> Im Moment ist noch unbekannt, ob die > Angriffe von einem Einzeltäter ausgehen, > oder ob eine Reihe von sog. "ScriptKiddies" > an dieser Aktion beteiligt sind.
Das ist der Grund, warum ich gegen OnlineDemos bin. Das braqucht jetzt nur jemand als Demo gegen BlahBlubb hinstellen, aber eigentlich weiss niemand wieviele an so einer Demo beteiligt sind, einer oder mehrere, oder tatsaechlich ein ganzer Haufen.
Jeder der zu einer Online Demo aufruft braucht fuer den oeffentlichen Erfolg nur ein paar Script im Hintergrund halten, fuer den Fall dass es doch nicht so viele sind, und rums, los gehts.
Langsam! DDoS und Netz-Demos sind nicht das gleiche, erstere ist illegal, Net-Demos sind jedenfalls nicht direkt illegal.
Ob Net-Demos sinnvoll sind ist eine andere Frage, sie aber gleich verbieten wollen wirft wieder lauter neue probleme und fragen auf. Wie willst denn eine net-demo unterscheiden von spontanen "rushs" auf irgendwelche www-server? Deinen Verbotsvorschlag in die reale Welt übertragen würde in etwa bedeuten, alle "Zusammenrottungen" von mehr als n Menschen unter freiem Himmel zu verbeiten. Und das trifft ja dann alle, Staus im Reiseverkehr, Einkaufswahnsinn in der Fussgängerzone usw.
also: vorsich mit vorschnellen Verboten im Rahmen des Internet... führt doch eh zu nix.
Ich bezog mich auf die letzte Diskussion um die Online-Demo gegen Lufthans, wobei ja auch ueberlegt wurde, solche Aktionen zu verbieten.
Es geht mir nicht darum, Versammlungen zu verbieten, auch ist es klar, das es rushs auf Websiten gibt.
Was ich meinte war, dass man dieses Mittel als Demonstration nicht zulassen sollte. Wir haben ein Demonstrationsrecht, nachdem eine Demonstration angemeldet werden muss. In diesem Sinne sollte eine Demonstration aus dem Internet nicht zulaessig sein.
Nicht aus dem Grund, das es schlecht waere, sondern wegen der Gefahr des Missbrauchs.
Du kannst von dem Erfolg einer Demonstration sprechen, wenn viele leute da waren und man irgendetwas bewegt, eben weil es viele Leute wollen, das ist Demokratie.
Im Internet kannst du so einen Erfolg jedoch "vorspielen", so wie oben dargelegt. Man weiss nicht ob es ein Einzeltaeter ist, oder ein paar Scriptkiddies ... oder doch 1000 Leute. Dieses vorspielen eines Erfolgs wuerde bedeuten, dass wenige mit dem entsprechenden Wissen etwas vorspielen koennten, wo aber nicht eine Menge an Leuten dahinter steht. das ist undemokratisch, bzw, es besteht die Gefahr, dass es so ist.
Bei einer echten Demo siehst du, wieviele Leute da sind, nicht aber bei einer onlinedemo, ist es einer, 10, 100 oder 10000?
Ich habe ja nichst gegen "spielen" und "hacken", aber dann doch bitte immer auf der IP 127.0.0.1 :-)
Wegen solchen dummen "Streichen" (vielleicht etwas verharmlost!!) machen die Server zu... weil es ihnen einfach zu doof ist nach einiger Zeit immer DDoS ausgesetzt zu sein !!
Du kannst die Packete deshalb nicht so richtig zurueckverfolgen, weil die Trojaner auf irgendwelchen Dial-In-(Win)-Rechnern installiert sind und Du zum einen darauf angewiesen bist, dass die Access-Provider Dir (dem Besitzer des Rechners gegen den die DDoS Angriffe laufen) die Zugangsdaten (Tel,Adresse etc) ihrer Kunden ueberlassen.... und das gleich fuer mehrere hundert Eingewaehlten. Ist vermutlich auch rechtlich nicht ganz so einfach zu machen.
Und wenn Du dann zumindest genug Rechner mit gefundenen Trojanern hast, wer soll denn bitteschoen noch nachvollziehen koennen, durch wen und wann die Trojaner auf das System gekommen sind? Die Besitzer wissen ja selber nichts darueber! Da laeuftst Du vermutlich total ins leere...
