AT&T werkt aan routersoftware die terug kan DoSsen

Vorige week maandag 21 oktober werden zeven van de dertien zogenaamde 'root' servers getroffen door een DDoS (Distributed Denial of Service) aanval. Vanaf een groot aantal op het internet aangesloten computers werd een dusdanige grote hoeveelheid data naar de bewuste servers gestuurd dat normale communicatie met deze systemen niet meer mogelijk was. De root-servers zorgen, samen met veel lokale DNS-servers, voor de omzetting van domeinnamen naar IP-adressen en andersom, een service die voor de bereikbaarheid van sites op het internet essentieel is. Eerder dit jaar werd een van de voren aangekondige chat-sessie met prins Willem-Alexander en Maxima onmogelijk gemaakt door een soortgelijke aanval.

Tegen dit soort DDoS-attacks is op dit moment nog niet veel te doen, beveiligingsprogrammatuur op het doelwit zelf wordt overvallen door de enorme hoeveelheid data vanuit verschillende lokaties. Naar aanleiding van de aanval van vorige week is de aandacht opnieuw op het probleem gevestigd. Eén van de mogelijkheden om een dergelijke aanval te stoppen is het terugsturen van de data. Specialisten van AT&T Labs onderzoeken de mogelijkheid om routers zo in te richten dat ze een DDoS-aanval kunnen herkennen en stoppen. Via het netwerk van routers zou de route terug naar de bron gevolgd kunnen worden. Het probleem kan dan bij de bron worden aangepakt. De onderzoekers hebben een eerste prototype van de software Pushback genoemd:

The researchers have developed prototype software called Pushback that can be uploaded to a router. This would identify abnormally high levels of traffic and try to block it. Enabled routers would also communicate with other routers to shut down the flow of data closer to its source.

Bellovin told New Scientist: "Until three years ago people hadn't been abusing the network as a resource. We have to put mechanisms in place to control access to that resource and it's not something we've been accustomed to doing."

Op de universiteit van Californie is ook een tool ontwikkeld waarmee een DDoS aanval gedetecteerd kan worden. D-Ward kan op een gateway geinstalleerd worden. Door het uitgaande netwerkverkeer te monitoren kan een aanval vroegtijdig ontdekt worden. Het probleem met dit soort software is dat er waarschijnlijk hardwarematige aanpassingen van de routers nodig zijn, aldus Steve Bellovin van AT&T.

IT-banen

Reacties (88)

Atomstar 28 oktober 2002 19:31

Volgens mij wordt dit best lastig. Je wilt packets herleiden naar de source, meestal zijn dan of de packets gespoofed, en zie je alleen dat ze van een bepaald netwerk komen (tenzij het wereldweid op alle routers wordt geinstalled, en dan nog heb je tientallen gebruikers per router etc) en als ze niet gespoofed worden zullen het van door trojan infected machines komen van onwetende gebruikers, daar heb je dus ook niks aan.
Verder kan je ook een syn packet naar een web server of wat dan ook sturen met als src het adres van jouw slachtoffer (dns server oid) en dan replyt die (web)server dus naar dat slachtoffer. Probeer zo een packet maar eens te tracen, helemaal als je dit op een distributed manier doet lijkt het me haast onmogelijk.

Ik vind het lief van ze dat ze het proberen, maar toch lijkt het me lastig om te doen.

Metzie 28 oktober 2002 19:40

Het engelse artiekel is verkeerd geinterpreteerd volgens mij. Het gaat erom om de dos aanval dichterbij de source te stoppen, niet door een dos aanval terug te doen.

Ze proberen routers met elkaar te laten communiceren zodat de router bij de ISP, waar de zombie pc op zit aangesloten, de DOS kan blocken. Door bijvoorbeeld de netwerkverbinding van de desbetreffende client af te sluiten of te filteren.

Verwijderd @Metzie • 29 oktober 2002 00:25

Ik dacht dat ik de enige was die nergens iets kon vinden over een tegenaanval in het orginele artikel. Blijkbaar lezen de meeste mensen de echte bron dus niet - als ik het niet dacht, tsk tsk

Een tegenaanval zou natuurlijk ook compleet belachelijk zijn, een al volle pipelijn nog voller duwen met tegenaanval pakketjes terwijl de server al moeite heeft met het verwerken van de inkomende pakketjes.

