Bug in DC++ misbruikt voor ddos-aanvallen

Kwaadwillenden maken steeds vaker misbruik van een bug in de p2p-serverapplicatie van DC++ om ddos-aanvallen uit te voeren. Doordat het ongewenste dataverkeer afkomstig is van honderdduizenden ip-adressen, is de klassieke blacklist-methode ineffectief.

DC++ hublistVolgens het beveiligingsbedrijf Prolexic Technologies zijn de afgelopen drie maanden zeker veertig bedrijven via deze methode aangevallen, waarbij de firewalls soms meer dan een gigabit aan ongewenst dataverkeer per seconde moesten verwerken. De internetaanvallen maken gebruik van een bug in DC++, dat het Direct Connect-protocol gebruikt. Oude versies van de serversoftware bevatten een bug, waardoor een aanvaller de aangesloten clients kan opdragen om informatie op te vragen bij een andere server. De clients worden zo massaal doorgestuurd naar de webserver van het slachtoffer, met het risico op uitval tot gevolg.

De fout is al bekend sinds 2005, toen de website Hublist.org - tot dan toe onderhouden door de ontwikkelaars van DC++ - diverse ddos-aanvallen te verwerken kreeg. De site is sindsdien niet meer toegankelijk. De aanvallers gingen door en vielen dcpp.net aan, de homepage van de ontwikkelaars. Het team moest noodgedwongen zijn site onderbrengen bij SourceForge. Door de effectiviteit van de ddos-aanvallen wordt de exploit in de p2p-servers sindsdien steeds vaker misbruikt. Bij de grootste aanvallen worden tot driehonderdduizend verschillende computers ingezet.

Hoewel de fout inmiddels uit de code van DC++ is gehaald, blijft het probleem voorlopig bestaan. Dit komt volgens Prolexic voornamelijk door de lakse houding van gebruikers, die hun software niet tijdig upgraden. Een bijkomende moeilijkheid is dat zelfs als alle gebruikers nieuwe versies van DC++ gaan draaien, het probleem nog niet is opgelost. Aanvallers kunnen zelf een hub openen en bezoekers met warez en porno proberen te verleiden om binnen te komen. Indien het aantal verbonden clients groot genoeg is, kan een ddos-aanval worden gestart.

Door Dimitri Reijerman

Redacteur

Feedback • 30-05-2007 12:27 44

30-05-2007 • 12:27

44

Bron: Security Focus

Lees meer

Grootste ddos-aanval van 2011 treft Aziatisch e-commerce-bedrijf
Grootste ddos-aanval van 2011 treft Aziatisch e-commerce-bedrijf Nieuws van 24 november 2011
Mobile-Review slachtoffer van ddos namens iPhone-fans
Mobile-Review slachtoffer van ddos namens iPhone-fans Nieuws van 14 augustus 2007
Spammers bestoken tegenstanders met ddos
Spammers bestoken tegenstanders met ddos Nieuws van 13 juni 2007
Estland beschuldigt Rusland van ddos-aanval
Estland beschuldigt Rusland van ddos-aanval Nieuws van 14 mei 2007
Secure64 claimt ddos-bestendige dns-server
Secure64 claimt ddos-bestendige dns-server Nieuws van 20 maart 2007
'Meeste computeraanvallen komen vanuit de VS'
'Meeste computeraanvallen komen vanuit de VS' Nieuws van 19 maart 2007
Icann verklaart falen ddos-aanval rootservers
Icann verklaart falen ddos-aanval rootservers Nieuws van 12 maart 2007
Zweden maakt dos-aanval strafbaar
Zweden maakt dos-aanval strafbaar Nieuws van 22 februari 2007
Verisign gaat fors in rootservers investeren
Verisign gaat fors in rootservers investeren Nieuws van 14 februari 2007
'Bommenwerpers optie bij cyberaanval op Amerika'
'Bommenwerpers optie bij cyberaanval op Amerika' Nieuws van 12 februari 2007
Rootservers weerstaan ddos-aanval
Rootservers weerstaan ddos-aanval Nieuws van 7 februari 2007
Internetpionier: 'kwart van alle computers onderdeel botnet'
Internetpionier: 'kwart van alle computers onderdeel botnet' Nieuws van 28 januari 2007
Botmaster grote internetaanval voor de rechter
Botmaster grote internetaanval voor de rechter Nieuws van 26 oktober 2006
DCC-exploit laat mIRC crashen - Update
DCC-exploit laat mIRC crashen - Update Nieuws van 13 oktober 2003
Meer producten en artikelen
Bedrijfsnieuws

