Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: Security Focus

Kwaadwillenden maken steeds vaker misbruik van een bug in de p2p-serverapplicatie van DC++ om ddos-aanvallen uit te voeren. Doordat het ongewenste dataverkeer afkomstig is van honderdduizenden ip-adressen, is de klassieke blacklist-methode ineffectief.

DC++ hublistVolgens het beveiligingsbedrijf Prolexic Technologies zijn de afgelopen drie maanden zeker veertig bedrijven via deze methode aangevallen, waarbij de firewalls soms meer dan een gigabit aan ongewenst dataverkeer per seconde moesten verwerken. De internetaanvallen maken gebruik van een bug in DC++, dat het Direct Connect-protocol gebruikt. Oude versies van de serversoftware bevatten een bug, waardoor een aanvaller de aangesloten clients kan opdragen om informatie op te vragen bij een andere server. De clients worden zo massaal doorgestuurd naar de webserver van het slachtoffer, met het risico op uitval tot gevolg.

De fout is al bekend sinds 2005, toen de website Hublist.org - tot dan toe onderhouden door de ontwikkelaars van DC++ - diverse ddos-aanvallen te verwerken kreeg. De site is sindsdien niet meer toegankelijk. De aanvallers gingen door en vielen dcpp.net aan, de homepage van de ontwikkelaars. Het team moest noodgedwongen zijn site onderbrengen bij SourceForge. Door de effectiviteit van de ddos-aanvallen wordt de exploit in de p2p-servers sindsdien steeds vaker misbruikt. Bij de grootste aanvallen worden tot driehonderdduizend verschillende computers ingezet.

Hoewel de fout inmiddels uit de code van DC++ is gehaald, blijft het probleem voorlopig bestaan. Dit komt volgens Prolexic voornamelijk door de lakse houding van gebruikers, die hun software niet tijdig upgraden. Een bijkomende moeilijkheid is dat zelfs als alle gebruikers nieuwe versies van DC++ gaan draaien, het probleem nog niet is opgelost. Aanvallers kunnen zelf een hub openen en bezoekers met warez en porno proberen te verleiden om binnen te komen. Indien het aantal verbonden clients groot genoeg is, kan een ddos-aanval worden gestart.

Moderatie-faq Wijzig weergave

Reacties (44)

Ik ben niet echt into de DC++ scene maar kunnen de hub admins niet verhinderen dat mensen connecten met een oude versie? (zo dwingen ze dus dat mensen upgraden.)

Natuurlijk zal niet iedere hub dit doen maar de beetje goed bijgehouden hubs toch wel?
Veel hubs laten je niet toe met een nieuwe client, omdat deze teveel bugs geeft. De hubs waar ik op kom, laten vaak geen andere versies van 0.674 gezien de bugs die erin zitten.
Probeer dan eens FullDC++ werkt imho beter dan de dc++ 0.674 ( maar hangt ook af wat de OP hier voor restricties aanhangt )
FulDC++ kom je de surfnet hubs niet mee in, dus dat houdt op :P
Dat kan idd met ynhub (waarschijnlijk ook met anderen maar heb daar geen ervaring mee ) wij blokken bv de 0.401 ( bugs en hash exploits fake etc )
Dit komt volgens Prolexic voornamelijk door de lakse houding van gebruikers, die hun software niet tijdig upgraden
Dat ligt niet aan de laksheid van de gebruikers, meer aan het feit dat er na versie 0.674 geen versie meer is geweest die beter werkte (en dan met name veel bugs mbt connecten en filelists opvragen). Dus logisch dat vrijwel iedereen een versie gebruikt die al maanden oud is (als het al niet meer dan een jaar is inmiddels).
plus dat veel mensen revconnect gebruiken, en die is nog steeds gebaseerd op 0.674p.
Het ook omdat je bij de nieuwe versie al je files die je shared moet hashen, duurt een hele dag als je schijf wat goed gevuld staat :P
waarom dc++? simpel.. je kunt lekker makelijk een hub aanbieden op een lan en zo sharen. Wel gebruik ik het liefste een versie zonder de hash functie omdat deze zeeeeeeeeer vertragend werkt op een lanparty. het probleem is dat je dan (of ik ben mis) vaak uitkomt op een oude versie..met alle bugs die daar bij horen.
Klopt enigsinds. Je komt dan idd uit op een oudere versie, maar de exploits kunnen niet worden gebruikt omdat er geen internet connectie is
Je kan wel de intranet site plat leggen :P
Dan mag je een flinke LANparty organiseren om aan die 300.000 computers te komen :P
Er zitten een paar fouten in het artikel, De userlisten staan niet op de servers, Hublist.org is offline gehaald door een "kleine" normale ddos via een redelijk grote Roemeense provider. En de fout zit alleen in ptokax (server side software) en niet dc++(client) en ook niet in Ynhub(server side software) Ptokax is een programma wat al jaren niet geupdate word, Word eens tijd dat iedereen overstapt op Ynhub dan ;)
"12 May 2007 - PtokaX 0.3.6.0 released."
"1 November 2006 - PtokaX 0.3.5.2 released."

jaren niet geupdate.... ;)

bron: ptokax.org
Klinkt allemaal interessant, maar heb je ook bronnen?
jah kuhlie, ik zat zelf ook in dc tot een half jaar trug, heb een jaar ofzo op de top gestaan op hublist.org en houd nog steeds het wereld record van 18.043 personen in 1 hub. Ken die mensen allemaal en meeste mensen weten ook wie wat heeft gedaan :) Heeft ook iemand een nachtje voor in de cel gezeten etc.
nice maar zoals je in me post hierboven leest ben er al half jaartje uit, toen hadden ze al jaren niet geupdate :)
Alleen in de allernieuwste versie is de bug dus weg :P

ps. Als je op niet publieke trackers (maar dus communitie trackers) download, gaan de torrents een stuk sneller O+ zowiezo omdat iedereen een ratio van 1:1 moet hebben plus dat daar meestal posters zitten met een 100Mbit upload.
De nieuwste DC++ is van december 2006. :?
Lekker programma dat DC++ als het zo makkelijk te misbruiken is, notabene client en serverversie!
ach zo erg is het programma niet, het is gewoon dat de bug er in ZAT, en als de kwaadwilligen gewoon een eigen hub starten met de oude versie, dan kan het dus nog steeds ;)
mjah, zelf een hub openen en een effectieve ddos aanval uitvoeren is toch wel moeilijk.
Dan meot je al een tienduizenden mensen hebben in je HUBs, dat is moeilijk te doen.....

Maar dan nog blijft het een gevaar inherent aan de methode van filesharing.
Volgens mij is ongeveer het zelfde met ED2K en ook wel met Torrents wel te doen. Alleen gaat het wat langzamer :P. En waarschijnlijk minder effectief maar het is te doen lijkt mij ...

Met ED2K kan je server lijsten importeren en je leert ook nieuwe servers als je met een server connect. Als je dan zorgt dat de te DDOSen server op die manier word versprreid en iedereen er verbinding mee probeert te laten maken kom je ook al een aardig eindje.

Met Torrents pak je een heel populair iets wat iedereen op dat moment wil hebben (een film of de nieuwste windows ofzo) en richt de tracker URL op de server die je wilt DDOSen.

(Dit is trouwens een simpele brainstorm na het article, kan er totaal naast zitten.)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True