Het orginele idee zoals uit het artikel is natuurlijk wel een stuk beter, een soort distributed netwerk van routers, waarbij informatie wordt uitgewisseld over DoS'ende clients zodat deze al bij de eerstvolgende router te blocken zijn. Vooral als de grote backbones hier aan meedoen zou dit wel eens heel effectief kunnen blijken

den 150 @Verwijderd • 29 oktober 2002 08:12

Al die lijnen zijn full-duplex, als de server geDoSt wordt is de downlink vol (en hoogstwaarschijnlijk de cpu usage ook), maar niet de uplink. Als de router de uplink terugstuurt ipv door te sturen naar de server zelf wordt de cpu niet belast.
En meestal is die teruggestuurde data vertragend genoeg voor de DoSsende pc zodat die zelf meer 'schade' heeft dan de server

Best geen slechte oplossing vanuit het serverstandpunt gezien

MikeN @Metzie • 28 oktober 2002 20:08

Inderdaad, het gaat helemaal niet om het terug Dossen, maar om gewoon het probleem automagisch naar de bron te herleiden en te stoppen. Beetje verkeerd opgevat denk ik

Auteur

zomertje @Metzie • 29 oktober 2002 10:04

Dat vraag ik me dus af, een citaat:

Steve Bellovin and colleagues at AT&T Labs in the US suggest that DDoS attacks could be stopped by "pushing" traffic back towards its source.

In mijn ogen kun je dat dus lezen als "alles terugsturen"

Het stukje: This would identify abnormally high levels of traffic and try to block it. lijkt op een andere aanpak(firewall-achtig), details worden echter niet gegeven. Omdat het om een prototype gaat is ook nog niet echt te zeggen of het uiteindelijk een combinatie zal gaan worden van terugrouteren, blocken en dezelfde hoeveelheid data terugsturen(vanaf de laatste router voor de aanvaller natuurlijk).

aanvaller > router1 > router2 > router3 > slachtoffer

mogelijk scenario:
router1 licht router2 in, router2 licht router3 in en deze pakt de dader terug door een block en het terugsturen van de data. Behalve alle routers zullen dan ook de switches binnen een netwerk mee moeten doen met deze techniek, anders wordt het interne netwerk overbelast. Of dit technisch gewenst en/of haalbaar is blijft de vraag, daar zijn ze dus nog mee bezig

Blocken is natuurlijk wel beter (minder dataverkeer).

Dat er te weinig info is is op zich wel jammer, zo kun je nooit een echt goede technische uitleg geven.

Inferno 28 oktober 2002 19:21

Hmmm, maar als er dan een dDoS is, dan wordt er dus ook teruggeslagen?

Lijkt me namelijk erg vervelend voor de grotendeels onwetende mensen waardoor de aanval gepleegd wordt

edit: ja, onwetende mensen, zie http://www.tweakers.net/nieuws/23924/?highlight=ddos

De computers die het dataverkeer veroorzaakten waren waarschijnlijk in het bezit van onwetende gebruikers

Verwijderd @Inferno • 28 oktober 2002 19:22

Onwetende mensen?

Hodgesaargh @Verwijderd • 28 oktober 2002 19:24

Mensen die dus niet weten dat ze een trojan hebben die als zombie meewerkt aan de DDOS.

Maar is ook een aardige manier om ze te laten weten dat ze iets moeten doen aan hun firewall/virusscanner

zoepercavia @Verwijderd • 28 oktober 2002 19:27

yup onwetende mensen,

veel ddos attacks worden veroorzaakt door trojan software (bots) die bij onwetende mensen is geinstalleerd. Met een bepaald commando kan de eigenlijke veroorzaker ervoor zorgen dat alle bots malformed packets gaan sturen naar het doelwit.
Naar mijn idee is dit dan ook absoluut niet te voorkomen door een counter-aanval omdat de pakketjes van verschillende (onschuldige) adressen komen...

rootlinux @zoepercavia • 28 oktober 2002 19:40

IK denk dat het goed zou zijn als zo'n counter attack volgt. Dan beseffen mensen mischien dat er iets raars met hun PC aan de hand is en doen ze er iets aan. Er zijn nog te veel mensen die virussen en andere rotzooi op hun PC toelaten. ipv zichzelf te beschermen met op zijn minst een viruskiller. En veilige software

rfoppen @zoepercavia • 28 oktober 2002 19:46

Dan moeten ze die pushback software wel zo slim maken om op een of andere manier een melding te genereren (samenwerking met Firewall fabrikanten wellicht oid) Gebeurt dat niet dan lijkt het voor die onwetende mensen alleen of hun internet retetraag wordt........

< Pap ken je internet ff rebooten hij doet ut niet >

Verwijderd @zoepercavia • 28 oktober 2002 20:59

Dat kunnen ze nooit en te nimmer doen... anders word daar na een week misbruik van gemaakt dmv "Spend your money at our casino" JUIST spam.... Je kan en je mag geen probleem oplossen en er zo op deze manier een andere creeren

edit:

reactie op rfoppen

scsirob @zoepercavia • 29 oktober 2002 08:55

rfoppen, wat dacht je van:
NET SEND /DOMAIN:IP.VAN.DE.MACHINE "Yooo! Your system is infected! Get a flu shot!"

Aangezien 99% van de bende uit Windows machines komt gaat dat prima werken

Verwijderd @zoepercavia • 29 oktober 2002 14:26

*Tsjonge, wat en dubbelpost

wildhagen

Bedrijfsnieuws

@Verwijderd • 28 oktober 2002 19:25

Voor dDoS-attacks worden ook gehackte computers van onwetende mensen gebruikt.

Die mensen worden dus ook getroffen terwijl ze eigenlijk onchuldig zijn.

Primator @wildhagen • 29 oktober 2002 09:09

Gebruikers zonder een (up to date) virusscanner noem ik niet onschuldig

Abom @wildhagen • 29 oktober 2002 09:34

Hoezo onschuldig?

Targeter @wildhagen • 29 oktober 2002 18:02

goh ik ben schuldig omdat ik me resources niet laat opslokken door een virusscan? ik denk dat ik slim genoeg ben om niet geinfecteerd te raken.

Verwijderd @wildhagen • 30 oktober 2002 09:12

Dat is wel een hele domme opmerking. Dat heb je absoluut niet zelf in de hand hoor. Hoe vaak is het al niet voorgekomen dat er een virus op een cd staat van zelfs commerciele pakketten? WP had hier in 1 release bijvoorbeeld last van. En wat dacht je van mail en andere internet downloads?

Overigens is er geen enkele garantie dat een virusscanner de, meestal gemodificeerde, DDOS servers zal herkennen.

Rene59 @Verwijderd • 28 oktober 2002 19:25

Bij een dDoS worden bijna altijd allerlei computers gebruikt terwijl de eigenaar niet op de hoogte is. (denk aan trojans enzo)

[edit]
lol, wat zijn we toch weer allemaal behulpzaam vandaag

Verwijderd @Inferno • 29 oktober 2002 10:48

Wat veel leuker is: je DoSt zo'n router met een flink aantal gespoofde IP's, bijvoorbeeld van andere dergelijke routers. Resultaat: alle routers gaan elkaar DoSsen en het Internet ligt plat. Wow, wat een oplossing is dit zeg!

Verwijderd @Verwijderd • 29 oktober 2002 13:37

Wat dan gelukkig met access-listen weer goed opgelost kan worden

TheGhostInc @Inferno • 28 oktober 2002 19:27

Er zijn dus mensen die elke keer weer meedoen omdat ze het niet weten... tja, laat die mensen dan maar eens een keer bellen met hun provider zodat ze alvast de trojan verwijderen.

Ik heb nu niet echt medelijden met een handjevol mensen die de dupe worden van iets waar ze zoiezo al de dupe van zijn. (Je denkt toch niet dat je vanaf een machine die een ddos aanval doet nog normaal kunt surfen enzo...) Het is gewoon voorkomen dat anderen er last van krijgen.

Hodgesaargh 28 oktober 2002 19:22

Werkt dit met ip-adressen of via een andere manier? Want zo lijkt me dat je dmv spoofing van je ip iemand op je eigen netwerk (bijv een abbo van je eigen ISP) behoorlijk het leven zuur kan maken?

