---

I lyset af det senste virus angreb på Internettet, hvor M$ web-servere
blev inficeret, så de påførte intetanende besøgne/surfere en virus, så
kunne det måske være er "fræk" idé, hvis der blev lavet et logo, som
kunne fortælle surferne, at de besøger et web-site, der bliver servet
fra en Mac, og at de derfor ikke risikerer at få en virus.

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> I lyset af det senste virus angreb på Internettet, hvor M$ web-servere
> blev inficeret, så de påførte intetanende besøgne/surfere en virus, så
> kunne det måske være er "fræk" idé, hvis der blev lavet et logo, som
> kunne fortælle surferne, at de besøger et web-site, der bliver servet
> fra en Mac, og at de derfor ikke risikerer at få en virus.

Du kan bare nøjes med at fortælle dem at det er en Windows og IIS fri
site. Windows servere der kører Apache bliver heller ikke berørt af
ormene der er i omløb. Til gengæld er der jo så mange andre
sikkerhedshuller i Windows der gør at serverne kan hackes.

Forresten: Du bør gøre noget ved din manglende pingusynlighed på
195.41.114.20 (WWW.niels-ebbesen.net), det gør din server yderst
anvendelig ved smurf og fraggle angreb.
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Jesper <triton@titancity.com> wrote:

> Niels Ebbesen <info@niels-ebbesen.net> wrote:
>
> > I lyset af det senste virus angreb på Internettet, hvor M$ web-servere
> > blev inficeret, så de påførte intetanende besøgne/surfere en virus, så
> > kunne det måske være er "fræk" idé, hvis der blev lavet et logo, som
> > kunne fortælle surferne, at de besøger et web-site, der bliver servet
> > fra en Mac, og at de derfor ikke risikerer at få en virus.
>
> Du kan bare nøjes med at fortælle dem at det er en Windows og IIS fri
> site. Windows servere der kører Apache bliver heller ikke berørt af
> ormene der er i omløb. Til gengæld er der jo så mange andre
> sikkerhedshuller i Windows der gør at serverne kan hackes.
>
> Forresten: Du bør gøre noget ved din manglende pingusynlighed på
> 195.41.114.20 (WWW.niels-ebbesen.net), det gør din server yderst
> anvendelig ved smurf og fraggle angreb.

Oversæt det lige til noget jeg også fatter !

--
Ciao Jesper )

---

Jesper Haaber Gylling <jesper@gylling.net> wrote:

> Jesper <triton@titancity.com> wrote:
>
> > Niels Ebbesen <info@niels-ebbesen.net> wrote:
> >
> > > I lyset af det senste virus angreb på Internettet, hvor M$ web-servere
> > > blev inficeret, så de påførte intetanende besøgne/surfere en virus, så
> > > kunne det måske være er "fræk" idé, hvis der blev lavet et logo, som
> > > kunne fortælle surferne, at de besøger et web-site, der bliver servet
> > > fra en Mac, og at de derfor ikke risikerer at få en virus.
> >
> > Du kan bare nøjes med at fortælle dem at det er en Windows og IIS fri
> > site. Windows servere der kører Apache bliver heller ikke berørt af
> > ormene der er i omløb. Til gengæld er der jo så mange andre
> > sikkerhedshuller i Windows der gør at serverne kan hackes.
> >
> > Forresten: Du bør gøre noget ved din manglende pingusynlighed på
> > 195.41.114.20 (WWW.niels-ebbesen.net), det gør din server yderst
> > anvendelig ved smurf og fraggle angreb.
>
> Oversæt det lige til noget jeg også fatter !

Ping protokollen er en protokol der muliggør at man kan forspørge om
computeren er på nettet, der sker ved at sende ICMP (Internet Control
Message Protocol) eller UDP (User Datagram Protocol) pakker til en IP
adresse. Dette er envejspakker i modsætning til TCP, hvor der sendes
kontrolpakker tilbage. Det medfører at man kan få en computer på
internettet til at angribe en anden computer ved at sende ICMP eller UDP
pakker med falsk afsenderadresse, så får man computere på nettet til at
sende ICMP pakker til offret. Ved smurf (der bruger ICMP) og fraggle
(der bruger UDP) kan man tillige forstærke effekten af angrebet ved at
sende pakkerne til en network broadcast adresse, dvs. IP adresser der
ender på 0 eller 255, herved kan man få alle computerne i C blokken (de
3 sidste cifre i IP nummeret) til at angribe samme adresse.
Ved pingusynlighed er firewallen sat op til ikke at svare på ping.
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Jesper wrote:

> Ved pingusynlighed er firewallen sat op til ikke at svare på ping.


Det smarteste vil vel være, at man i routeren lukker for den port som
ping bruger, ved du hvilken port det drejer sig om...?

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> Jesper wrote:
>
> > Ved pingusynlighed er firewallen sat op til ikke at svare på ping.
>
>
> Det smarteste vil vel være, at man i routeren lukker for den port som
> ping bruger, ved du hvilken port det drejer sig om...?

Normalt ekkoporten, port 7, men så vil den bare optræde som lukket og
ikke usynlig. Men ved portscanning pinger man alle portene.
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Jesper <triton@titancity.com> wrote:

> Niels Ebbesen <info@niels-ebbesen.net> wrote:
>
> > Jesper wrote:
> >

Spørgsmål:
Hvad er pointen - vil et sådant angreb sløve serveren eller hva?


Stig

____________________________________________________
www.simplesoft.dk - www.macperiferi.dk

Jeg synes Sven Bergstein er en gammel nar!

---

Stig Leerbeck <stigleerbeck@mac.com> wrote:

> Jesper <triton@titancity.com> wrote:
>
> > Niels Ebbesen <info@niels-ebbesen.net> wrote:
> >
> > > Jesper wrote:
> > >
>
> Spørgsmål:
> Hvad er pointen - vil et sådant angreb sløve serveren eller hva?

Det vil i hvertfald æde en del båndbredde og dermed gøre det sværere for
serverens brugere at logge på.
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Jesper <triton@titancity.com> wrote:

> Stig Leerbeck <stigleerbeck@mac.com> wrote:
>
> > Jesper <triton@titancity.com> wrote:
> >
> > > Niels Ebbesen <info@niels-ebbesen.net> wrote:
> > >
> > > > Jesper wrote:
> > > >
> >
> > Spørgsmål:
> > Hvad er pointen - vil et sådant angreb sløve serveren eller hva?
>
> Det vil i hvertfald æde en del båndbredde og dermed gøre det sværere for
> serverens brugere at logge på.

Det kan jeg jo godt få øje på! Spørgsmålet er så, om et sådant angreb er
et resultat af velovervejet aggression eller blot et udtryk for
tilfældighedernes spil.

I det første tilfælde må man vel gøre sig fortjent til en sådan
agression - og Det har Niels vel ikke!

Stig
____________________________________________________
www.simplesoft.dk - www.macperiferi.dk

- og Bergsteins parti CD, er en flok lallehoveder uden mål og med for
tilværelsen.

---

Stig Leerbeck wrote:

> Det kan jeg jo godt få øje på! Spørgsmålet er så, om et sådant angreb er
> et resultat af velovervejet aggression eller blot et udtryk for
> tilfældighedernes spil.


Der skal dælme laves temmelig meget ping-pong, førend det har mærkbare
følger for web-serverens kapasitet, det er jo forholdsvis små pakker, så
ret beset så vil de ikke udgøre et reelt problem.

For at sætte tingene i perspektiv, så kan jeg da oplyse, at min
web-server i løbet af nogle få timer ekspederede ca. 1.200 x 32 = 38.400
code 404 svar, i forbindelse nimda virusen, og det tog på intet
tidspunkt mere en ca. 10% af min kapasitet.


> I det første tilfælde må man vel gøre sig fortjent til en sådan
> agression - og Det har Niels vel ikke!


Galninge er komplet uberegnlige, det er umuligt at gennemskue deres
bevæggrunde, og det er nok fordi deres handlinger er tilfældige, så alle
er principielt i farezonen.

Jeg har dog nogle overvågningssystemer kørende, de er focuseret på
unormal trafik, de er egenlig lavet for at undgå, at brugere sætter et
stykke software til at downloade alle mine billeder, sidegevinsten er at
det reagerer på mange andre typer unormal trafik, jeg opdagede f.eks.
nimda angrebet straks efter det var gået igang, så der er en chanche
for, at jeg vil registrere et massavt ping-pong angreb.

En helt anden snak er så, at effekten af de såkaldte ping-pong angreb,
efterhånden er elimineret af udviklingen, idag er nettets og servernes
kapasitet så stor, at virkningen ikke er alvorlig.

Det vil kun være i den situation, hvor mange hundrede Mac-servere
misbruges til at lave et DOS angreb på en enkelt server, at det vil være
effektfuldt nok til at overbelaste den pågældne server.

Og det er vel lidt tvivlsomt, at en hacker skulle bruge tid på at finde
mange hundrede Mac-servere, når der findes i titusindvis af piv åbne IIS web-servere.

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> ...

Det er jo det!

____________________________________________________
www.simplesoft.dk - www.macperiferi.dk

....nu kan jeg iøvrigt heller ikke finde på mere at skælde Bergstein ud
for!

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> Stig Leerbeck wrote:
>
> > Det kan jeg jo godt få øje på! Spørgsmålet er så, om et sådant angreb er
> > et resultat af velovervejet aggression eller blot et udtryk for
> > tilfældighedernes spil.
>
>
> Der skal dælme laves temmelig meget ping-pong, førend det har mærkbare
> følger for web-serverens kapasitet, det er jo forholdsvis små pakker, så
> ret beset så vil de ikke udgøre et reelt problem.

Hvis der kommer tilstrækkeligt mange af dem kan de totalt blokerer din
webserver og internetadgang, mange amerikanske, Canadiske og hollandske
kabel-forbindelsesudbydere kan idag tilbyde deres brugere 300 KByte/s
(2400Kbit/s), en sådan bruger kan med en 1/4 af sin kapacitet totalt
blokere din server.
>
> For at sætte tingene i perspektiv, så kan jeg da oplyse, at min
> web-server i løbet af nogle få timer ekspederede ca. 1.200 x 32 = 38.400
> code 404 svar, i forbindelse nimda virusen, og det tog på intet
> tidspunkt mere en ca. 10% af min kapasitet.

Din båndbredde eller din servers processortid?
>
>
> > I det første tilfælde må man vel gøre sig fortjent til en sådan
> > agression - og Det har Niels vel ikke!
>
>
> Galninge er komplet uberegnlige, det er umuligt at gennemskue deres
> bevæggrunde, og det er nok fordi deres handlinger er tilfældige, så alle
> er principielt i farezonen.
>
> Jeg har dog nogle overvågningssystemer kørende, de er focuseret på
> unormal trafik, de er egenlig lavet for at undgå, at brugere sætter et
> stykke software til at downloade alle mine billeder, sidegevinsten er at
> det reagerer på mange andre typer unormal trafik, jeg opdagede f.eks.
> nimda angrebet straks efter det var gået igang, så der er en chanche
> for, at jeg vil registrere et massavt ping-pong angreb.

Det var et TCP angreb. Har du mulighed for at logge ICMP og UDP?
>
> En helt anden snak er så, at effekten af de såkaldte ping-pong angreb,
> efterhånden er elimineret af udviklingen, idag er nettets og servernes
> kapasitet så stor, at virkningen ikke er alvorlig.

En 2400Kbits kabelkunde kan uden problemer lægge en T3 forbindelse ned
med et smurf angreb.
>
> Det vil kun være i den situation, hvor mange hundrede Mac-servere
> misbruges til at lave et DOS angreb på en enkelt server, at det vil være
> effektfuldt nok til at overbelaste den pågældne server.
>
> Og det er vel lidt tvivlsomt, at en hacker skulle bruge tid på at finde
> mange hundrede Mac-servere, når der findes i titusindvis af piv åbne IIS
> web-servere.

Pingangreb kræver ikke at man hacker sig ind på serveren og MacOS
8.6-9.0 sender nogle store saftige 1500 bytes ICMP pong hvis man
sender den 46 bytes UDP ping, det en 32x amplificering af angrebet!

--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> Der skal dælme laves temmelig meget ping-pong, førend det har mærkbare
> følger for web-serverens kapasitet, det er jo forholdsvis små pakker, så
> ret beset så vil de ikke udgøre et reelt problem.

64Kb kan fyres af fra standard unix/windows ping kommando, så det kan
blive frygteligt meget.

--
Mvh/re Jan Jonasen
jonasen (at) it (dot) dk

If I wanted culture, I'd eat yogurt.

---

Jan Oksfeldt Jonasen wrote:

> 64Kb kan fyres af fra standard unix/windows ping kommando, så det kan
> blive frygteligt meget.


I øjeblikket server jeg i snit 2.500 billeder i døgner, og det fylder
alle mellem 150 og 200 Kilobytes, så 64 Kilo virker ikke så skræmmende..:)

Og nu har jeg snart kørt i et år uden at opleve et ping-pong angreb, og
jeg vil antage at en firewall software løbende vil æde meget mere af min
processorkraft/tid, end det jeg vil miste ved et ping angreb.

Min service er jo ikke livsvigtig, så hvis det går helt galt, så kan jeg
bare hive stikket ud, så bliver de nok trætte af den spøg.

Men jeg vil undersøge hvordan jeg kan lukke for port 7 i min Cisco
ADSL-router, det vil vel kappe toppen af problemet.

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

d. 25/09/01 22:04 skrev Niels Ebbesen på info@niels-ebbesen.net i artiklen
3BB0E33F.55C2C311@niels-ebbesen.net:

>
>
> Jan Oksfeldt Jonasen wrote:
>
>> 64Kb kan fyres af fra standard unix/windows ping kommando, så det kan
>> blive frygteligt meget.
>
>
> I øjeblikket server jeg i snit 2.500 billeder i døgner, og det fylder
> alle mellem 150 og 200 Kilobytes, så 64 Kilo virker ikke så skræmmende..:)
>

Tja, vi kan da bare lave et forsøg. Så vidt jeg ved er da et par stykker her
inde der en nogenlunde ADSL forbindelse, så skal vi bare bruge et program
der kan lave nogle UDP - pings. Og nogen der har en server vi må lægge ned.


Magnus

---

Magnus Rohde wrote:

> Tja, vi kan da bare lave et forsøg. Så vidt jeg ved er da et par
> stykker her inde der en nogenlunde ADSL forbindelse, så skal vi bare
> bruge et program der kan lave nogle UDP - pings. Og nogen der har en
> server vi må lægge ned.


Hej Magnus

- jeg troede faktisk, at det kun var unge Windows PC brugere med fedtet
hår, briller, filipenser og kontaktproblemer, som spildte deres tid med
sådanne sysler...:)))

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

d. 26/09/01 9:10 skrev Niels Ebbesen på info@niels-ebbesen.net i artiklen
3BB17F6B.A237B003@niels-ebbesen.net:

>
>
> Magnus Rohde wrote:
>
>> Tja, vi kan da bare lave et forsøg. Så vidt jeg ved er da et par
>> stykker her inde der en nogenlunde ADSL forbindelse, så skal vi bare
>> bruge et program der kan lave nogle UDP - pings. Og nogen der har en
>> server vi må lægge ned.
>
>
> Hej Magnus
>
> - jeg troede faktisk, at det kun var unge Windows PC brugere med fedtet
> hår, briller, filipenser og kontaktproblemer, som spildte deres tid med
> sådanne sysler...:)))

He He... nu har du jo ikke set mig :)

Nå nok sjov. Nu var det jo bare ment som lidt hjælp. Hvis der var nogen der
ikke mente at et såddant angreb ikke kunne være et problem, så kunne man jo
ved et simpelt (og strengt kontrolleret) forsøg prøve at vise at et det kan
være et stort problem.
Såvidt jeg husker, så den gang da hackere opfandt den type angreb, da var
yahoo.com nede i ca. 2 dage. Det vist nok i 1999.

Magnus
--
"If you're gonna be dumb, you'd better be tough"
Johnny Knoxville on Steve O, MTV Jackass

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> I øjeblikket server jeg i snit 2.500 billeder i døgner, og det fylder
> alle mellem 150 og 200 Kilobytes, så 64 Kilo virker ikke så skræmmende..:)
>
Hvor mange pings tror du der kan sendes i sekundet af 64kb?

--
Mvh/re Jan Jonasen
jonasen (at) it (dot) dk

If I wanted culture, I'd eat yogurt.

---

Jan Oksfeldt Jonasen <jonasenREMOVE@THISit.dk> wrote:

> Niels Ebbesen <info@niels-ebbesen.net> wrote:
>
> > I øjeblikket server jeg i snit 2.500 billeder i døgner, og det fylder
> > alle mellem 150 og 200 Kilobytes, så 64 Kilo virker ikke så skræmmende..:)
> >
> Hvor mange pings tror du der kan sendes i sekundet af 64kb?

Ligesåmange som du har båndbredde til!
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

In article <1f07msa.13f360e1qy76vdN%triton@titancity.com>,
triton@titancity.com (Jesper) wrote:

> Niels Ebbesen <info@niels-ebbesen.net> wrote:
>
> > Jesper wrote:
> >
> > > Ved pingusynlighed er firewallen sat op til ikke at svare på ping.
> >
> >
> > Det smarteste vil vel være, at man i routeren lukker for den port som
> > ping bruger, ved du hvilken port det drejer sig om...?
>
> Normalt ekkoporten, port 7, men så vil den bare optræde som lukket og
> ikke usynlig. Men ved portscanning pinger man alle portene.

Echo-porten har ikke noget med ping (ICMP) at bestille. ICMP bruger slet
ikke porte, men derimod hhv. 'type' og 'code' i ICMP-beskeden, hvis det
som her drejer sig om 'echo request' flagene 'type' sat til 8 og 'code'
sat til 0.

- gustav kristoffer ek
--
stoffer@ek.dk - http://ek.dk/