Daders recente internetaanval moeilijk te traceren

De daders die achter de DDoS aanval van afgelopen maandag zaten zijn moelijk te traceren. Ari Fleischer, woordvoerder van het Witte Huis, zegt dat men bezig is met een onderzoek naar deze grootste distributed denial of service aanval ooit. Experts hebben echter gewaarschuwd dat het niet makkelijk zal worden om de daders te vinden. Dit soort aanvallen komen regelmatig voor en er worden vaak slecht beveiligde computers van onwetende internetters voor gebruikt. Er wordt nog niet gedacht aan cyber-terrorisme, meestal komen dit soort aanvallen uit de hackerswereld, aldus Fleischer. Een van de manieren om iemand te pakken is zijn eigen loslippigheid, de dader van een grote aanval in 2000 werd gepakt nadat hij zat op te scheppen op IRC:

After denial of service attacks temporarily crippled a handful of Web sites in early 2000, including Yahoo Inc. and eBay Inc., the attacker, whose alias was "Mafiaboy," was caught because he bragged about it in Instant Relay Chat channels used by hackers, experts said.

"You catch people because they're stupid," said Schneier. "If the guy doesn't brag, you'll probably never catch them."

IT-banen

Reacties (67)

Verwijderd 24 oktober 2002 11:03

euhm..het was absoluut niet de grootste DDOS aanval ooit, alleen wel eentje die potentieel grote gevolgen had kunnen hebben vanwege de plek waar de aanval op gericht was; de dns root servers. op piek momenten kregen de servers tussen de 50-70 mbit te verwerken, en dat is voor een dDos aanval niet echt veel....

scsirob @Verwijderd • 24 oktober 2002 11:40

DNS verkeer bestaat niet uit grote hoeveelheden data, alleen heeeeeel veel kleine pakketjes. 70 Mbit/s aan DNS verkeer betekend ongeveer 100.000 aanvragen per seconde. Het bijhouden van zoveel TCP/UDP sockets is een gigantische belasting waar heel veel servers op onderuit gaan.

eth0 @Verwijderd • 24 oktober 2002 11:34

duh, er zijn 13 root servers dus 12 x 60 mbit = 780 mbit
das wel een verschil

Verwijderd @eth0 • 24 oktober 2002 12:01

Dat klopt ook niet helemaal omdat niet alle servers zijn aangevallen, of in ieder geval niet allemaal even erg; ik geloof dat de g en a servers het zwaarst waren aangevallen. gemiddeld was het nog geen 30 mbit per server. (zie http://m.root-servers.org/monthly.html)

Overigens heeft 99,9% van de mensen er niet/nauwelijks last van gehad. check http://www.caida.org/cgi-bin/dns_perf/main.pl?metric=rtt&class=root&si te=ucsd&s-y=2002&s-m=10&s-d=20&interval=7&type=Plot&.cgifields=site&.c gifields=class&.cgifields=metric
maar eens: geeft de gemiddelde tijd reply tijd aan van de root dns servers, je ziet dat de aanval van maandag wel voor vertragingen zorgde, maar dat de reply tijden sowieso varieren.

.dat mensen er niet veel van hebben gemerkt komt ook omdat ze de dns servers waarvan je het het meest zou merken als hij down zou gaan, o.a. de m-server in Japan niet onbereikbaar zijn geweest...

Verwijderd @Verwijderd • 24 oktober 2002 12:34

Voor zover ik weet was het niet zo dat de servers offline waren, alleen dat er zoveel data naar de serverclusters werd gestuurd dat er geen legitieme vraag meer kon worden beantwoord; op het moment dat ze dus de aandacht verleggen naar een andere server zou de eerder aangepakte server weer gaan functioneren.
Daarnaast worden die serverclusters 24/7 gemonitored dus zodra de attack op een server zou zijn afgelopen/verminderd, zou de server direct weer online gebracht worden. machine is niet gehacked of zo...

Verwijderd @Verwijderd • 24 oktober 2002 12:59

Nee, ze werken onafhankelijk van elkaar; je moet je ook voorstellen dat het niet 13 servers zijn, maar 13 serverclusters waar per cluster ook nog een aantal slave servers hangen (draaien vaak NT

) Op het moment dat je er dus eentje onderuit trekt draait de rest vrolijk door en wordt die ene door het lokale NOC-team wel weer online gebracht.