[/edit] typo [edit]

Jive @Hodgesaargh • 28 oktober 2002 19:23

Ze proberen de packets terug te herleiden ...
Hier helpt spoofing dus niet tegen want een router kan altijd zien waarvandaan een packet naar hem verstuurd word.

Hodgesaargh @Jive • 28 oktober 2002 19:25

Mee eens, maar ik zit me ff af te vragen of routers ook daadwerkelijk routen aan de hand van MAC-adressen of aan de hand van ip-adressen... want voor zover ik weet zijn ze beiden te spoofen...

Verwijderd @Hodgesaargh • 28 oktober 2002 20:54

Router --> ip adressen (laag 3)
Switch / Bridge --> MAC -Adres (laag 2)
Hub / Repeater --> Geen (laag 1)

dreamscape @Hodgesaargh • 28 oktober 2002 19:32

Routers werken voor zover mij bekend met MAC adressen. Pas op een hoger niveau komen IP adressen in het spel.

Maar als een deel van een dDoS net door een router is gegaan en vervolgens de "bestemmings-router" terug gaat DoS'en laat de eerste router - dus die dicht bij de client zit - waarschijnlijk voor desbetreffende client niets meer door, omdat deze zijn buffergeheugen helemaal vol geramd heeft.

Tenminste, dat denk ik

Bor Coördinator Frontpage Admins / FP Powermod @Hodgesaargh • 28 oktober 2002 19:52

Maar een DDOS werkt niet met een systeem, en 1 enkel systeem (een thuis PC) is niet echt effectief in een DOS attack.

Bor Coördinator Frontpage Admins / FP Powermod @Hodgesaargh • 28 oktober 2002 19:37

Een router routeert aan de hand van IP adressen (netwerk laag van het OSI model). Maar om een IP pakket ergens heen te sturen heb je toch een MAC address (ose datalink laag) nodig. Spoofen hoeft echter niet omdat er gebruik wordt gemaakt van niets wetende "zombie" slaves die de daadwerkelijke attack (op commando) uitvoeren.

edit: score 0? Ik geef alleen antwoord op een oprechte vraag hierboven?

Hodgesaargh @Hodgesaargh • 28 oktober 2002 19:39

Maar als ik mijn MAC adres spoof naar het adres van mijn buurman en ik ga vervolgens ff zitten DOSsen, is mijn buurman dus de lul....

Verwijderd @Hodgesaargh • 28 oktober 2002 21:03

Routers werken idd volgens de OSI layer... layer 3 wel te verstaan.

edit:

00fly747 was me net voor (5 min)

Verwijderd 29 oktober 2002 09:48

Wat je hier mee bereikt is dat DDos aanvallen nog slimmer worden. En de bestaande DDos aanvallen tijdelijk tegenhoud. (Oftwel een Borg scenario)

Als die software kan herkennen dat er continu een stroom naar de aangevallen server(s) word opgezet dan passen ze de DDos zo aan dat door verschillende clusters om de beurt een stream word opgezet en bekend is op welke wijze die routers het kunnen herkennen maar ze dan net te slim af zijn. Misschien dat je dan meer dr0n3z nodig hebt maar dat schijnt geen probleem te zijn.

Wat me ook lastig lijkt om als router onderscheid te kunnen maken in een DDos of bijv. de release van nieuwe software en iedereen die gaat lopen downloaden wereldwijd. Mja ben ook geen AT&T drone.

Jive 28 oktober 2002 19:22

Lijkt me een goede zaak.

Nu maar hopen dat het zonder veel pijn & moeite geimplementeerd kan worden over de verschillende soorten & merken routers ..

Dit zou wel eens de enigste methode kunnen zijn om dit probleem aan te pakken.

Bor Coördinator Frontpage Admins / FP Powermod @Jive • 28 oktober 2002 19:34

Heel leuk maar door terug te DDossen ben je evenzogoed strafbaar. Voor een bedrijf kan het absoluut hele gevaarlijke gevolgen hebben als ze met een DDOS attack in verband worden gebracht in bijvoorbeeld de krant of de TV. Komt er inderdaad nog bij dat je de veroorzakers niet aanpakt maar alle "zombie" systemen plat gaat leggen. Met je provider bellen heeft geen zin, die doet er echt niet aan hoor. Ik heb wel eens met mijn provider gebeld omdat ik 4 bo systemen in mijn subnet zag, interesseerde ze geen #$@$! Kortom, een leuk idee, maar de toepasbaarheid is niet zo heel groot voor bedrijven. Het zal schadeclaims en rechtzaken veroorzaken maar niet het probleem oplossen.

burne @Bor • 29 oktober 2002 03:28

Leuk om te zien dat (vrijwel) iedereen niet het artikel waar de posting over gaat gelezen heeft.