Reacties (44)

-Moderatie-faq
44
42
8
0
0
28
Wijzig sortering
TERW_DAN 30 mei 2007 12:44
Dit komt volgens Prolexic voornamelijk door de lakse houding van gebruikers, die hun software niet tijdig upgraden
Dat ligt niet aan de laksheid van de gebruikers, meer aan het feit dat er na versie 0.674 geen versie meer is geweest die beter werkte (en dan met name veel bugs mbt connecten en filelists opvragen). Dus logisch dat vrijwel iedereen een versie gebruikt die al maanden oud is (als het al niet meer dan een jaar is inmiddels).
plakbandrol @TERW_DAN30 mei 2007 13:43
plus dat veel mensen revconnect gebruiken, en die is nog steeds gebaseerd op 0.674p.
Anoniem: 186189 @TERW_DAN30 mei 2007 15:05
Het ook omdat je bij de nieuwe versie al je files die je shared moet hashen, duurt een hele dag als je schijf wat goed gevuld staat :P
flipjevandejam 30 mei 2007 12:32
Lekker programma dat DC++ als het zo makkelijk te misbruiken is, notabene client en serverversie!
Dutch2007 30 mei 2007 12:40
ach zo erg is het programma niet, het is gewoon dat de bug er in ZAT, en als de kwaadwilligen gewoon een eigen hub starten met de oude versie, dan kan het dus nog steeds ;)
Sibylle 30 mei 2007 12:41
mjah, zelf een hub openen en een effectieve ddos aanval uitvoeren is toch wel moeilijk.
Dan meot je al een tienduizenden mensen hebben in je HUBs, dat is moeilijk te doen.....

Maar dan nog blijft het een gevaar inherent aan de methode van filesharing.
WyriHaximus 30 mei 2007 13:21
Volgens mij is ongeveer het zelfde met ED2K en ook wel met Torrents wel te doen. Alleen gaat het wat langzamer :P. En waarschijnlijk minder effectief maar het is te doen lijkt mij ...

Met ED2K kan je server lijsten importeren en je leert ook nieuwe servers als je met een server connect. Als je dan zorgt dat de te DDOSen server op die manier word versprreid en iedereen er verbinding mee probeert te laten maken kom je ook al een aardig eindje.

Met Torrents pak je een heel populair iets wat iedereen op dat moment wil hebben (een film of de nieuwste windows ofzo) en richt de tracker URL op de server die je wilt DDOSen.

(Dit is trouwens een simpele brainstorm na het article, kan er totaal naast zitten.)
lzandman 30 mei 2007 13:05
Ik dacht dat DC++ al lang niet meer gebruikt werd... Iedereen gebruikt toch torrents?
Anoniem: 55563 @lzandman30 mei 2007 13:11
Dat ligt er maar net aan. Studenten gebruiken nog massaal DC++ via Surfnet. Met bittorrent is het mij in ieder geval nog nooit gelukt om met 12 megabyte per seconde een dvd'tje binnen te halen. ;)
Olaf van der Spek @Anoniem: 5556330 mei 2007 13:15
Nee, BT is nog niet geoptimaliseerd voor echt hoge snelheden.
Lightning502 @Olaf van der Spek30 mei 2007 13:53
hangt erg af van de site die je gebruikt... goede sites haal je makkelijk 11MB/s
RvWensen @lzandman30 mei 2007 13:11
:+ kom op zeg nieuwgroepen is sneller
maar zijn p2p programma's niet al lang achterhaalt ?
RuudBurger @lzandman30 mei 2007 13:16
Als je bekende dingen wilt downloaden zoals Lost of Prison Break. Of andere wat oudere films, dan is DC++ echt veel en veel sneller.
Als ik een film download haal ik hierbij makkelijker 1.40MB/s en kan ik de film na ongeveer 30min al kijken. Dat moet ik met torrents echt niet proberen (tenzij je af en toe geluk hebt).
Anoniem: 169289 @RuudBurger30 mei 2007 13:29
Tenzij je goede (private) torrent sites kent. Ikzelf download altijd zo goed als alles op de volledige snelheid van mijn verbinding. (1MB/s)
sjaakaq @Anoniem: 16928930 mei 2007 13:33
Tja...met bittorrent ben ik nog nooit op 10mb/s gekomen...

Theoretisch kunnen ze even snel zijn, maar DC is in de praktijk (met de goede HUB) toch echt sneller :)
Sibylle @Anoniem: 16928930 mei 2007 14:15
http://www.student.tue.nl/R/r.t.huijgen/SnelsteDownload.JPG

correct, DC++ op TU met netwerkkabel is gewoon niet te vergelijken met torrents.
Daar staat weer tegenover dat het aanbod niet zo groot is.
RuddyMysterious @Anoniem: 16928930 mei 2007 15:03
@ sibylle

Wat ben je met die snelheid als de persoon in kwestie een brolrip aan het downloaden is? Ik zal wel zoeken naar echte releases die tenminste enige kwaliteit garanderen.
Sibylle @Anoniem: 16928930 mei 2007 15:27
tgaat ook niet om de kwaliteit...
Er zijn zat Surfnet hubs die DVDtjes aanbieden.
Users die zo'n TB aan dvd hebben liggen (4,7GB of 8GB) zijn er genoeg. Dus de kwaliteit is er zeker.

t gaat om de snelheid, 20MB/s heb ik gewoon nog nooit benaderd met torrents/news.
RuddyMysterious @Anoniem: 16928930 mei 2007 17:05
Dat is waar, maar niet iedereen (dat zeg ik als belg) heeft toegang tot zo'n elite netwerkjes.

Torrent gebruik ik vooral als ik zomaar iets nodig heb. Het meeste kans dat ik dat daar vind. Wat hier ook in is het downloaden via rapidshare, maar dat kost geld en dat moet je dan op school doen om er geen traffiek voor aangerekend te krijgen.

Voor de rest: tja. Ik zal waarschijnlijk niet de juiste connecties (pun intended) hebben.
Victorius737 @Anoniem: 16928930 mei 2007 17:46
ik was vroeger dc++ user toen ik nog downloade , eeh en dan haal je neppe files binnen met 20mb/s of 6mb/s . dus dat was meestal niet zo nuttig.
AlterMann @Anoniem: 16928930 mei 2007 18:30
Juist... 20MiB/s... en wat zien we onderin? 126.48 KiB/s..
jkommeren @Anoniem: 16928930 mei 2007 18:37
Alle tu's samen hebben een surfnethub, waar je alleen opkan als je op het netwerk zit.
Afhankelijk van de locatie waar je zit (sommige gebouwen hebben 10mbit/s, anderen 100) haal je met een beetje geluk je max snelheid er gewoon uit.

Gewoon even bij het computerhok langslopen om te vragen naar het emailadres waar je een acc aan kunt maken ;)
darkadon 30 mei 2007 13:26
Er zitten een paar fouten in het artikel, De userlisten staan niet op de servers, Hublist.org is offline gehaald door een "kleine" normale ddos via een redelijk grote Roemeense provider. En de fout zit alleen in ptokax (server side software) en niet dc++(client) en ook niet in Ynhub(server side software) Ptokax is een programma wat al jaren niet geupdate word, Word eens tijd dat iedereen overstapt op Ynhub dan ;)
Leroy @darkadon30 mei 2007 13:46
"12 May 2007 - PtokaX 0.3.6.0 released."
"1 November 2006 - PtokaX 0.3.5.2 released."

jaren niet geupdate.... ;)

bron: ptokax.org
Kuhlie @darkadon30 mei 2007 13:40
Klinkt allemaal interessant, maar heb je ook bronnen?
darkadon 30 mei 2007 13:47
jah kuhlie, ik zat zelf ook in dc tot een half jaar trug, heb een jaar ofzo op de top gestaan op hublist.org en houd nog steeds het wereld record van 18.043 personen in 1 hub. Ken die mensen allemaal en meeste mensen weten ook wie wat heeft gedaan :) Heeft ook iemand een nachtje voor in de cel gezeten etc.
darkadon @darkadon30 mei 2007 13:48
nice maar zoals je in me post hierboven leest ben er al half jaartje uit, toen hadden ze al jaren niet geupdate :)
Klont 30 mei 2007 14:01
Om welke versies van DC++ of DC hubs gaat het nou?? Als de bug al gefixt is in huidige versies hoor ik graag welke er nog kwetsbaar zijn.
Anoniem: 191509 30 mei 2007 14:17
Alleen in de allernieuwste versie is de bug dus weg :P

ps. Als je op niet publieke trackers (maar dus communitie trackers) download, gaan de torrents een stuk sneller O+ zowiezo omdat iedereen een ratio van 1:1 moet hebben plus dat daar meestal posters zitten met een 100Mbit upload.
Klont @Anoniem: 19150930 mei 2007 14:45
De nieuwste DC++ is van december 2006. :?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq