, want hier kun je zelf HELEMAAL NIETS aan doen. Al het verkeer dat in jouw netwerk binnenkomt komt gewoon binnen en kan daarmee ander verkeer verdringen. Dan kun je het wel blocken maar daarmee maak je de bandbreedte nog niet vrij! De enige oplossing is om de routers van je upstream connectie de gewraakte IPs te laten blokkeren, maar aangezien dit er vaak erg veel zijn en ze ook nog eens regelmatig veranderen, is dit feitelijk onbegonnen werk.

Desondanks moet iedereen die op deze manier door een stel debiele Russen gechanteerd wordt hier geen gehoor aan geven, want anders houdt je dit soort zaken in stand. Laat ze maar komen, en roep de hulp in van degene die jou je internetverbinding verschaft.

+1 Nighteye560
@Jorden Verwer • 28 november 2001 02:14

Laat ze maar komen, en roep de hulp in van degene die jou je internetverbinding verschaft.

dat zei ik.. laat alle requests bij je ISP al blokkeren zodat alleen 'goeie' pakketten doorgelaten worden..

0 crusher_
@Nighteye560 • 28 november 2001 12:12

Het probleem is dat je niet kan zien welke pakketten de 'goeie' zijn, als je er tienduizenden per minuut krijgt van wellicht duizenden verschillende ip's.

Captain Pervert
27 november 2001 17:06

Maffia... Ik denk dat een club slimme (en stoute

) nerds dit ook kan verzinnen. Hoeft niet per se een grondslag te hebben in de georganiseerde misdaad

+1 OscarB
@Captain Pervert • 27 november 2001 17:22

Maffia... Ik denk dat een club slimme (en stoute ) nerds dit ook kan verzinnen. Hoeft niet per se een grondslag te hebben in de georganiseerde misdaad

Een club nerds die criminele dingen doen... klink toch echt als én georganiseerd én als misdaad.

algabra
27 november 2001 19:42

DoS aanvallen worden door grote groepen computers uitgevoerd.

Volgens Linux Admins moet je:
-eerst IP spoofen
-dan paar computers cracken en hun IP's spoofen
-dan IP-ranges scannen en een vette IP-range uitkiezen
-select target (IP) en laat de-computers-collectief-andere-computers-pingen.
-de pongs(reply van een ping) gaan naar het doelwit.
-target overload, het maak niet uit wat voor een systeem je bezit en welke OS/software.

Met een IP-range die 500 computers bevat geeft gemiddeld een burst van !!! 3 GByte/s. !!!

DoS kan je NIET blokkeren. Alleen je van IP veranderd.

CISCO routers (werelds beste netwerkmateriaal) schieten in brand (figuurlijk) als je 3GByte/s doorstuur. Snelste NIC is maar 1Gbps of ongeveer 100MByte/s (met overhead erbij).

Wat is de vermogen van 10000 DoS computers???
TeraByte/s???

0 Oxonium
@algabra • 28 november 2001 15:08

Zoals al diverse keren eerder gezegd in deze thread is een DoS een afgebroken TCP connection attempt. Niets ping, da's flooding, en dat is dus geen DoS.
Wat jij ook over het hoofd ziet is dat als ik met 8 miljoen pc's kom aanzetten die ik met zijn allen laat pingen (wat jij een DoS noemt), ze met zijn allen wel proberen weet-ik-hoeveel Gb/sec aan data willen sturen, maar je verbinding moet het ook aankunnen. Als de gezamelijk uplink van dat subnet van jou een keer 100Mbit is, flood je je eigen router en niet die van iemand anders.

+1 ZroBioNe
27 november 2001 17:10

Zal mij benieuwen wat de politie hieraan doet.
Zijn er al wetten in Rusland over dit soort dingen?

0 OscarB
@ZroBioNe • 27 november 2001 17:18

Geen wetten, maar wel politie

Standeman
27 november 2001 17:32

Dit lijkt me toch een zorgelijke situatie en is zeker niet alleen gelimiteerd tot Rusland.In principe kunnen zij op deze manier elke site ter wereld chanteren.
Het was ook slechts een kwestie van tijd dat exploits e.d. gebruikt zullen worden door criminelen. Er zijn natuurlijk genoeg mensen met verstand van hacken die niet alleen bezig zijn om veiligheidslekken aan te tonen en er best een goed zakcentje aan willen verdienen.
Ik zelf denk dat deze praktijken tot vrij grote problemen kan gaan leiden. Misschien leid dit wel naar een nieuw soort trend die ernstige schade kan berokkenen op de integriteit van het internet.

Het is niet zo dat ik gelijk een doemscenario wil oproepen, maar het is wel een probleem dat veel meer aandacht nodig heeft dan er tot nu toe aan wordt geschonken door justitie e.d.

0 Roellie
27 november 2001 22:53

Wie wat meer wil lezen over oorzaak en gevolg van dDos:
http://grc.com/dos/grcdos.htm

Mafioso
27 november 2001 23:16

* 786562 Mafioso

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

DoS-aanvallen nieuw wapen voor Russische maffia

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Sorteer op:

Weergave:

Reacties (44)