De geDoSte router stuurt packets terug. Een klein aantal. Met als doel routers in de upstream van de DoS de stroom van verkeer af te knijpen.

Er is geen sprake van terugDoSsen.

Alle discussie daarover is dus geblaat in de ruimte.

"This would identify abnormally high levels of traffic and try to block it. Enabled routers would also communicate with other routers to shut down the flow of data closer to its source."

pfismvg @burne • 29 oktober 2002 08:56

das eng....

Als een hacker dus zo een router berichtje namaakt waarin die zegt alle 13 root servers ddos'en mij.

Worden alle 13 root servers dicht geknepen. Dat wordt waarschijnlijk de meest effectieve dos attack ooit

Verwijderd @burne • 29 oktober 2002 09:32

Ja, dat krijg je met een titel als " AT&T werkt aan routersoftware die terug kan DoSsen " Overigens is het laten knijpen ook te zien als een DOS attack als iemand deze berichten ten onrechte maakt.

Bor Coördinator Frontpage Admins / FP Powermod @burne • 30 oktober 2002 09:08

Er is (kan) wel degelijk sprake zijn van terug DOS'en. Je vergeet dat de machines die de DDOS uitvoeren voor het grote deel machines zijn van onwetende thuisgebruikers met kabel/adsl etc. Hun bandbreedte zal dan ook worden geknepen. Het is dus niet alleen een DOS voor het bedrijf dat onder attack ligt. Door een DDOS te spoofen vanaf bijvoorbeeld de ip range van een zakenpartner van het bedrijf dat onder vuur ligt is het mogelijk de DOS nog erger te maken en mogelijke goede relaties ernstig te verstoren. Het zit hem niet alleen in wat er in het artikel beschreven is, maar meer in de mogelijkheden die er zijn om van dit systeem misbruik te maken om een DOS nog effectiever te maken.

Kijk naar je eigen quote, daar staat het eigenlijk al (geen geblaat in de ruimte dus):

"This would identify abnormally high levels of traffic and try to block it. Enabled routers would also communicate with other routers to shut down the flow of data closer to its source."

Verwijderd @Jive • 28 oktober 2002 19:42

Als die routersoftware zal gaan terug DoSsen zal waarschijnlijk heel veel van de uploadbandbreedt van de server gaan kosten, waardoor bezoekers informatie trager krijgen toegestuurd.

De software is dus niet bepaald prestatieverhogend!

JayVee @Verwijderd • 28 oktober 2002 19:58

Nee, een gelukte DDoS aanval wel!

Het gaat er natuurlijk om om de server überhaupt (met echte ü!

) zijn werkt te laten doen.
Wat ik me alleen afvraag: Komen DDoS altijd vanaf een netwerk? Of kunnen de trojans net zo over de rest van het internet verspreid worden door bijv napster of email?
Als het vanaf een netwerk afkomt is het redelijk makkelijk te stoppen. Anders niet.

arjankoole

Bedrijfsnieuws

@JayVee • 29 oktober 2002 12:02

alleen is dit schadelijk voor het hele internet, nee dank je.

je ziet een DDoS opstarten, en vervolgens over de hele wereld counter-DDoS aanvallen... lekker voor je bandbreedte wereldwijd...

Confusion @Jive • 29 oktober 2002 09:43

Het implementeren van zoiets schreeuwt natuurlijk om misbruik, maar laten we ervan uit gaan dat AT&T een deugdelijk systeem bouwt en razendsnel met patches komt indien nodig. Laten we er ook vanuitgaan dat iedereen met voldoende verstand en middelen om een dergelijke router neer te zetten die patch ook snel zal toepassen.

veldmuis 28 oktober 2002 19:24

wordt dat dan niet ranzig duur qua dataverkeer

een DDoS schijnt al flink wat te kosten, wat als al dat verkeer dan NOG een keertje door het lijntje moet...

en verder, een 100mbit verbinding krijgt 80mbit op zich af, dan heeft-ie maar 20mbit ruimte om terug te DoSsen, dus nooit genoeg

Verwijderd @veldmuis • 28 oktober 2002 19:29

Je mag er vanuit gaan dat een beetje server wel op full-duplex draait. (dwz tegelijkertijd ontvangen en verzenden)

silentsnow @veldmuis • 28 oktober 2002 19:31

Het gaat hier om software voor de router. Misschien kan op een of andere manier het inkomende verkeer verminderen zodat 50% van de bandbreedte beschikbaar wordt gesteld voor het uitgaande verkeer.

