Top-News
Neuester, zuletzt geles. Beitrag
Antworten | Börsen-Forum

Zombiattacken-I surrender, I surrender completely

Beiträge: 10
Zugriffe: 752 / Heute: 1
Kicky:

Zombiattacken-I surrender, I surrender completely

 
10.06.01 15:28
ich mal wieder das Opfer von gelungenen Hackerattacken war-ich weiss Ihr denkt ich hätte einen Verfolgungswahn ggg-bringe ich Euch mal was zu der neuesten Variante von DDOS-Attacken,geschrieben von Steve Gibson ,einem Experten für Sicherheit,der damit ziemlich Aufsehen erregte:
I surrender.
I surrender right now, completely and unconditionally.
And I'm not kidding.
It is my intention to carefully and completely explain, to the entire world, exactly why there is no defense against the sorts of clever Internet attacks you guys can create.
I want to do that because the world still doesn't get it.
It occurred to me that you might think that I think I'm invulnerable after managing to block the IRC Zombie/Bot attacks , so I wanted to be SURE that you understood that I AM UNDER NO SUCH DELUSION.
I was talking to a reporter on the phone a few hours ago, during the first REAL, non-blockable attack we have ever experienced. And I calmly explained that we were under attack and off the Net. In a bit of a panic, he asked what I was going to do about it. So I told him that I was going to take a long walk on the beach — because you and I both know there's absolutely NOTHING I CAN DO to defend against a real, professional, Internet Denial of Service attack. So I might as well enjoy the day.
I have started working on a next set of pages to explain all this. The pages are not finished, but you can see what I have so far, and where I'm going with it: (Page 1 ) (Page 2 )
So, I respectfully ask that you leave me alone and allow my site to stay on the Net. I know that you can easily knock me off. That's not even a question. But only if I'm here can I explain that to the rest of the planet.
Thank you for your consideration . . . and for your charity.

grc.com/dos/openletter.htm

Independent security expert Steve Gibson has posted his much-awaited analysis  of the DDoS attacks launched against his grc.com site and it makes fascinating reading.

Steve was hit with two heavy denial-of-service attacks at the start of the month which made his site inaccessible to everyone. This is the start point in an extensive hunt and investigation for who had attacked him, why, how and was it possible to prevent it happening again.

Reading somewhat like a thriller or Raymond Chandler novel, Steve found that a 13-year-old boy calling himself Wicked and two others had been incensed with reports that Mr Gibson has called them script-kiddies on his site. As it happened, he didn't, but this was enough provocation for the DoS attack.

Despite Wicked's claims, Steve discovered that he had simply made small changes to an IRC bot - aka Zombie - which was present on a large number of innocent people's PCs. The program effectively gives a hacker complete control over someone's PC and works through IRC. Once the program is there, a hacker can update the program as and when they wish. Then, if the person is online, the PC can be used to fire hundreds of packets at chosen IP addresses - a denial-of-service attack.

Steve managed to get hold of a copy of the Zombie, which he used to infiltrate an IRC chat area where a number of hackers were discussing use of the Zombies and were writing different versions for one another. While there he has a fascinating conversation with a senior hacker that calls himself Boss.

On the way, Steve lambastes ISPs for paying little attention to their security and also ignoring his attempts to offer to put it right. He is also saddened by the current state of legal powers regarding such Internet attacks - FBI officers explaining that nothing can be done unless $5,000 worth of damage is caused and even then priority is given to criminals. Plus, since Wicked is only 13, he is exempt from prosecution.

He also gives a dire warning about Windows XP which we will cover very shortly in another story. In short it is a fantastic piece of investigative journalism and we strongly recommend a read. The piece ends with Steve promising to knock out a new piece of software that will ascertain how much effort ISPs are putting into protecting their customers PCs, in the hope of forcing them to pull up their socks.

