---

Så er den åbenbart gal igen.

Men for at lave sådan et angreb skal man da have nogle (mange) zombie
maskiner rundt om i verden?
- nogen der ved i hvilke lande disse maskiner befinder sig?

http://politiken.dk/VisArtikel.iasp?PageID=433080

Mvh

KA

---

Klaus Andersen skrev:

> - nogen der ved i hvilke lande disse maskiner befinder sig?

Det ved sikkert ikke engang dem der laver angrebet. De lader
formodentlig en virus med bagdør inficere computere over hele
verden, og programmet rapporterer hjem til masteren med sin
IP-adresse. Mere behøver de ikke vide.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

In article <43dc99c1$0$11673$ba624c82@nntp02.dk.telia.net>, Bertel Lund Hansen wrote:
> Klaus Andersen skrev:
>
>> - nogen der ved i hvilke lande disse maskiner befinder sig?
>
> Det ved sikkert ikke engang dem der laver angrebet. De lader
> formodentlig en virus med bagdør inficere computere over hele
> verden, og programmet rapporterer hjem til masteren med sin
> IP-adresse. Mere behøver de ikke vide.

typisk taler de med en IRC kanal, og holder øje med kommandoer her.
Har en kollega der lige har haft en af dem. Kunne ikke findes af
anti-virus eller anti-spyware. Jeg skældte ham også ud da han sagde han
havde slettet mappen med den i. En sådan skal til analyse.

---

Den Sun, 29 Jan 2006 11:20:53 +0100 skrev Klaus Andersen:
> Så er den åbenbart gal igen.
>
> Men for at lave sådan et angreb skal man da have nogle (mange) zombie
> maskiner rundt om i verden?

Ikke nødvendigvis.

Begrebet "denial of service" - DOS dækker alt hvad der lukker / blokerer
servicen. At klippe netkablet over er i princippet også DOS.

Underkategorien "distributed denial of service" - DDOS kræver brug
af flere maskiner, og artiklen kunne lyde som om det er det de
snakker om. Men det behøver stadig ikke være zombies, der kunne også
være tale om at man selv har flere computere stående. Hvor mange der
er nødvendige afhænger af hvor meget kapacitet hver af dem har,
i forhold til hvor meget kapacitet målet har. En enkelt maskine på en
100mbit forbindelse kan sagtens floode en 2mbit ADSL - selvom der
skal mindst to til før det er distribueret.

En "slashdotting" er i princippet også et DDOS, selvom det ikke er et
angreb, og ikke i nogen ond hensigt. Der er bare tale om en masse nørder
der vil se en side på samme tid, og det får serveren til at opgive. Det
kan være det samme der er sket her, hvis en eller anden arabisk TV-
station har givet linket til omtalte tegninger i aften-nyhederne, og
alle seere med internet-adgang er gået ind for at se hvad de snakker om.

> - nogen der ved i hvilke lande disse maskiner befinder sig?
>
> http://politiken.dk/VisArtikel.iasp?PageID=433080

Vi kan ikke læse mere end der står i artiklen.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>
> Det
> kan være det samme der er sket her, hvis en eller anden arabisk TV-
> station har givet linket til omtalte tegninger i aften-nyhederne, og
> alle seere med internet-adgang er gået ind for at se hvad de snakker om.

Det er selvfølgelig en mulighed. Hvorvidt det er tilfældet burde
det være muligt at afgøre udfra logfilerne. Hvis der faktisk
kommer et voksende antal legitime requests, så må de i hvert
fald i begyndelsen resultere i et voksende antal indgange i
logfilen.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Den Sun, 29 Jan 2006 14:03:14 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Det
>> kan være det samme der er sket her, hvis en eller anden arabisk TV-
>> station har givet linket til omtalte tegninger i aften-nyhederne, og
>> alle seere med internet-adgang er gået ind for at se hvad de snakker om.
>
> Det er selvfølgelig en mulighed. Hvorvidt det er tilfældet burde
> det være muligt at afgøre udfra logfilerne. Hvis der faktisk
> kommer et voksende antal legitime requests, så må de i hvert
> fald i begyndelsen resultere i et voksende antal indgange i
> logfilen.

En DDOS mod webserveren (og ikke blot mod båndbredden) vil også fremgå
af logfilen. Hvis det er gjort ordentligt, kan det være umuligt at se
forskel.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Ham med 1$ hjemmesiden blev også truet og efterfølgende hacket med noget
DDOS.

Han købte derefter noget hardware, hvad kan det være ?
Hvad er principperne i at beskytte sig mod ddos angreb, hvis det er
forskellige computere kan man jo ikke blokere for ipadressen ?

---

Den Sun, 29 Jan 2006 14:49:07 +0100 skrev Thomas:
> Ham med 1$ hjemmesiden blev også truet og efterfølgende hacket med noget
> DDOS.
>
> Han købte derefter noget hardware, hvad kan det være ?
> Hvad er principperne i at beskytte sig mod ddos angreb, hvis det er
> forskellige computere kan man jo ikke blokere for ipadressen ?

Mere kapacitet end angriberne.

Man kan forsøge at finde et system i angrebet, for derefter at få
upstream[1] til at blokere alt hvad der ligner, men det virker kun
indtil angriberne opdager det. Så skifter de taktik, og man kan begynde
forfra.

Mvh
Kent

[1] Det hjælper ikke noget at blokere lokalt, hvis de går efter at
fylde båndbredden. Det skal gøres hos en upstream udbyder der har
mere båndbredde end angriberne.
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Thomas" skrev i en meddelelse

> Han købte derefter noget hardware, hvad kan det være ?
> Hvad er principperne i at beskytte sig mod ddos angreb

Ved ikke, men her er en lynforklaring, samt gratis software:
http://www.sniff-em.com/harden-it.shtml

Opsætningen er uhyre nem med anbefalede indstillinger, og en lille
forklaring til hvert punkt.

Sygate firewall har også DoS-protection:

"Sygate Personal Firewall Pro provides a multi-layered shield of network,
content, application, and operating system protection for your PC. In
addition to advanced firewall technologies, the PRO version integrates an
Intrusion Prevention System (IPS) with application-based IDS, DoS
protection, and Trojan protection features. ..."
Link:
http://www.snapfiles.com/reviews/Sygate_Personal_Firewall_Pro/sygatefwpro.html

For brugere af fx Yahoo-chat, findes flere effektive og gratis programmer.

Mvh John

---

John wrote:
>>Han købte derefter noget hardware, hvad kan det være ?
>>Hvad er principperne i at beskytte sig mod ddos angreb
>
>
> Ved ikke, men her er en lynforklaring, samt gratis software:
> http://www.sniff-em.com/harden-it.shtml
[cut]

Hvad hjælper det imod et DDoS angreb?

> Sygate firewall har også DoS-protection:
[cut]

Nej, de har genkendelse på simple over 5-10 år gamle angreb, der
på en patchet maskine og hardnet maskine ikke er noget problem.

Har sygate stadigvæk dette sikkerhedproblem
http://www.irmplc.com/advisory014.htm ?

---

Christian E. Lysel wrote in
<news:43dd3d1b$0$1824$edfadb0f@dread11.news.tele.dk>:

>>>Han købte derefter noget hardware, hvad kan det være ?
>>>Hvad er principperne i at beskytte sig mod ddos angreb
>>
>>
>> Ved ikke, men her er en lynforklaring, samt gratis software:
>> http://www.sniff-em.com/harden-it.shtml
> [cut]
>
> Hvad hjælper det imod et DDoS angreb?

Ret beset kommer det nok an på angrebets skala og type -- ganske som
med de øvrige værktøjer der kan tages i brug til at afhjælpe eller
aflaste under et DDoS. Som det fremgår, er der tale om et værktøj der
ændrer i Windows netværksstakken således at SYN timeouts bliver
kortere, og der bruges færre retries (samt diverse andre angrebs-
specifikke funktioner). Begge dele kan betyde at en Windows-maskine der
ellers ville være bukket under for et klassisk SYN-flood i stedet
overlever (omend jeg aldrig har set værktøjet før og ikke aner hvor
godt det er skrevet).

Men ovenstående er jo oplagt. Så når du spørger, er det jo nok med den
bagtanke at sige "jamen, angriberen kan jo bare bruge hele båndbredden
med sit DDoS-netværk" -- men det er en forhastet konklusion. Faktisk er
det jo slet ikke sikkert at en angriber har resourcer nok, eller
interesse nok, til at eksponere hele sit botnet i et sådant angreb. Og
på den måde kan simpel hardening som minimum medføre at angriberen skal
bruge flere resourcer end det ellers ville være nødvendigt, og med lidt
held afværge angrebet helt. Desuden tvinger det jo angriberen over i
mere 'brute force'-agtige angreb, der er tilsvarende lettere at afværge
på anden vis.

Så ideen er sådan set god nok. Om implementationen er god, skal jeg
ikke kunne sige. Og det er langt fra sikkert at det er nok.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Null routes er din ven.

---

Niels Callesøe wrote:
> Men ovenstående er jo oplagt. Så når du spørger, er det jo nok med den
> bagtanke at sige "jamen, angriberen kan jo bare bruge hele båndbredden
> med sit DDoS-netværk" -- men det er en forhastet konklusion. Faktisk er

I et DDoS vil kan du ramme en anden begrænsning end båndbredden for at
ligge linien ned.

Prøv at kik på antallet af pakker i sekundet en linie kan klare.

Sidst en af vores leverandør prøvede at køre X11 over en SSH forbindelse
blev vores 4 Mbit linie lagt ned. Blot det han flyttede musen var nok.

> det jo slet ikke sikkert at en angriber har resourcer nok, eller
> interesse nok, til at eksponere hele sit botnet i et sådant angreb. Og

Selvfølgelig hjælper et angreb ikke hvis der ikke bliver benyttet nok
resourcer på det.

> på den måde kan simpel hardening som minimum medføre at angriberen skal
> bruge flere resourcer end det ellers ville være nødvendigt, og med lidt
> held afværge angrebet helt. Desuden tvinger det jo angriberen over i
> mere 'brute force'-agtige angreb, der er tilsvarende lettere at afværge
> på anden vis.

Hvilket der ikke er noget problem i, da botnet'et er lavet til formålet.

> Så ideen er sådan set god nok. Om implementationen er god, skal jeg
> ikke kunne sige. Og det er langt fra sikkert at det er nok.

En hardning af et OS er altid en god idé, jeg kan dog forsat ikke se
hvad det hjælper imod et DDoS angreb.

---

Klaus Andersen wrote:

> Så er den åbenbart gal igen.
[...]
> http://politiken.dk/VisArtikel.iasp?PageID=433080

.... og igen.

http://politiken.dk/VisArtikel.iasp?PageID=433225

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

---

er filtrat.dk også blevet hacket ?