Kommentare zu diesem Thema verkneif ich mir einfach mal....
Acht Jahre, nachdem der LAND-Angriff zum ersten Mal aufgetaucht ist, ist der Microsoft-Windows-TCP/IP-Stack wieder angreifbar für diese historische Denial-of-Service-Attacke. Diesmal ist Windows XP mit installiertem Service-Pack 2 und Windows 2003 betroffen, so der serbische Security Engineer Dejan Levaja auf Bugtraq. Die Quell-IP sowie der Quell-Port ist bei einem LAND-Paket gleich der Ziel-IP/-Port. Außerdem ist das SYN-Flag gesetzt, was den Anschein vermittelt, als würde der Rechner die Pakete an sich selbst senden. Während er versucht zu antworten, ist der Rechner einige Zeit mit sich selbst beschäftigt und verbraucht bei einem erfolgreichen Angriff sämtliche CPU-Ressourcen des Systems. Ausnahmen sind Multi-Prozessor- oder Hyperthreading-Systeme, wo die Last nur für einen Prozessor ansteigt, so das Internet Storm Center (ISC).
Ein Ausnutzen der Lücke ist selbst für Nichtprofis sehr leicht, deshalb poste ich die volle Beschreibung nicht mit. Es sei jedoch gesagt das auch Webserver die mit Windows laufen anfällig für die Attacke sind und sehr leichte Ziele abgeben, da dem Angreifer ein Port bekannt sein muss. Dieser ist bei Webservern ja nur zu gut bekannt...
[Windows Security]: Neuer LandAngriff für Windows XP!
-
Damage-Inc.
- Corporal
- Beiträge: 89
- Registriert: Mo 28 Feb, 2005 21:07
ddos ist die eine sache. hier ist das ganze ein viel profaneres Problem:
Die Pakete die a schickt werden mit der Absenderaddresse von b versehen. B ist aber auch der Empfänger. Das System ist also dumm genug sich selbst so zuzumüllen das es nichts mehr macht..
Gegen DDOS macht kein Betriebssystem irgendwas. DDOS-Attacken kann man nur aussitzen
Die Pakete die a schickt werden mit der Absenderaddresse von b versehen. B ist aber auch der Empfänger. Das System ist also dumm genug sich selbst so zuzumüllen das es nichts mehr macht..
Gegen DDOS macht kein Betriebssystem irgendwas. DDOS-Attacken kann man nur aussitzen
-
Damage-Inc.
- Corporal
- Beiträge: 89
- Registriert: Mo 28 Feb, 2005 21:07
)-
Damage-Inc.
- Corporal
- Beiträge: 89
- Registriert: Mo 28 Feb, 2005 21:07
jung..ich weiß wasn ddos is un die hintergründe kenn ich auch... das system ausser betrieb setzen... ich weiß auch wie ma ne ddos macht... naja... erstma aufn paar andre systeme trojaner machen damit ma von verschidenen system aus auf das ziel die attacke starten kann...un dann dem ziel so viele pakete schicken dasses nich mehr drauf reagiern kann un so verreckt..oder habbich da was falsch verstanden? dafür gibts für jeden sript kiddie schon programme für... ma kanna uch so viele ping anfragen schicken dass sichi n system dran aufhängt... gibts auch proggs für..dann gäbs z.b. noch nuken und und und..naja..
-
Damage-Inc.
- Corporal
- Beiträge: 89
- Registriert: Mo 28 Feb, 2005 21:07
von soher hast du ja schon recht, allerdings gibt es da leider einige kleine Probleme:
1. Firewalls filtern einzelne TCP/IP Pakete auf Basis bestimmter Regeln, zum Beispiel (beispiel Linux iptables Firewall):
WENN ein Paket von QUELLADDRESSE kommt MIT ZIELPORT webserver DANN durchlassen
(iptables -A INPUT -s QUELLADRESSE -p tcp --dport 80 -j ACCEPT)
Also hast du jetzt einen Webserver. So weit so gut. Du kannst ihn natürlich so einstellen das er Pakete an Port 80 (http) verwirft.
Leider ist deine Seite jedoch nicht nur für die Bösen DDOSler, sondern auch für reguläre Benutzer nicht mehr erreichtbar.
Ausserdem ob mit Firewall oder ohne werden zu viele Anfragen generiert, um noch antworten zu können.
Bei einem PC mit normalem TCP/IP-Stack können maximal 65535 verbindungen gleichzeitig geöffnet sein. Dies gilt im allgemeinen für Unix-Artige Betriebssysteme (bei denen kannst du das einstellen), bei Windows ist die Anzahl irgendwo in der Registry beschränkt.
Das bedeutet das du nur maximal 65535 gleichzeitige echte Netzwerkverbindungen handeln kannst. Deshalb werden grosse Seiten sehr oft geclustert.
Also kann man, egal ob die Pakete ankommen oder nicht einen PC mit Anfragen so lange bombardieren bis ihn die Ports zum Antworten ausgehen...
Bei einem FTP-Server beispielsweise kann man von seinem Botnet aus allen Clients den Befehl open ftp.blablabla.de geben. Was die Clients danach machen ist wurst, sagen wir die ziehen alle gleicheitig eine grosse Datei runter. Und schon hast du eine einfache DDOS-Attacke.
Und eine Firewall hilft dir da garnicht.
Ausserdem basieren die Filter der meisten Router auf Connectiontracking. Das bedeutet das nur das erste Paket einer Verbindung überprüft wird. Ist dieses OK wird die Verbindung aufrechterhalten, wenn nicht wird sie verworfen...
Deshalb kann man bei solchen "Firewalls" immernoch sogenannte HalbOffene TCP-Scans ausführen und bekommt im Regelfall auch die aktuelle Portsliste angezeigt.....
Du siehst also das eine Firewall längst nicht alles ist und gegen DDOS schon gar nicht das Nonplusultra
Nachtrag
Ja du hast recht, manche Firewalls (zum Beispiel Checkpoint Firewall 1) finden solche Attacken und versuchen selbständig Präventivmaßnahmen zu ergreifen. Trotzdem kommt das Paket an der Firewall an und wird erst dort verworfen, also entsteht auch hier Traffic...
1. Firewalls filtern einzelne TCP/IP Pakete auf Basis bestimmter Regeln, zum Beispiel (beispiel Linux iptables Firewall):
WENN ein Paket von QUELLADDRESSE kommt MIT ZIELPORT webserver DANN durchlassen
(iptables -A INPUT -s QUELLADRESSE -p tcp --dport 80 -j ACCEPT)
Also hast du jetzt einen Webserver. So weit so gut. Du kannst ihn natürlich so einstellen das er Pakete an Port 80 (http) verwirft.
Leider ist deine Seite jedoch nicht nur für die Bösen DDOSler, sondern auch für reguläre Benutzer nicht mehr erreichtbar.
Ausserdem ob mit Firewall oder ohne werden zu viele Anfragen generiert, um noch antworten zu können.
Bei einem PC mit normalem TCP/IP-Stack können maximal 65535 verbindungen gleichzeitig geöffnet sein. Dies gilt im allgemeinen für Unix-Artige Betriebssysteme (bei denen kannst du das einstellen), bei Windows ist die Anzahl irgendwo in der Registry beschränkt.
Das bedeutet das du nur maximal 65535 gleichzeitige echte Netzwerkverbindungen handeln kannst. Deshalb werden grosse Seiten sehr oft geclustert.
Also kann man, egal ob die Pakete ankommen oder nicht einen PC mit Anfragen so lange bombardieren bis ihn die Ports zum Antworten ausgehen...
Bei einem FTP-Server beispielsweise kann man von seinem Botnet aus allen Clients den Befehl open ftp.blablabla.de geben. Was die Clients danach machen ist wurst, sagen wir die ziehen alle gleicheitig eine grosse Datei runter. Und schon hast du eine einfache DDOS-Attacke.
Und eine Firewall hilft dir da garnicht.
Ausserdem basieren die Filter der meisten Router auf Connectiontracking. Das bedeutet das nur das erste Paket einer Verbindung überprüft wird. Ist dieses OK wird die Verbindung aufrechterhalten, wenn nicht wird sie verworfen...
Deshalb kann man bei solchen "Firewalls" immernoch sogenannte HalbOffene TCP-Scans ausführen und bekommt im Regelfall auch die aktuelle Portsliste angezeigt.....
Du siehst also das eine Firewall längst nicht alles ist und gegen DDOS schon gar nicht das Nonplusultra
Nachtrag
Ja du hast recht, manche Firewalls (zum Beispiel Checkpoint Firewall 1) finden solche Attacken und versuchen selbständig Präventivmaßnahmen zu ergreifen. Trotzdem kommt das Paket an der Firewall an und wird erst dort verworfen, also entsteht auch hier Traffic...
-
Damage-Inc.
- Corporal
- Beiträge: 89
- Registriert: Mo 28 Feb, 2005 21:07