The full text in on grc.com here . The article has already sparked a big discussion, going on as we speak. ®

Weitere Seiten zur Sicherheit im Internet:
security.alldas.de/     www.alldas.de/?doc=news

Eine deutsche Seite zur Sicherheit im Internet:
www.german-secure.de/Frameseiten/Startseite/Startframe.htm

homepage.swissonline.net/mruef/  hier auch eine Abhandlung zur neuen biodata-firewall  sehr gute Artikel,von jemandem,der bei Biodata gearbeitet hat!

www.kryptocrew.de/  darf hier natürlich nicht fehlen,wo ich den Hinweis gefunden hab          mfG Kicky
PS:ich bin nicht mehr angetütert von Levkes Party ggg
Arbeiter:

Woran lassen sich DDoS-Attacken erkennen?

 
10.06.01 16:51
Eine DDoS-Attacke ist auch daran zu erkennen, dass sie deutlich mehr Netzressourcen als der normale Verkehr beansprucht. Während die Agenten, die auf verschiedenen Rechnern im Netz verteilt sind, nur unwesentliche Bandbreiten benötigen, verbrauchen sie zusammengenommen so viel Kapazität, dass sie bestimmte Sicherheitsfunktionen von Betriebssystemen zum Ausfall bringen. Damit die Schmerzgrenze der beanspruchten Bandbreite nicht überschritten wird, sollten IDS die Anzahl unterschiedlicher Quelladressen im Traffic messen.


Überdimensionale  ICMP* - und  UDP* -Pakete sind ebenfalls ein Anzeichen für eine bevorstehende DDoS-Attacke. IDS müssen darauf entsprechend reagieren.


Statische UDP-Sessions sind normalerweise nur kleine UDP-Pakete, mit einer Größe von nicht mehr als 10 Bytes. ICMP-Nachrichten sind meist nicht größer als 64 bis 128 Bytes. Umfangreichere Pakete sind daher immer verdächtig, da sie höchstwahrscheinlich Kontrollinformationen enthalten und zumeist auch verschlüsselte Ziele und andere Optionen für den DDoS-Server.


Auch wenn Verbindungen nicht über TCP- und UDP-Pakete aufgebaut werden, kann das ein Anzeichen für eine DDoS-Attacke sein. Die geheimsten DDoS-Tools nutzen Random-Protokolle, die ihre Protokollart nach einem Zufallsverfahren wechseln, sowie verbindungsorientierte Protokolle, um Daten über nicht-verbindungsorientierte Kanäle zu senden. Diese Ablenkungsmanöver erschweren es, schädlichen Verkehr zu erkennen. Darüber hinaus sind Pakete besonders verdächtig, die Verbindungen zu Ziel-Ports über 1024 aufbauen - Ports, auf denen kein bekannter Service registriert ist oder läuft.


Enthalten Paketinhalte ausschließlich alphanumerische Zeichen - also keine Leerzeichen, Interpunktionen oder Kontrollzeichen, kann das ein Hinweis sein, dass diese Pakete zum DDoS-Verkehr gehören. TFN2K zum Beispiel sendet BASE64-kodierte Pakete in seinem Kontroll-Traffic. Diese Verschlüsselungsmethode ist sehr einfach und daher die ideale Maskerade für DDoS-Kommunikationsmuster. Jedes Programm akzeptiert die Pakete - einschließlich der Mail-Server, die Umlaute und Steuerzeichen nicht erkennen.

ICMP* = Internet Control Message Protocol.TCO/IP-Protokoll, über das Fehler-und Status-Meldungen ausgetauscht werden.

UDP* = User Datagram Protucol erlaubt das Versenden von Datagrammen zwischen zwei Systemen.Das Protocoll garantiert weder die Zustellungen, noch die korrekte Reihenfolge der zugestellten Datenpakete.  

Kicky:

Stacheldraht und TFN2K -von deutschen Hackern

 
11.06.01 08:31

entwickelt-sind einmal installiert,kaum zu finden.Daher auch der Verzweiflungsschrei von Mr.Graham.
Ein Hacker impft einen bisher ungeschützten Rechner-" Agenten" genannt- mit eigener Software.Die Angriffssoftware instruiert ihre Agenten,von verschiedenen Stützpunkten im Netz aus,den Zielhost mit sinnlosen Daten zu überfluten und diesen damit lahmzulegen oder erheblich zu beeinträchtigen.Die Angriffe werden nicht vom Hacker selbst gesteuert,sie lassen sich somit nicht zurückverfolgen.Der Hacker steuert seine Master über sogenannte "Agenten",die auf Rechnern irgendwo im Netz laufen.,am liebsten auf Uni-Rechnern oder in öffentlichen Einrichtungen.

Weit verbreitet ist "TFN2K" vom deutschen Hacker Mixter.Die Kommandos wandern  via TCP,UDP oder ICMP an die Agenten und lassen sich über einen Algorhythmus variieren.Diese Agenten versenden daraufhin in vorgegebenen Abständen Überflutungen an die ausgewählten Webseiten.Der normale Zugriff auf die Seite ist nach einer Weile nicht mehr möglich.Damit zählen DDoS-angriffe zu den gefährlichsten Angriffen im Netz,denn die Intrusion Detection Systeme IDS  können nur vorher tätig werden und Angriffe abwehren,und zählen im Gegensatz zu den Virenscannern zu den vorbeugenden Massnahmen.Anbieter von IDS findet man auf der Seite www.SecurityFocus.com hier findet man auch Infos zu Sicherheitslöchern
Die Chancen ,solche Hacker zu erwischen sind schlecht.Der Hacker braucht sich nur einmal mit einem geknackten Passwort anzumelden und erhält über Spoofies oder andere Gateways Zugang zum gesamten Netz.Die Kommunikation zwischen Master und Agent verläuft verschlüsselt,diese wird mit einer unauffälligen Anzahl von Köderpaketen versehen,um den Verkehr unauffällig zu gestalten.Wegen der vorgetäuschten Absenderadresse (Poofing)lässt sich der Angreifer nicht zurückverfolgen.Der Dämon des Angriffsprozesses kann für jede Atacke einen neuen Childprozess starten und kann den Namen seines eigenen Programmes verändern,indem er sich als gewöhnliches Programm ausgibt.
Der Systemadministrator muss verhindern,dass Tools wie TFN2K in das lokale Netzwerk eingeschleust werden!

Neben TFN2K sorgt derzeit ein DDoS-Tool namens "Stacheldraht" für Furore.Es wurde vom deutschen Hacker  Random entwickelt.Hier werden Features von Tin00 und TFN kombiniert eingesetzt.Die Kombination ist verschlüsselt und sieht ein automatisches Update vor,die Kommunikation mit den Mastern verläuft verschlüsselt.Diese suchen in der ersten Stufe automatisch und ferngesteuert nach einem ungeschützen Host,um dort einen Agenten zu plazieren.In der zweiten Stufe werden die gekrackten System dazu verwendet,massive Attacken gegen die eigentlichen Angrifsziele zu führen.Der Agent erwartet erwartet als einziges Parameter die Adresse des Masters,zu dem er über einen TCP-Port verbunden werden soll.
Ein IDS lässt keine Installation solcher Programme zu,was durch gezielte Überwachung von Logdateien gewährleistet ist.Derartige Installationsversuche werden erkannt ,das IDS führt geeignete Gegenmassnahmen durch.Ein gutes Erkennungsmerkmal einer DDos-Attacke ist der Überflutungtraffic zwischen Agent und dem Ziel des Angriffs.Ein DDos-Angriff verschlingt auch mehr Netz-Ressourcen als der übliche Netzwerkverkehr.Somit sind grössere Pakete immer verdächtig und stellen ein sicheres Zeichen für einen bevorstehenden Angriff dar.Auch Paketinhalte mit ausschliesslich alphanumerischen Zeichen ohne Leerzeichen,Interpunktionen oder Kontrollzeichen  sind verdächtig,denn TFN2K versendet sogenannte BASE64-codierte Pakete,die normalerweise von jedem Server einschliesslich der Mailserver akzeptiert werden.

Privatanwender können sich in der Sicherheit wägen,dass ihre Daten im Allgemeinen nicht potentiell interessant sind.Jedoch bieten gerade via Flatrate angeschlossene Privatrechner auf  Grund der Sichheitslöcher,die dort normalerweise per Default zu finden sind,für Hacker eine interessante Lokation zur Platzierung von Mastern.
Man kann sich die letzte PC Intern kaufen zu 14.80DM oder ein Buch über Hackerangriffe zu 29.-DM,wenn man mehr wissen will. www.pcpraxis-networld.de/content/....php?modul=pcintern&idx=27

Da ich persönlich enorme Leistungverluste hatte und meine Kiste ununterbrochen zu rappeln pflegte,bevor ich einen IDS installierte,warne ich hiermit auch Euch.Denn wie ich gehört habe ,gibt es hier Leute,die im Chat mit der Tatsache prahlen,dass sie alle IP-Nummern der hiesigen User kennen.Ich hatte innerhalb von drei Tagen 20 gemeldete Angriffsversuche,die Hälfte mit 3 bis 5 Versuchen,aus Spanien,den Niederlanden,Italien, China,Universität.....Wahrscheinlich sind viele davon nur Scanner,die mal probieren,wo jemand offene Ports hat.Jedoch  kann man erkennen,wer hier davon verdächtig war.

Also take care !
Kicky:

also 72 Versuche von einer IP ist doch zuviel!

 
11.06.01 14:44
IP: 141.53.209.26
Node: 1-2-16
Group: MATRIX
NetBIOS: ADMINISTRATOR
MAC: 0000E203FF83
DNS: 1-2-16.stud-ilg.uni-greifswald.de

natürlich nicht auffindbar am Ende über Rostock, Greifswald ?
hjw2:

Kicky...

 
11.06.01 14:48
teile die IP t-online mit..du wirst dich wundern wie schnell diese "Angriffe" aufhören..
Kicky:

ist nicht t-online laut www.ripe.net

 
11.06.01 14:56
eher der dettmann@rz.uni-greifswald.de  dürfte aber gewechselt haben,oder irr ich mich?
hjw2:

..

 
11.06.01 15:08
die gehen der Sache nach...bei mir ging das ganz schnell, als ich ein ähnliches Prob. hatte...Mail an t-online genügt!!
verdi:

@Kicky:Da hast Du schon recht,schau Dir die Daten

 
11.06.01 15:08
aus ripe.net an und wende Dich an den adnin-c:

inetnum:      141.53.0.0 - 141.53.255.255netname:      UNIHGW-LAN
descr:        Ernst-Moritz-Arndt-Universitaet Greifswaldcountry:      DE
admin-c:      DD323tech-c:       DD323status:       ASSIGNED PI
mnt-by:       DFN-NTFYchanged:      ar@deins.Informatik.Uni-Dortmund.DE 19920212
changed:      rv@Informatik.Uni-Dortmund.DE 19930305
changed:      poldi@dfn.de 19990413source:       RIPE

route:        141.53.0.0/16
descr:        Ernst-Moritz-Arndt-Universitaet Greifswaldorigin:       AS680
mnt-by:       DFN-MNTchanged:      heiligers@noc.dfn.de 20000526
source:       RIPE

route:        141.53.0.0/16
descr:        Ernst-Moritz-Arndt-Universitaet Greifswaldorigin:       AS1275
mnt-by:       DFN-MNTchanged:      kauth@noc.dfn.de 19990805source:       RIPE

person:       Dietrich Dettmann
address:      Ernst-Moritz-Arndt-Universitaet Greifswald
address:      Friedrich-Ludwig-Jahn-Strasse 15aaddress:      D-17489 Greifswald
address:      Germanyphone:        +49 3834 86 1423
fax-no:       +49 3834 86 1401e-mail:       dettmann@rz.uni-greifswald.de
nic-hdl:      DD323mnt-by:       DENIC-Pchanged:      porten@vm.gmd.de 19920210
changed:      rv@Informatik.Uni-Dortmund.DE 19920901
changed:      knocke@nic.de 19941129changed:      poldi@dfn.de 19950905
source:       RIPE
Kicky:

danke verdi,welcher ist denn das nun?

 
11.06.01 15:14
poldi@dfn.de  ddddddddas ergibt sich eben nicht klar,normalerweise steht da abuse davor
verdi:

dettmann@rz.uni-greifswald.de!!

 
11.06.01 15:22
Dietrich Dettmann ist sowohl admin-c als auch tech-c.
Kannst ja auch dort mal anrufen.Ruf-Nr. ist angegeben!

gruss verdi
Auf neue Beiträge prüfen
Es gibt keine neuen Beiträge.


Börsen-Forum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen
--button_text--