I.R. Overclocked @veldmuis • 28 oktober 2002 22:54

Op deze manier verplaats je alleen je aanval, van de server overbelasten, naar je netwerk overbelasten....

Mick_bravo 28 oktober 2002 20:05

Dit is wel een beetje onzinnig. Volgens mij kun je veel beter eerder in de routering van "het internet" der routering stop laten zetten voor de ip-range. Dan kan je via je ISP wel weer online komen. Je had dan maar goede antivirussoftware moeten gebruiken. Bij veel ISP kun je al gratis een scanner downloaden.

Het is dus gewoon gemak dat e hem niet installeert. Dat soort mensen moeten worden gestraft

. Je moet toch ook meer premie voor de verzekering betalen als je altijd je voordeur open laat. Neem zelf ook eens wat verantwoording.

Eventueel kun je zo'n bl(o/a)cklist na een aantal uren clearen en bij herhaling voor langere tijden blocken (exponentieel).

Verwijderd @Mick_bravo • 28 oktober 2002 21:14

Als je bedoelt om de ip adressen gewoon niet toe te laten ben ik van mening dat je het mis hebt

Op deze manier ben je immers ook actief bezig met de toegestuurde pakketten, je geDDOSte server krijgt het nog zwaarder.

Ook is het zo dat gestuurde pakettjes toch aankomen ook al worden ze genegeerd.

MAW je bent 5000+ ip's aan het bannen wat je hele servers vertraagd, en ondertussen slipt je bandbreedte ook nog een weg

den 150 29 oktober 2002 14:36

Als die dombo's van AT&T nu eens gewoon aan 'routerspecialisten' leren hoe ze de route tabellen op de laagste niveaus configureren dat ze alleen traffic van interne IP's naar buiten toe laten gaan ben je in 1 keer van het probleem af.

Van waar denk je dat dat verkeer komt? Van andere routers natuurlijk, dat is theoretisch gezien intern verkeer.

Ik DDos zo'n nieuwe router X1, hierbij zet ik als fake ip (spoofing) het ip van een andere router X2 (ook zo'n nieuw type) nu gaan ze elkaar lekker afmaken.

Zo simpel is het inderdaad niet. Als je de post leest zie je dat ze dat terugsturen adhv informatie die ze van andere routers krijgen, niet van het ip adres.

LionO_NL @den 150 • 29 oktober 2002 21:22

<quote>op de laagste niveaus</quote>

Oftewel voordat ze bij de ISP weggaan. Aangezien de ISP maar een beperkt aantal ranges tot zijn beschikking heeft (en die een trojan niet makkelijk kan achterhalen) zijn spoofs makkelijk te herleiden/blokkeren.

Lost deel 1 van het probleem op.

Als je dit doet op backbone routers van het Internet heeft het ook zin. Alleen het effect is veel kleiner en de belasting groter.

Ook al, hoeveel processortijd zou het meer duren om naast het doel-adres ook het bron-adres door de route tabel te halen ?

Verwijderd 28 oktober 2002 19:34

het gaat om de routers niet het einddoel .... dus de takken van het netwerk waar 1000-den routers in zitten kunnen het detecteren waardoor de data wordt terug gebounced ofwel 1000-den gebruikers allemaal van anders netwerken zien bij zichzelf een iets hogere load van data verkeer het totaal bij het einddoel voorkom je hierdoor.

tja tenzij je vanaf 1 uni met 1000 pc's en 10 Gbit router gaat dossen vanaf 100 pc's die daar binnen het netwerk staan ... dan wordt het wel lastig ... wat er dan gebeurd is dat het netwerk vast loopt als je het mij vraagt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: