[HaBo]

ivegotmail · 18.03.06, 12:45

Zitat:

VeriSign berichtet über eine neue Art der DDoS Attacke. Bei der bisher bekannten Methode wird das Ziel mit Hilfe von mehreren Rechnern mit Anfragen bombardiert. In der Regel geschieht das über Botnetzwerke bzw. mittels Trojaner ferngesteuerter Rechner. Diese Methode ist allerdings jetzt obsolet geworden, seit Dezember 2005 wird die neue DDoS Methode immer häufiger eingesetzt.

Bei der neuen Denial of Service Methode handelt es sich um Massenanfragen bei DNS-Servern die normalerweise zum Auflösen von Domainnamen verwendet werden. Bei der Attacke werden manipulierte Pakete an die Domain Name Server geschickt und als Absenderadresse das Ziel angegeben. Dadurch überfluten die DNS-Server das Opfer mit Antworten auf die vermeindlichen Anfragen und tauchen somit als Angreifer in den Logfiles auf. Das Hauptproblem ist aber, dass man (meistens) die DNS Server benötigt um einen Server zu betreiben und damit nicht einfach auf die Blacklist gesetzt werden können!
Eigentlich verwunderlich, dass nicht schon vorher jemand auf diese Idee gekommen ist.

quelle: http://www.anty.at/archives/neue-den...annt-geworden/

http://news.zdnet.com/2100-1009_22-6050688.html

meadow · 18.03.06, 12:51

ne mischung aus spoofing und DoS - schlichtweg genial, aber irgendwie simpel von der logik her.

Anzeige

- Anzeige -

TeeKayo2 · 20.03.06, 13:53

Was ist daran Genial ^^?

Is ne nette Idee aber gewiss nicht neu oder?!
Zumindest sind es 2 lange bekannte grundsätze die einfach kombiniert wurden.

Das so als ob ich ne Bratpfanne mit uhr in der mitte "erfinde" ^^
Trotzdem ist IP-Sppofing ja äußert interessant man kann ja viele ähnliche Attacken auf der Grundlage basierend starten.

MfG,

TK

**Elderan** · 20.03.06, 16:31

Hallo,
das Problem an IP-Spoofing ist, dass es relativ schwer ist. Ohne direkten Internet-Anschluss (also keine T-Online Flat) ist da so weit ich weiß, nichts zu machen.

20.03.06, 17:10

Zitat:

das Problem an IP-Spoofing ist.....

Ich bau mir mit raw sockets "eigene" Packets. Verbiete dem Kern da reinzuschreiben.
Aendere im IP Header die Absenderadresse. Setze meine Flags (viele machen natuerlich keinen Sinn) und schicke das gespoofte Paeckchen los.

Diese einfache Form ist mehr als simpel- im uebrigen gibts da schon ne Menge schoener Programme fuer (packet crafting).

mfg

20.03.06, 17:42

Ein sehr schönes Tool um eigene Pakete über Raw Sockets zu verschicken ist Scapy (http://www.secdev.org/projects/scapy/). Bei nicht verbindungsorientierten Protokollen wie UDP ist das ganze so einfach wie Gulliver bereits gesagt hat, jedoch bei verbindungsorientierten Protokollen wie TCP wirds komplizierter. Im lokalen LAN wo du mithilfe von Sniffing die Sequenznummern kennst ist das auch noch sehr simpel jedoch das ganze ohne Kenntnis der Sequenznummern (Blind Spoofing) zu machen ist imho alles andere als einfach.
@ Elderan
Was das ganze jedoch mit einem "direkten Internetanschluss" zu tun hat verstehe ich nicht.

**Elderan** · 20.03.06, 18:41

Hallo,

Also wenn ich (192.168.) ein TCP Paket an 123.123.123.123 sende, dann wird das zuerst an meinen Standard-Gateway (mein Router) gesendet (da nicht in meinem Netz). Dieser konvertiert den Ethernet-Frame in ein PPP-Packet (etc.), hauptsächlich steigt man in dem Schritt von MAC nach IP um, und sendet das dann an seinen Standard-Gateway, der Router bei meinem Internet-Provider.

Ich weiß nicht genau welcher Router, aber einer ersetzt in dem Packet meine lokale IP (192.16

dann durch die Absender IP: 111.111.111.111 (die IP dich ich im Internet habe).
Wenn dies mein eigener Router ist, dann könnte ich dies ja manipulieren, aber ein fremder (der von meinem ISP)?

Und wenn ich im IP Packet einfach die Absender IP ändere, sollte es meinem/Provider Router nicht auffallen, dass das Packet nicht aus meinem Netz ist? Wie weit sind solche Filter verbreitet.

20.03.06, 20:24

Ok hab nun verstanden was du meintest das mit der T-Online Flatrate hat mich ein wenig verwirrt

An deinem lokalem Router wird mit Hilfe von NAT (http://www.ietf.org/rfc/rfc3022.txt) deine lokale LAN IP (192.168.x.x) durch die öffentliche ersetzt (111.111.111.111), dh. der Router von deinem Provider sieht deine lokale IP sowie deine lokale MAC schon nicht mehr. Deine MAC und deine lokale IP speichert dein Router im ARP Cache mit dessen Hilfe und mit Hilfe des NAT kann der Router die Pakete dir wieder zuordnen. (hier ergibt sich auch wieder die Möglichkeit des IP Spoofings mit Hilfe von ARP Cache Poisoning, jedoch nur im LAN)

Zitat:

Und wenn ich im IP Packet einfach die Absender IP ändere, sollte es meinem/Provider Router nicht auffallen, dass das Packet nicht aus meinem Netz ist? Wie weit sind solche Filter verbreitet.

Der Punkt ist interessant, ich wähle mich Call by Call über ISDN ein (viele Provider) und es mir bereits gelungen mit Hilfe von Scapy eine gespoofte TCP-Verbindung zu meinem Rootserver aufzubauen (Die Sequenznummern habe ich mit tcpdump auf dem Server gesnifft und per Hand in die Paketheader eingetragen).
Wäre interessant wenn jemand weiterführende Infos zum Thema Schutz vor IP-Spoofing bzw der Umsetzung durch die verschiedenen Provider hat, google hat mir bisher nur allgemeine Infos geliefert.

Prometheus · 24.03.06, 09:42

Da werden sich die Kiddies aber freuen.

TeeKayo2 · 20.04.06, 07:38

Hi,

Wenn du weisst wie das TCP/IP Protokoll aufgebaut ist (Grundlage zum IP-spoofing) und du dir auch noch deine eigenen RawSocks in c programmierst, nennst du das Scriptkiddie?!

Ich seh das etwas anders.

mfG,

TK

Prometheus · 20.04.06, 14:46

Zitat:

Original von TeeKayo2
Hi,

Wenn du weisst wie das TCP/IP Protokoll aufgebaut ist (Grundlage zum IP-spoofing) und du dir auch noch deine eigenen RawSocks in c programmierst, nennst du das Scriptkiddie?!

Ich seh das etwas anders.

mfG,

TK

Die brauchen doch das nicht unbedingt zu wissen. Irgendwann kommt eine Software raus (oder ist vielleicht schon), die das ganze für sie übernimmt und dann ist diese DDOS-Variante für solche Kids nur ein Kinderspiel.

TeeKayo2 · 20.04.06, 18:06

Also ich bin über soetwass noch nicht gestolpert *leiier* könnte man sicher viel adraus lernen (Ausm Code mein ich

)

Aber warum sollten sie sich so der DDOS bedienen wenns doch ihren Trojaner fleißig wo anders installieren können und so ne DDOS starten (wobei ich ein Botnetz von nem SK niemals erwarte)

Naja...

So schlimm würds auch nicht werden wenn solch ein tool rauskäme, es bedinen sich halt nicht alle daran.
Ich mein ein Kind kann auch ne Waffe besitzen und damit umsich schießen, aber es machen die wenigsten

was laber ich eigentlich fürn scheiß

MfG,

Tk

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HaboDown - Denial of Service	CDW	Hacks & Crackmes	7	02.04.09 18:21
"Neue" Phishing-Methode	0wnZ	News & Ankündigungen	0	03.01.07 15:37
Kerio Personal Firewall 2.x.x Denial of Service Vulnerability	STeFaN	News & Ankündigungen	1	27.08.02 08:41

18.03.06, 12:51	#2 (permalink)
meadow Registriert seit: 26.11.05 Likes: 0	ne mischung aus spoofing und DoS - schlichtweg genial, aber irgendwie simpel von der logik her.

20.03.06, 13:53	#3 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Was ist daran Genial ^^? Is ne nette Idee aber gewiss nicht neu oder?! Zumindest sind es 2 lange bekannte grundsätze die einfach kombiniert wurden. Das so als ob ich ne Bratpfanne mit uhr in der mitte "erfinde" ^^ Trotzdem ist IP-Sppofing ja äußert interessant man kann ja viele ähnliche Attacken auf der Grundlage basierend starten. MfG, TK

20.03.06, 16:31	#4 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, das Problem an IP-Spoofing ist, dass es relativ schwer ist. Ohne direkten Internet-Anschluss (also keine T-Online Flat) ist da so weit ich weiß, nichts zu machen.

20.03.06, 17:42	#6 (permalink)
cr Guest Likes:	Ein sehr schönes Tool um eigene Pakete über Raw Sockets zu verschicken ist Scapy (http://www.secdev.org/projects/scapy/). Bei nicht verbindungsorientierten Protokollen wie UDP ist das ganze so einfach wie Gulliver bereits gesagt hat, jedoch bei verbindungsorientierten Protokollen wie TCP wirds komplizierter. Im lokalen LAN wo du mithilfe von Sniffing die Sequenznummern kennst ist das auch noch sehr simpel jedoch das ganze ohne Kenntnis der Sequenznummern (Blind Spoofing) zu machen ist imho alles andere als einfach. @ Elderan Was das ganze jedoch mit einem "direkten Internetanschluss" zu tun hat verstehe ich nicht.

20.03.06, 18:41	#7 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, Also wenn ich (192.168.) ein TCP Paket an 123.123.123.123 sende, dann wird das zuerst an meinen Standard-Gateway (mein Router) gesendet (da nicht in meinem Netz). Dieser konvertiert den Ethernet-Frame in ein PPP-Packet (etc.), hauptsächlich steigt man in dem Schritt von MAC nach IP um, und sendet das dann an seinen Standard-Gateway, der Router bei meinem Internet-Provider. Ich weiß nicht genau welcher Router, aber einer ersetzt in dem Packet meine lokale IP (192.16 dann durch die Absender IP: 111.111.111.111 (die IP dich ich im Internet habe). Wenn dies mein eigener Router ist, dann könnte ich dies ja manipulieren, aber ein fremder (der von meinem ISP)? Und wenn ich im IP Packet einfach die Absender IP ändere, sollte es meinem/Provider Router nicht auffallen, dass das Packet nicht aus meinem Netz ist? Wie weit sind solche Filter verbreitet.

24.03.06, 09:42	#9 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Da werden sich die Kiddies aber freuen.

20.04.06, 07:38	#10 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Hi, Wenn du weisst wie das TCP/IP Protokoll aufgebaut ist (Grundlage zum IP-spoofing) und du dir auch noch deine eigenen RawSocks in c programmierst, nennst du das Scriptkiddie?! Ich seh das etwas anders. mfG, TK

20.04.06, 18:06	#12 (permalink)
TeeKayo2 Registriert seit: 12.10.05 Likes: 0	Also ich bin über soetwass noch nicht gestolpert leiier könnte man sicher viel adraus lernen (Ausm Code mein ich ) Aber warum sollten sie sich so der DDOS bedienen wenns doch ihren Trojaner fleißig wo anders installieren können und so ne DDOS starten (wobei ich ein Botnetz von nem SK niemals erwarte) Naja... So schlimm würds auch nicht werden wenn solch ein tool rauskäme, es bedinen sich halt nicht alle daran. Ich mein ein Kind kann auch ne Waffe besitzen und damit umsich schießen, aber es machen die wenigsten was laber ich eigentlich fürn scheiß MfG, Tk

[HaBo]

Neue Denial of Service Methode bekannt geworden