Aber an kreativen Ideen, wie man solche DDoS-Uebeltaeter entlarven kann, waere ich auch interessiert. Pierre
in der ip absendeadresse kann auch muell stehen, das interessiert erstmal gar nicht der server muss dann zusehen, wie der das packet wieder los wird. dazu muss man aber am ip stack vorbei bzw. einen eigenen haben.
das Problem von DDoS Angriffen ist ja nicht das Überfluten des Servers an sich sondern das die Zugänge, die Router davor dicht sind. Lasse so einen Server doch an einen 100 MBit Anschluss sitzen. Die paar gespooften Pakete, oder die paar Adressen können direkt ausgefiltert werden. Mit dem Datenstrom wird er fertig nur das nutzt nichts, weil Echte Pakete nicht durchkommen.
Selbst wenn die Router davor schon filtern sollten..... Einzige Lösung: Die Zugangs Router der Provider müssen einen DDoS Angriff erkennen und den Kunden sofort trennen!!! Das ist mein Aufruf an die Provider!!
Ja super und wie soll die Erkennung sein? Da ist noch nicht nur einer im Spiel sondern mehrere hunterte die gewollt oder ungewollt fluten. Da müsste ja in jeder Q3 Session ein disconnect kommen.
Die Sache ist garnicht so dumm. DDOS so früh wie möglich stoppen! Wenn das Verfälschen von Absende-IPs ein Problem darstellt (und das tut es) und weiterhin viele DDOS Angriffe von privaten DialIn Verbindungen ausgeführt werden, sollte es z.B. ein leichtes sein, daß der Provider die Absende IP überprüft. Die *richtige* kennte er ja, die hat er ja eben erst zugewiesen. Weicht die IP vom Original ab, (sollte ja im normalen Betrieb NICHT vorkommen), *könnte* da ja was faul sein!?! -> Verbindung trennen, Brief an Kunden mit dem Hinweis auf einen guten Virenscanner :-)
übrigens scheint T-Online schon zu tun. Es gab doch mal in den DSL Anfangszeiten das Problem das man Leuten von aussen diskonnekten konnte. Einfach Flood-Ping auf einen. Sein 128 Upstream hat nicht gereicht. Der Konnektor hat kein Alive Paket mehr bekommen und die Verbindung zurückgesetzt. Dieses Problem wurde wohl gelößt. Aber seitdem scheint T-Online die Übeltäter einfach zu trennen! Macht doch einfach mal ein Flood-Ping nach draussen. Bei mir wurde sofort die Verbindung zurückgesetzt.
Eine Erkennung am Provider wird nicht viel helfen, da derartige Filterprogramme auf Signaturen (ähnlich wie Virenscanner) angewiesen sind, die ja auch jemand updaten muß. Und falls ein Provider es schafft, regelmäßig upzudaten, dann wirds halt immer wieder neue Variationen geben :-(
Das Grundproblem ist eigentlich der der vollkommen offene Windows-PC, der von einem vollkommen unbekümmerten, ahnungslosen Internet-Surfer bedient wird und laufend irgendwelchen Müll aus dem Internet runterzieht.
Man sollte für Rechner die am globalen Netz hängen eine Sicherheitsüberprüfung erzwingen, und wenn er die nicht besteht, darf er nicht ans Netz (Wenn dein Auto den TÜV nicht übersteht, darfst auch nicht mehr auf den öffentlichen Straßen fahren)
die typen scheinen zuviel langeweile zu haben. würde die chaoten gerne mal alle einsammeln und ein jahr zu schwerster körperlicher arbeit verdonnern... mir würde nich einmal die idee kommen andere rechner mutwillig in die knie zu zwingen nur um irgendwas zu beweisen. naja, es gibt halt viele kranke seelen.
Von BufferOverflow am Fr, 13. Juli 2001 um 17:06 #
@ Anon:
Was hast Du denn fuer Probleme? Von mir aus koennten die Taeter, wenn sie erwischt werden, auch genauso behandelt werden wie Terroristen, weil sie welche sind. Scheiss aufs Alter.
@anon klingt als ob du dich selbst angesprochen fühlst? bei einigen kann man einfach nicht mehr an die vernunft appellieren oder gut zureden. das mindeste ist das sie für den finanziellen schaden zur verantwortung gezogen werden und gleichzeitig ihre verdrehten hirnwindungen grade bekommen. schwere körperliche arbeit z.b im strassenbau wär genau das richtige. dadurch bekommt die allgemeinheit wenigstends einen gewissen finanziellen ausgleich für die schäden (denn die typen haben doch alle keine geld um die entstandenen schäden selbst zu begleichen).
Von BufferOverflow am Sa, 14. Juli 2001 um 12:32 #
@ binnix:
Bist ja gut auf die Markettingscheisse reingefallen. "Im Gegensatz zum Internet [...]" -> Aha...Ob das freenet mehr oder weniger nur ein DIENST des Internet ist? Ohne Internet kein freenet.....so einfach ist das.
IMO nur eine Firewall die ein Teil des OS ist und für einen normalem internet User automatisch die Ports sperrt könnte die Trojana ausschalten und in der Folge das Spielzeug den Scriptkiddies aus der Hand nehmen.
> Angriffe von einem Einzeltäter ausgehen,
> oder ob eine Reihe von sog. "ScriptKiddies"
> an dieser Aktion beteiligt sind.
Das ist der Grund, warum ich gegen OnlineDemos bin. Das braqucht jetzt nur jemand als Demo gegen BlahBlubb hinstellen, aber eigentlich weiss niemand wieviele an so einer Demo beteiligt sind, einer oder mehrere, oder tatsaechlich ein ganzer Haufen.
Jeder der zu einer Online Demo aufruft braucht fuer den oeffentlichen Erfolg nur ein paar Script im Hintergrund halten, fuer den Fall dass es doch nicht so viele sind, und rums, los gehts.
Ja zum Verbot von Online Demos.
mad
DDoS und Netz-Demos sind nicht das gleiche, erstere ist illegal, Net-Demos sind jedenfalls nicht direkt illegal.
Ob Net-Demos sinnvoll sind ist eine andere Frage, sie aber gleich verbieten wollen wirft wieder lauter neue probleme und fragen auf. Wie willst denn eine net-demo unterscheiden von spontanen "rushs" auf irgendwelche www-server?
Deinen Verbotsvorschlag in die reale Welt übertragen würde in etwa bedeuten, alle "Zusammenrottungen" von mehr als n Menschen unter freiem Himmel zu verbeiten. Und das trifft ja dann alle, Staus im Reiseverkehr, Einkaufswahnsinn in der Fussgängerzone usw.
also: vorsich mit vorschnellen Verboten im Rahmen des Internet... führt doch eh zu nix.
Hüttl.
Es geht mir nicht darum, Versammlungen zu verbieten, auch ist es klar, das es rushs auf Websiten gibt.
Was ich meinte war, dass man dieses Mittel als Demonstration nicht zulassen sollte. Wir haben ein Demonstrationsrecht, nachdem eine Demonstration angemeldet werden muss. In diesem Sinne sollte eine Demonstration aus dem Internet nicht zulaessig sein.
Nicht aus dem Grund, das es schlecht waere, sondern wegen der Gefahr des Missbrauchs.
Du kannst von dem Erfolg einer Demonstration sprechen, wenn viele leute da waren und man irgendetwas bewegt, eben weil es viele Leute wollen, das ist Demokratie.
Im Internet kannst du so einen Erfolg jedoch "vorspielen", so wie oben dargelegt. Man weiss nicht ob es ein Einzeltaeter ist, oder ein paar Scriptkiddies ... oder doch 1000 Leute. Dieses vorspielen eines Erfolgs wuerde bedeuten, dass wenige mit dem entsprechenden Wissen etwas vorspielen koennten, wo aber nicht eine Menge an Leuten dahinter steht. das ist undemokratisch, bzw, es besteht die Gefahr, dass es so ist.
Bei einer echten Demo siehst du, wieviele Leute da sind, nicht aber bei einer onlinedemo, ist es einer, 10, 100 oder 10000?
mad
den computer wegnehmen
Ich habe ja nichst gegen "spielen" und "hacken", aber dann doch bitte immer auf der IP 127.0.0.1 :-)
Wegen solchen dummen "Streichen" (vielleicht etwas verharmlost!!) machen die Server zu... weil es ihnen einfach zu doof ist nach einiger Zeit immer DDoS ausgesetzt zu sein !!
Hängt es an dem veraltetem TCP/IP Protokoll?
Ist vermutlich auch rechtlich nicht ganz so einfach zu machen.
Und wenn Du dann zumindest genug Rechner mit gefundenen Trojanern hast, wer soll denn bitteschoen noch nachvollziehen koennen, durch wen und wann die Trojaner auf das System gekommen sind? Die Besitzer wissen ja selber nichts darueber!
Da laeuftst Du vermutlich total ins leere...
Aber an kreativen Ideen, wie man solche DDoS-Uebeltaeter entlarven kann, waere ich auch interessiert.
Pierre
muell stehen, das interessiert erstmal gar nicht der server muss dann zusehen, wie der das packet wieder los wird. dazu muss man aber am ip stack vorbei bzw. einen eigenen haben.
Lasse so einen Server doch an einen 100 MBit Anschluss sitzen. Die paar gespooften Pakete, oder die paar Adressen können direkt ausgefiltert werden.
Mit dem Datenstrom wird er fertig nur das nutzt nichts, weil Echte Pakete nicht durchkommen.
Selbst wenn die Router davor schon filtern sollten.....
Einzige Lösung:
Die Zugangs Router der Provider müssen einen DDoS Angriff erkennen und den Kunden sofort trennen!!!
Das ist mein Aufruf an die Provider!!
Da ist noch nicht nur einer im Spiel sondern mehrere hunterte die gewollt oder ungewollt fluten.
Da müsste ja in jeder Q3 Session ein disconnect kommen.
Snort erkennt jedenfalls welche.
Wo ist das Problem???
Nenne mir einen Grund warum Präventiv Massnahmen dieser Art nicht funktioneren sollten.
Es gibt IMO gar keine andere Sinnvolle Gegenmaßnahme. Der Schritt dagegen muss vom Provider erfolgen.
Ach ja, waren die Nicks schon wieder alle, Anonymous?
Soltest mal über ssh nachdenken ...
>Die Zugangs Router der Provider müssen
> einen DDoS Angriff erkennen und den
>Kunden sofort trennen!!!
Na super dan hat das script kiddie ja erreicht was es wollte
*kopfschuettel*
cya, jens
Es gab doch mal in den DSL Anfangszeiten das Problem das man Leuten von aussen diskonnekten konnte.
Einfach Flood-Ping auf einen.
Sein 128 Upstream hat nicht gereicht. Der Konnektor hat kein Alive Paket mehr bekommen und die Verbindung zurückgesetzt.
Dieses Problem wurde wohl gelößt.
Aber seitdem scheint T-Online die Übeltäter einfach zu trennen!
Macht doch einfach mal ein Flood-Ping nach draussen.
Bei mir wurde sofort die Verbindung zurückgesetzt.
Das Grundproblem ist eigentlich der der vollkommen offene Windows-PC, der von einem vollkommen unbekümmerten, ahnungslosen Internet-Surfer bedient wird und laufend irgendwelchen Müll aus dem Internet runterzieht.
Man sollte für Rechner die am globalen Netz hängen eine Sicherheitsüberprüfung erzwingen, und wenn er die nicht besteht, darf er nicht ans Netz (Wenn dein Auto den TÜV nicht übersteht, darfst auch nicht mehr auf den öffentlichen Straßen fahren)
http://grc.com/dos/intro.htm
mir würde nich einmal die idee kommen andere rechner mutwillig in die knie zu zwingen nur um irgendwas zu beweisen. naja, es gibt halt viele kranke seelen.
Was hast Du denn fuer Probleme? Von mir aus koennten die Taeter, wenn sie erwischt werden, auch genauso behandelt werden wie Terroristen, weil sie welche sind. Scheiss aufs Alter.
klingt als ob du dich selbst angesprochen fühlst? bei einigen kann man einfach nicht mehr an die vernunft appellieren oder gut zureden. das mindeste ist das sie für den finanziellen schaden zur verantwortung gezogen werden und gleichzeitig ihre verdrehten hirnwindungen grade bekommen. schwere körperliche arbeit z.b im strassenbau wär genau das richtige. dadurch bekommt die allgemeinheit wenigstends einen gewissen finanziellen ausgleich für die schäden (denn die typen haben doch alle keine geld um die entstandenen schäden selbst zu begleichen).
Lebenslanger Computerverbot und 24/7 berieselung mit Modern Talking.....
und geht an die frische Luft oder lest ein
gutes Buch, da verblödet Ihr net ganz so schnell. *g*
Bist ja gut auf die Markettingscheisse reingefallen. "Im Gegensatz zum Internet [...]" -> Aha...Ob das freenet mehr oder weniger nur ein DIENST des Internet ist? Ohne Internet kein freenet.....so einfach ist das.