(was reactie op roelenzo)

Milo @Verwijderd • 24 oktober 2002 12:55

Die grafiekjes zeggen niet alles, maar wel dat de piek minstens 120Mbit was (2 verschillende koppelingen), weliswaar verdeelt over 2 servers, maar toch 150.000 pakketjes per seconde. En dat is nog maar de m-server, die dus niet onbereikbaar is geweest...

Jammer dat niet van alle servers stats zijn. De E-server kreeg 12 Miljoen packets/s te verduren!

bamboe @Verwijderd • 24 oktober 2002 12:31

Volgens mij hadden ze het anders moeten aanpakken niet allemaal teglijke maar een voor een dus eerst op eentje focusen als die plat is, zal er ook meer verkeer naar de overgebleven 12 gaan, dan de volgende enz...

Verwijderd @Verwijderd • 24 oktober 2002 12:52

ja maar wanneer je er eentje aanvalt gaat die dan niet afvloeien naar de overige? (weetikveel)

Inferno @Verwijderd • 24 oktober 2002 11:10

Het gaat dan ook waarschijnlijk om het aantal belangrijke servers dat tegelijkertijd werd aangevallen door zoveel mogelijk (overigens voor het merendeel onwetende) mensen.

Verwijderd @Verwijderd • 24 oktober 2002 18:37

idd,
die van maffiaboy op cnn.com,yahoo.com,... was VEEL krachtiger.
had ie iets meer hersenen gehad had hij wellicht ook de dns servers platgelegd..gelukkig was dat niet het geval

veldmuis 24 oktober 2002 11:01

Er wordt nog niet gedacht aan cyber-terrorisme, meestal komen dit soort aanvallen uit de hackerswereld,

hackerswereld...mjah maak daar maar scriptkiddieswereld van...hackers hebben hiero echt niks mee te maken...

Verwijderd @veldmuis • 24 oktober 2002 11:23

Vloeken in de kerk natuurlijk, maar ik denk dat het beeld van de Robin Hood Hacker toch echt niet meer van deze tijd is.

Natuurlijk zijn de scriptkiddo's een groot probleem, maar soms wordt iets al te makkelijk op de kiddo's afgeschoven want 'de hacker-community' zou zoiets noooit doen.

Wilke @Verwijderd • 24 oktober 2002 11:37

Natuurlijk zijn de scriptkiddo's een groot probleem, maar soms wordt iets al te makkelijk op de kiddo's afgeschoven want 'de hacker-community' zou zoiets noooit doen.

Inderdaad zou de hacker-community zoiets nooit doen, zo wel dan praat je namelijk over een cracker-community niet de hacker-community

Hint: ga op dit punt niet tegen me in want je raakt toch alleen verzeild in definitie-kwesties waar ik ook geen zin in heb

Maar dat het onderscheid tussen die twee voor Jan met de Pet niet duidelijk is (cq. niet bestaat), dat ben ik zeker met je eens.

Verwijderd @Wilke • 24 oktober 2002 13:23

Hint: ga op dit punt niet tegen me in want je raakt toch alleen verzeild in definitie-kwesties waar ik ook geen zin in heb

Da's ook een slimme manier om een nog niet gevoerde definitie-discussie op voorhand te winnen.

Robin Hood, hacker of cracker, er zijn hoe dan ook een aantal (wellicht op een of andere manier georganiseerde) "slimme kwaadwillende personen" bezig geweest met deze aanval.

In mijn opinie zijn "script kids" niet handig genoeg om dit soort aanvallen op deze schaal voor te bereiden en uit te voeren, die weten vaak voor geen ene meter waar ze mee bezig zijn. Anders dan een ander ervan te overtuigen dat ze een betere 1337 h4ck0r zijn dan een ander...

Wilke @Wilke • 24 oktober 2002 17:33

Da's ook een slimme manier om een nog niet gevoerde definitie-discussie op voorhand te winnen.

Ja mooi he

Vooruit toch je definities dan:

"slimme kwaadwillende personen"

Dat noemen we dus cracker of blackhat (hacker).

Inderdaad was deze aanval iets te groot aangepakt om door een paar 5cr1p7k1dd0's (ook wel: 1337 h4x0rz) te zijn gedaan.

Hacker in meest algemene zin: iemand die graag door en door wil weten hoe een bepaald systeem (hoeft niet eens computer-gerelateerd te zijn) in elkaar zit en daardoor vaak ook veel weet van de beperkingen, zwakke punten, wat er allemaal precies mee kan etc.

Kortom iemand die zich verdiept in een bepaald systeem of er aan meehelpt het te verbeteren.

Bv. 'Linux kernel hacker' - iemand die helpt de (Linux) kernel verder te ontwikkelen, er fouten in opzoekt etc.

Dat heeft dus niks te maken met waar een willekeurig persoon op straat aan zou denken bij het woord 'hacker'. Foute definitie dan? Mogelijk...maar een ander woord is er denk ik niet

dus als de media het consistent verdraaien...tja, balen maar zolang er geen ander woord is blijf ik het gebruiken

silvershadow449 @veldmuis • 24 oktober 2002 14:04

Het lijkt me sterk dat dit het werk is geweest van scriptkiddies. Toegegeven, het uitvoeren van een ddos aanval vergt niet meer dan het invoeren van 1 commando. Maar het onderhouden en vergroten van een zulk groot ddosnetwerk kost wel degelijk wat meer moeite en kennis. Voor deze aanval zijn minstend een paar duizend computers geroot. Scriptkiddies zouden deze binnen de kortste keren kwijt zijn. Bovendien zouden scriptkiddies hun sporen achterlaten op de voor de ddos aanval geroote bakken. Daar lijkt het niet op volgens de FBI.

BadRespawn @silvershadow449 • 24 oktober 2002 16:18

Tenzij die script-kiddies tools gebruiken die door hackers gemaakt zijn, zoals meestal het geval is.
Dan hoeven de kiddies alleen maar te weten op welke knop ze moeten drukken, en dat lukt ze nog wel. Verspreiding gaat vaak dmv een email/news virus; kwestie van een paar keer 'zaaien' en wat geduld hebben, de 'onwetende gebruikers' doen de rest.
Om zo'n dos aanval te doen hoef je dus geen hacker te zijn.

bierdop 24 oktober 2002 11:10

Als het een georganiseerd clubje hackers is komen ze er niet snel achter. Toch zou het wel voordelig zijn als die lui achterhaal kunnen worden. Punt is, zodra ze ermee wegkomen, zal dit andere "wannebee" hackers aansporen om ook ditsoort onzin uit te halen. Van dit soort acties zijn zowel bedrijven als pariculieren de dupe.

Bedrijven lopen geld mis en moeten zeer veel investeren om de beveiligingen waterdicht te krijgen. Voor particulieren is het irritant dat bijv. hun comp. voor dit soort acties gebruikt wordt (men moet firewalls en anti-virusprogs. aanschaffen).

Okay, de beveiligingen worden beter, maar dit vind ik niet echt opwegen tegen de nadelen !!!

ferdinand @bierdop • 24 oktober 2002 11:48

Een virusscanner en firewall zijn gratis te downloaden. Dat is het punt ook niet. Het gaat erom dat de meeste mensen geen zin hebben, niet genoeg kennis hebben, of denken dat ze niet genoeg kennis hebben om een firewall+virusscanner te draaien. Als je al een firewall draait als ZoneAlarm dan ben je al door de scriptkiddies niet meer te vinden op internet. Alleen met een doelgerichte hackpoging heb je nog een kans om binnen te komen.

Verwijderd @ferdinand • 24 oktober 2002 12:11

Ik denk dat de mensen die onder de impressie zijn dat ze genoeg kennis hebben het gevaarlijkst zijn.

De mensen die trots en met een big smile verklaren dat ze hun netwerkje beveilingen met een linux firewall. En na een week plezier die machine niet meer patchen en upgraden en ze zo een perfect target worden voor elke script-kiddie die een exploit kan compilen.

Op windows is het bijna onmogelijk goeie remote toegang te krijgen voor een script-kiddie omdat op de meeste van de windows desktop systemen geen server/daemon draait, terwijl ze op linux meestal al standaard aanstaan.

Verwijderd @Verwijderd • 24 oktober 2002 13:00

Ik ben het (natuurlijk

) niet helemaal met je eens. Op een Windows systeem draaien weliswaar meestal geen servers maar is het stukken makkelijker er ééntje (remote) te installeren (denk maar aan de Trojans).

Op een Linux-systeem is dit door het gebruikersbeheer veel moeilijker, je moet eerst root-rechten zien te krijgen.

Wel wil ik toegeven dat een ongepatcht Linux-systeem gevaarlijk is omdat, als je eenmaal root-rechten hebt, je er veel meer mee kan dan met een Windows-bak.

Dala @Verwijderd • 24 oktober 2002 14:32

je vergeet toch wat:
1. in windows staat netbios standaart aan....
2. windows logt veel minder als linux
3. windows heeft erg veel manieren om binne te komen
ik kan er wel ene paar bekende noeme:
1. IIS (code red)
2. SQL (null sessions)
3. Netbios (weak passwords)
4. Microsoft FTP server (als je de hostname van de pc weet kun je vaak inloggen)
5. en nog heel veel meer rotzooi van externe programma's

LauPro @Verwijderd • 24 oktober 2002 17:01

Reactie op Dala11of11:
1. Netbios mag best standaard 'aan staan' hor, zolang je maar geen bestanden of printers deelt
2. En dan heb je een log?
3. Nou veel mannieren?
1. Niet gepatcht dus
2. Niet gepatcht dus
3. Niet gepatcht dus
4. Niet gepatcht dus
5. -

Kortom gewoon onzin! Bovendien ben je ook nog is appels met peren aan het vergelijken.

mpol @Verwijderd • 24 oktober 2002 17:43

Het grootste lek is meestal Email wormen, die via Outlook Express verspreid worden. Laat daarmee een subseven installeren en je kunt alles met die windows machine. In ieder geval onder win 9x. Je kunt zo'n beetje alle gebruikte wachtwoorden opvissen, etc.
Een irc-bot is daarbij vergeleken maar een klein stukje functionaliteit. En er zijn genoeg mensen die dat blijkbaar binnenkrijgen. Ook zal het makkelijk via Internet Explorer te verspreiden zijn. Er zijn genoeg javascript of ActiveX vulnerabilities waar je op een website van gebruik kunt maken. Denk maar aan alle inbel programma's van pornosites die veel mensen op hun computer hebben staan.
Een recente versie van Outlook (geen Outlook Express), die ingesteld staat dat hij standaard geen executables mag uitvoeren, en een firewall die de serverpoorten dichtgooit zou aardig moeten helpen, al zal een irc-bot juist geen server zijn, maar als irc client inloggen op een ircserver. Die is wat lastiger te firewallen dus, iig zulen veel mensen dat dus niet doen.

En netbios, veel mensen hebben dat toch aanstaan. Er zijn zelfs mensen die beweren dat shares browsen hun voornaamste manier is om hun mp3 collectie uit te breiden :-). Of dat waar is weet ik niet.
Mijn provider blokt bijvoorbeeld standaard netbios. En dat zal niet voor niks zijn.

Dala @Verwijderd • 24 oktober 2002 18:09

reactie op LauPro_:
meeste normale windows users patche niet....

trouwens.. instaleer jij eens Windows 2000.. standaart staat daar bij het net werk file and printer sharing aan.. en bij mij in de straat zijn al drie mensen die gewoon als wachtwoord niks hebben. of een spatie.

okee. je hebt gelijk dat IIS wel erg oud is aan het worden, en SQL ook al steeds minder.

en soms meeste externe programma's zijn echt geen updates voor die gratis te verkijgen zijn... :x

oom van me laatst ook weer: ja ik wilde niet betalen aan de upgrade (anti virus software) want ik krijg tovh nooit virussen via e-mail....

Verwijderd 24 oktober 2002 11:21

Het is gewoon jammer dat er zoveel moeite gestoken wordt in het onderuit halen van allerlei zaken.

Kan er dan niet constructief gewerkt worden.

En dan inderdaad een attack op de root-dns-servers

Er draaiden er nog minder dan de helft, volgens mijn info .. het was dus bijna gelukt.

Stel je dat eens voor, geen Root-dns meer...
Als ze dat langer dan een dag vol hadden kunnen houden (de root-servers onbereikbaar maken) ...

Bye bye internet !

In ieder geval had je dan voorlopig een hoop ip-adressen uit je hoofd moeten gaan leren ..

mythos @Verwijderd • 24 oktober 2002 11:29

Ik denk eerlijk gezegd dat na 24h geen root dns servers het geen "bye bye internet" zal zijn,
denk jij zelf namelijk dat je de dns query's doet op de root server? ik gok er eerder op dat je deze doet bij de dns servers van je provider, die als het ware "alle" dns entries in de root servers cachen in hun eigen dns servertje (o.a. de rede dat domain changes e.d. lang kunnen duren voordat ze aangepast zijn in alle dns servers), hierdoor zal het dus heel moeilijk zijn om met 24h zonder root servers inet plat te gooien

ik denk zelfs dat de gemiddelde provider de time-out van dns entry's zal verhogen mocht het ooit zo erg worden dat de root servers er bijv. een week uitliggen, maar goed, dat weten we nu (gelukkig) nog niet

Pinkelmans @mythos • 24 oktober 2002 11:52

ikzelf heb thuis ook een DNSservertje draaien, werkt best handig als je DNS server van je provider plat ligt, etc, hoef je niet steeds een nieuwe intestellen... en is ook vaak sneller (minder requests enzo). En pas als een DNS hit fout is, gaat hij kijken bij de provider wat de juiste hit is...

Aangezien hier maar 4 computers (5 inclu server) op draaien, zijn er regelmatig "misses" of foutieve hits (ander ip). Maar als je dit doet zoals een ISP, met duizenden computers... heb je een redelijk up-to-date lijstje. Dus de impact zal idd wel meevallen, mischien niet voor de nieuwe site, mja

Cybje @mythos • 24 oktober 2002 11:43

leuk_he @mythos • 24 oktober 2002 12:59

Behalve dat enige tijd de er weer op de root wordt gekeken of een naam al een nieuw ip heeft (anders kun je nooit je ip adres wijzigen). Als de root hiervan niet beschikbaar is zal het even duren voordat de dns van jouw isp besluit dat de root echt niet beschikbaar is. Gevolg -> (aanzienlijke) vertragingen.

Caching helpt, maar eens in de zoveel tijd moet op de root gekeken worden.

afterburn @Verwijderd • 24 oktober 2002 11:43

Het lullige is dat DDoS attacks simpel voorkomen cq onmogelijk gemaakt kunnen worden door de borderrouters overal correct te configureren. Om eea reden wordt dit tot nu toe nog steeds niet gedaan, en is het nog steeds mogelijk en gebeurt het dus nog steeds.

Verwijderd @afterburn • 24 oktober 2002 15:19

Dan krijg je het effect dat alles tot de router potdicht raakt... nu zal dat bij deze servers wel niet het geval zijn, maar van een relatief klein providertje slipt z'n 100mbit lijntje toch al snel dicht.

afterburn @Verwijderd • 24 oktober 2002 20:16

Nee, dat is nou net waarom het raar is dat het nog steeds niet gebeurt is: als je dat doet, zijn het pakketjes van 1 machine die gedropt worden, niet van zo'n hele DDoS.
Voorbeeld van een DDoS: je stuurt een echo request naar een machine en faked de afzender. De afzender is het target. De machine stuurt vervolgens een echo reply naar het target. Doe dit naar een paar duizend machines tegelijkertijd, en het target verzuipt in de echo reply's van over de halve wereld, en de echte boze jongen is in die overvloed niet meer terug te vinden.

Op een border router is het heel eenvoudig zo in te stellen dat het uitgaande echo request uit het voorbeeld gedropt wordt, als de (ogenschijnlijke) afzender buiten het eigen netwerk ligt. Als de bad guy nu zo'n gefaked pakket verstuurt, komt het langs de border router van zijn isp of uplink, en deze ziet een pakketje naar buiten gaan terwijl de ogenschijnlijke afzender buiten zijn netwerk ligt, en dropped het. Einde DDoS.
Eventuele DDoS attacks worden zo beperkt tot het netwerk van bv een ISP, en komen niet het internet op. En DDoS attacks op je eigen isp is erg dom, aangezien de scope erg klein is, het voor die isp relatief eenvoudig is om na te gaan waar het vandaan komt, en het resultaat alleen is dat de aanvaller er zlef last van heeft.

Firefox @Verwijderd • 24 oktober 2002 23:25

Ping wordt door veel te veel dingen gebruikt. Denk aan alle spelletjes die een connectie test doen.... is ook ping.

Zoals elders door mij betoogd is het veel effectiever om bij de provider packs te controleren op source adres, iipv target.

als een uitgaandpakketje een source heeft dat niet op het achterliggende netwerk van de provider voor kan komen, dan moet die gewoon keihard gedropped worden. (want gespoofde source)

Verwijderd @Verwijderd • 24 oktober 2002 11:51

De root-dns-servers zijn de bovenste DNS servers in de DNS hierarchy. Na deze servers komen nog de 2de laag dns-cache servers, hierna komt nog een 3de laag, en dan pas komen dacht ik (kan nog wel een laag tussen zitten zelfs) de dns servers van je ISP of Hosting provider in beeld.

oftewel als de root servers er 24 uur uitliggen moet je wel een zeer obscuur of nieuwe domein willen bezoeken mocht jij er zelf erg in hebben.

en ik kan me eigenlijk niet voorstellen dat er tegen die tijd geen backup scenario is, zoals tijdelijk een andere server gebruiken en de 2de laag dns servers inlichten om daar de vernieuwde cache vandaan te halen.

rfoppen @Verwijderd • 24 oktober 2002 11:46

Heeft voor een hoop sites geen nut gezien er vaak met hostheaders names gewerkt wordt...... Dus op basis van naampie wat jij intypt kom je op de juiste pagina.....

/edit Dat uit je hoofd leren van IP's bedoel ik dan

MisterData @rfoppen • 24 oktober 2002 12:27

Kwestie van een browser-plugin maken die even de HTTP header veranderd en het kan wel

Als je bijvoorbeeld een request doet aan gathering.tweakers.net, dan stuur je een pakketje naar Tweakers.net met in de HTTP-header de volledige hostnaam (gathering.tweakers.net). Aan de hand van die hostnaam kan de server zien dat je naar GoT wil. Dus als je een plugin maakt die in de HTTP-header de Host waarde aanpast dan heb je geen DNS meer nodig

Tis wel wat omslachtig.

rfoppen @MisterData • 24 oktober 2002 13:20

wehehehe mmm ja klinkt logisch maar dan moet je dus wel buiten de IP's ook alle headers uit je koppie weten.......

Verwijderd @MisterData • 24 oktober 2002 23:09

Dat zou je heel simpel kunnen organiseren via The Proxomitron of Privoxy of zo...

Verwijderd 24 oktober 2002 11:00

Ik zelf acht de kans dat ze er ooit achter komen ook enorm klein, ik neem aan dat het een goed georganiseerd clubje hackers was die dit gedaan heeft en niet te traceren zijn!

Verwijderd 24 oktober 2002 11:03

valt mij nog mee dat ze niet sadam of bin ervan verdenken deze aanval georganiseerd te hebben.

Maar ja, het vinden zal idd lastig zijn, je kan moeilijk elk gebruikte ip traceren naar de gebruiker en hem streng ondervragen. Ben je voorlopig wel ff bezig aangezien er best veel computers nodig voor zijn om zulke zware server's plat te krijgen.

RM-rf @Verwijderd • 24 oktober 2002 11:41

..je kan moeilijk elk gebruikte ip traceren naar de gebruiker en hem streng ondervragen.

een dDos aanval komt van besmette clients, waarop een programma is geinstalleerd dat via een bepaalde port luistert naar de 'activatie', zelfs al heb je een Deamon, heb je de aanvaller zelf nog niet

verder kunnen de nieuwste dDos clients al UDP en ICMP-packets uitsturen met verschillende source IP's, bovendien richt hij het op random ports om zo Firewalls te omzeilen

Goed uitleggend artikel over dDos aanvallen

Verwijderd @RM-rf • 24 oktober 2002 11:59

Alleen beetje jammer dat voor hun een DoS altijd uit een grote hoeveelheid paketten bestaat terwijl dat niet hoeft.

Denk bijvoorbeeld aan een recursieve/loop fout waardoor een programma constant hetzelfde blijft doen... als je dat kan veroorzaken (en dit hoeft niet eens remote te zijn) is het al een DoS.

edit:

en als dat ervoor zorgt dat de machine en/of service er traag van wordt of er mee stopt uiteraard...

Abom 24 oktober 2002 11:05

Als je zo goed bent dat je dit soort DDoS attack kunt starten, weet je ook hoe men je op zal proberen te sporen, ik denk niet dat het boeit dat de daders weten dat ze op IRC gaan checken.

neographikal @Abom • 24 oktober 2002 11:33

als je op irc begint te blaten ben je gewoon dom. voer de aanval uit en houd je verder koest, anders pakken ze je alsnog.

Randal Peelen @neographikal • 24 oktober 2002 12:23

Toch doen mensen dergelijke dingen niet voor niks. Het is een schreew om aandacht en/of waardering.
Die waardering krijg je niet door in de kranten te lezen dat "iemand" een grote aanval in touw heeft gezet. En jezelf aangeven om zo alsnog de bekendheid te krijgen is natuurlijk ontzettend dom.

De waardering die je misschien zoek is wel te vinden onder vriendenkringen. "Goeie actie jongen!" , "Cool!" ... Dat soort woorden doen mensen goed.

Als je dergelijke aanvallen mee je graf in neemt (niemand zal ooit weten wie het gedaan heeft) is er volgens mij ok weinig lol aan te beleven en dan zie ik het motief niet meer in. Ik snap het dus wel.

Verwijderd @Abom • 24 oktober 2002 11:38

Zo moeilijk zijn dit soort aanvallen helemaal niet, er zweven overal op internet DOS scriptjes rond, vandaar dat dit soort figuren vaak als "script-kiddies" worden omschreven:

Jonge wannabe-hacker vindt een DDOS scriptje en denkt: "Woot, als ik de DNS servers down krijg ben ik 1337!". Als zo'n gast dan ook nog een flinke lijst met onveilige computers heeft die hij kan gebruiken voor een aanval (met een ander scriptje gevonden) dan kan de "Phun" beginnen.

LionO_NL 24 oktober 2002 13:22

Iedereen die een beetje verstand heeft van de opbouw van het Internet weet dat het WEL mogelijk is om spoofed IP-addressen in te dammen (uitsluiten is TE duur) en daarmee de effectiviteit van DOS/DOSS-aanvallen te beperken.

Het is eenvoudig om een goede router te configureren dat deze alleen pakketten doorlaat van het interne netwerk wat hij bedient, zoals ieder normaal mensen dat ook met zijn NAT-router+firewall thuis doet.

Bijvoorbeeld alleen uitgaande pakketten toe te laten die afkomstig zijn van 195.122.x.x op de binnenste interface, alle andere bron-addressen blokkeren en eventueel loggen. EZ, vreet alleen router-processorkracht.

Als alle providers dit doen ben je voor 99% van de ellende af.
Dan kunnen ze alleen nog adressen spoofen van het lokale netwerk tot aan de volgende router, iets wat heel makkelijk te traceren valt voor een ISP (bekijk dataverkeer per switch poort).

My 2 cents

Verwijderd @LionO_NL • 24 oktober 2002 14:47

Het idee is inderdaad goed, het probleem is dat je hierbij verwacht dat de ISP's ook wat gaan doen... misschien weet je wel hoe een probleem gewone email spam is... en daarbij is het alleen een simpele software config in de mailservers van providers. (Of het afluiten/waarschuwen van een abbonee)

Het andere probleem wat je wel weer krijgt is dat ik op b.v. mijn netwerk (b-class) nogsteeds 65535 ips heb... dit kan niet verkleind worden vanwege v-lans... stel dat het dus gefiltered wordt kan ik er dus voor zorgen dat niemand meer (in deze b-class) bij een bepaalde site (die ik DoS) kan komen... dat is nogal schraal eh?

edit:

Humm misschien lees ik verkeerd wat je schreef, je wil niets doen tegen het interne spoofen... (alleen logs/traffic stats) nja dan heeft het nog niet zoveel nut... ik kan het alsnog doen (de ddos) en daarna er mee wegkomen. (het gaat meestal om gehackte bakken die achteraf toch wel exposed worden door de traffic)

LionO_NL @Verwijderd • 24 oktober 2002 15:26

Het gaat er hierom dat je niet kan goed kan spoofen. Je kunt slechts addressen spoofen die door de eerst volgende router heen gaan.
Daarmee bereik je het volgende:
- bijna geen gespoofde pakketten op het netwerk (Internet)
- de provider(-->gebruiker) betalen minder kosten voor nutteloos versjouwde MB's
- gespoofde pakketten van 1 pc zijn altijd afkomstig van zijn subnet (eerste router), dus makkelijk te blokkeren/traceren.
- getraceerde gebruikers kun je educeren

en het netwerk wordt weer veiliger.

Onderhoud technisch is deze oplossing niet zo moeilijk, elke router heeft waarschijnlijk 5 extra routing regels nodig en je kunt het eventueel spreiden:
- alle routers op stad niveau
- alleen de mega routers
- of alles daar tussen in.

Om intern spoofen tegen te gaan zou je per PC een router nodig hebben, da's onredelijk. Of een geforceerd aantal IP's per MAC en x MAC's per switch poort, waarvan de switches die ik ken alleen het laatste ingesteld kan worden.

offtopic:
Ik neem aan dat die 65535 IP-addressen niet achter 1 router staan, dat is een beetje Dom(R), maar dat er meerdere routers/gateways zijn om de subnetten te verdelen (over bijv. afdelingen).
Als je dit niet doet dan zal een broadcast heel je netwerk belasten, terwijl je routers dit (bij een correcte configuratie) niet toelaat.
Terwijl je dan toch aan het configureren bent, voeg dan gelijk mijn regeltjes toe.

Als jij, als netwerkbeheerder, erachterkomt (door de hogere traffic dan normaal), dat er iets raars gebeurt op het netwerk, kun je makkelijk bepalen waar het exact vandaan komt (op switch niveau) en kun je dus maatregelen nemen. Oftewel de DDOS-client uitschakelen.

offtopic:
De mail-server abuse issues ben je waarschijnlijk ook vanaf aangezien die ook getraceerd kunnen worden.

PolarBear @LionO_NL • 26 oktober 2002 11:37

Routers zijn over het algemeen niet echt gebouwd om naar ACL's en logs ook nog eens elk pakketje te gaan analyseren. Kost ontzettend veel processor kracht.

Verwijderd 24 oktober 2002 12:46

Is heel leuk dat je op die manier een 'bye bye internet' voorkomt, maar zo'n idioot (of idioten) moet gewoon geen DDoS doen op rootservers. Kijk als iemand echt heeeel vervelend tegen je is dan kan ik ergens misschien nog het begrip opbrengen dat je een (D)DoS op diegene uitvoert. Maar op rootservers ... neej OH ja ga dit ook maar vertellen aan de sniper in washington moet je niet doen jongen alsof iemand zich daar wat van aantrekt. lijkt wel of jij mag zeggen wat andere wel of niet mogen doen pppffff

anyway:

wat ik niet begrijp is dat ze geen routers hebben die DDOS aanvallen af-filteren dus alles opvangen en afvoeren naar de prullenbak als ie meer hits per seconden doet dan 5 ofzo? . zulke apparatuur heb je toch? Ok data die eraan komt zal ergens moeten worden opgevangen ... is het niet mogelijk dan om alles gewoon even eruit te halen wat geen dns is? je hebt al 10GB/s kaarten switches etc dus een ddos aanval van 60 mbit ...

Verwijderd @Verwijderd • 24 oktober 2002 12:57

dit is al eerder gezegd ... maar nog een keer...
het source adres kan gespoofed worden, je weet dus niet waar het vandaan komt... het 'filteren' op een aantal hits per seconde is ook niet zo handig... denk aan bijvoorbeeld irc servers... een beetje server moet aardig wat lookups doen. (en zo zijn er nog duizenden voorbeelden)

Neogenic 24 oktober 2002 13:57

MMhhhh..Just wondering, aangezien ik geen firewall of zoiets heb zou m'n comp dus ook voor zulk soort 'Attacks' misbruikt kunen worden?? Aangezien je verantwoordelijk bent voor alles wat er met je comp gedaan/verstuurt wordt zou je dan ook nog strafbaar zijn?

Met andere woorden een firewall is misschien dus best aanteraden of niet?

Op dit item kan niet meer gereageerd worden.

Daders recente internetaanval moeilijk te traceren

Lees meer

IT-banen

Reacties (67)

Sorteer op:

Weergave: