symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Neue Art von DoS-Attacken
Veröffentlicht durch maradong am Freitag 17. Maerz 2006, 11:05
Aus der DNS-Server-leisten-Beihilfe Abteilung
Security Eine neue Art von DoS (denial of service) Attacken soll, laut einem Artikel bei Silicon.com, deutlich gefährlicher sein als die bekannten DoS-Attacken. Während bei einer "normalen" DoS ein Netzwerk von Bots, oder kompromitierten Rechnern die Requests auf das Opfersystem ausführen, wäre die Vorgehensweise mittlerweile anders. So würden Bots nun Anfragen an einen DNS Server schicken, während die Return-Adresse auf das eigentliche Opfer zeigt. Mehr Informationen gibt es im verlinkten Artikel.

Shuttle-Start mal wieder verschoben | Druckausgabe | Über den Treibhausgas-Ausstoß in Australien  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Was ist ein Wiki?
  • Wikipedia
  • DoS
  • Artikel
  • Silicon.com
  • DNS
  • Mehr zu Security
  • Auch von maradong
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 11:40 MEW (#1)
    (User #31 Info) http://www.p2501.ch/
    Das ist im Grunde eine simple Joe Job Attacke. Sowas kann man wie eine normale DDoS Attacke bekämpfen, indem man den betroffenen DNS-Server temporär in die Firewall einträgt, so das dessen Packete geblockt werden. Der Server ist dann zwar vorübergehend nicht erreichbar, aber solange die Attacke dauert ist er das höchstwahrscheinlich sowieso nicht.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Nicht so neu... (Score:3, Tiefsinnig)
    Von mtthu (m anderskor abegglen uf gmx punkt zeha) am Friday 17. March 2006, 13:11 MEW (#2)
    (User #1241 Info)
    Die Nichterreichbarkeit des Servers ist doch genau das Ziel einer DoS-Attacke. Wenn der Server nicht erreichbar ist, ist das Ziel also erreicht. Ob dieser nun Abstürzt oder sich selbst sperrt spielt an sich nur eine untergeordnete Rolle. Der grosse Unterschied ist die Dauer des Ausfalls.
    ----------------
    Eat, Drink, Drum
    Re: Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 13:30 MEW (#3)
    (User #31 Info) http://www.p2501.ch/
    Mit "Der Server ist dann zwar vorübergehend nicht erreichbar" meinte ich, dass der für die Attacke eingespannte DNS-Server nicht erreichbar ist, nicht der angegriffene Server. Der DNS-Server kann sich im Übrigen mit völlig konventionellen Mitteln wehren (z.B. wer zuviele Anfragen schickt, wird für eine Stunde geblacklisted).

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Nicht so neu... (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 14:30 MEW (#6)
    wie definiert man aber "zu viele anfragen" - emule macht mehr dns anfragen als ein browser der heise ansurft.
    Re: Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 15:11 MEW (#9)
    (User #31 Info) http://www.p2501.ch/
    Wir reden hier von Anfragemengen, die ausreichen, um den Rechner in die Knie zu zwingen. Auf moderner Hardware kann ein BIND9 tausende von Anfragen pro Sekunde verarbeiten, wohingegen schon mehr als 100 Anfragen innert einer Sekunde von ein und derselben IP-Adresse zumindest sehr verdächtig sind.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Nicht so neu... (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 15:23 MEW (#11)
    Es geht ja nicht nur um CPU-Last. Nicht jeder hat unendlich Bandbreite oder moechte 1000 EUR im Monat fuer Traffic bezahlen.

    Da es so viele DNS-Server gibt, die Rekursion unterstuetzen, helfen IP-Filter auch nur bedingt. Je nachdem welchen Source-Port man nutzt, kann der attackierte Dienst auf dem Zielrechner auch ziemlich schnell in die Knie gehen. Zudem fuehrt so ein IP-Filter auch zu zusaetzlicher Last, wenn man unter heftigen Beschuss geraet.
    Re: Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 15:36 MEW (#14)
    (User #31 Info) http://www.p2501.ch/
    Für Bandbreitenklau sind Attacken mit DNS-Packeten kaum geeignet. Da kann man mit wesentlich weniger Aufwand wesentlich mehr erreichen. Und ein Server, der als Session Initiation eine DNS-Antwort bekommt, wird diese sofort als ungültig verwerfen, was weit weniger CPU-Zeit verbraucht, als wenn er zum Nachschlagen irgendwelcher Daten verleitet wird.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Nicht so neu... (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 16:17 MEW (#18)
    Meinst du jeder Server begrenzt die Packete auf 512 Bytes? Dass ein Packet als nicht zum Protokoll gehoerig ohne Aufwand verworfen werden kann, ist der Idealfall. Davon abgesehen ist viele Software so schlecht geschrieben, dass sie bei unerwarteten Daten oder hoher Anfragefrequenz abstuerzt bzw. wesentlich mehr Last erzeugt.

    Die wenigsten Angriffe basieren auf einem einzigen Problem. Meistwerden gezielt mehrere Sicherheitsluecken ausgenutzt, die fuer sich allein oft vermeintlich nicht von grosser Bedeutung sind.
    Re: Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 16:53 MEW (#20)
    (User #31 Info) http://www.p2501.ch/
    Ich mein ja nicht, dass es überhaupt kein Problem ist, aber der Grad der Gefährlichkeit scheint mir doch ziemlich übertrieben. Bei fehlerhafter Serversoftware, wie du sie erwähnst, bringt ein direkter Angriff mit vielen extrem kleinen Packeten (< 100 Byte) mehr. Will man die CPU-Zeit aufsaugen, muss man den Server zum Arbeiten bringen, was nur mit direkten Angriffen geht. Will man die Bandbreite zumüllen, gibt es UDP-basierte Dienste, die viel mehr Traffic erzeugen (Webcaster zum Beispiel). Alles in allem ist dieser Angriff über DNS recht ineffizient.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Nicht so neu... (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 14:24 MEW (#5)
    Nicht wirklich. Joe Job ist zwar aehnlich aber etwas anderes. Das hier basiert auf ganz normalem IP-Spoofing mit Verstaerkungsfaktor, was bei sehr simplen (UDP-)Protokollen oft moeglich ist. Dagegen kann man nur wenig machen, ausser darauf hoffen, dass alle ISPs RFC 2827 implementieren. Die andere Moeglichkeit ist eine Pruefung der Anfrage. Letzteres verhindert aber auch nur den Verstaerkungsfaktor und erhoeht die Latenz. Man kann das auch nicht so einfach in bestehende Protokolle einbauen. Als Hilfsloesung kann man eigentlich nur einen Filter einsetzen, der die Anzahl der Antworten z.B. pro Sub-Netzwerk und Zeiteinheit limitiert bzw. gleich nur Hosts antworten, denen man vertrauen kann.
    Re: Nicht so neu... (Score:1)
    Von dobin (shitaccount@gmx.net) am Friday 17. March 2006, 15:00 MEW (#7)
    (User #789 Info) http://n.ethz.ch/student/dobinr/
    "den betroffenen DNS-Server [blocken]"
    Man nimmt natürlich genug verschiedene DNS Server. So 70% sind dafür anfällig. Siehe z.B. recursive DNS servers DDoS as a growing DDoS problem
    This is old stuff (tm)
    Re: Nicht so neu... (Score:2)
    Von P2501 am Friday 17. March 2006, 15:30 MEW (#12)
    (User #31 Info) http://www.p2501.ch/
    Natürlich muss man alle Server, die einen bombardieren, berücksichtigen. Wobei: Wenn man bedenkt, wie schnell solche falschen Packete sowieso als falsch erkannt und weggeschmissen werden, ist die wohl grössere Gefahr, das der Downlink zugemüllt wird.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Verisign Politkampagne wegen .com-Vertrag (Score:1)
    Von maenuschilt (superbaboo_affeschwanz_gmx_punkt_net) am Friday 17. March 2006, 14:16 MEW (#4)
    (User #1630 Info)
    Ich denke, dass Verisign diesen alten Kaffe auftischt, damit alle denken DNS sei gefährlich.
    Verisign kann dann getrost höhere Gebühren verlangen "damit DNS sicherer wird".

    siehe http://slashdot.org/article.pl?sid=06/03/16/164208
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 15:10 MEW (#8)
    Du glaubst wahrscheinlich auch, dass jeder, der ein Loch in Linux findet, von Microsoft bezahlt ist, nicht wahr?
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:2)
    Von P2501 am Friday 17. March 2006, 15:15 MEW (#10)
    (User #31 Info) http://www.p2501.ch/
    Angesichts der Nichtbrisanz dieses Problems und dem alarmistischen Stil, in dem die Pressemitteilung formuliert ist, ist die Theorie diesmal durchaus plausibel.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 15:32 MEW (#13)
    Hast du den Artikel ueberhaupt gelesen? Der ist voellig sachlich und wertfrei geschrieben. Im Gegentum, nur weil du davon anscheinend nicht betroffen bist und weil das Problem prinzipiell nicht neu ist - wie nahezu gar kein Problem - heisst das nicht, das davon niemand betroffen ist oder in Kuerze sein wird.

    Wer aufmerksam war, der hat von dieser Sache auch schon vor diesem Artikel gelesen. Es gab dazu mehrer Beitraege auf Bugtraq und anderen Mailinglisten.

    Die Ueberschrift "VeriSign warns of DoS evolution" stammt sicherlich nicht von VeriSign selbst. Wenn ich bedenke, welche Uberschriften BILD, Heise und Symlink verwenden, sollte man Ueberschriften mit ganz viel Salz konsumieren oder besser noch ignorieren. Wer bei so duenner Faktenlage von "plausibel" spricht, der ist naiv wenn nicht gefaehrlich oder einfach nur boesartig.

    Ich bin mir nahezu sicher, dass gleich ein Hecktroll angesprungen kommt, um zu behaupten VeriSign sei meine Lieblingsfirma und ich wuerde von denen bezahlt. Und das nur, weil ich nicht auf jede Verschwoerungstheorie anspringe, die sich jemand in der Mittagspause aus den Socken oder Fingern gesaugt hat.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:2)
    Von P2501 am Friday 17. March 2006, 15:51 MEW (#15)
    (User #31 Info) http://www.p2501.ch/
    Du scheinst niedrige Anforderungen an Sachlichkeit und Wertfreiheit zu haben. Da wird gleich zu Beginn von einem neuen Angriff gesprochen (ist es nicht), der im Dezember erstmals aufgetreten ist (logischerweise auch falsch). Sowas führt bei Nichttechnikern schon mal zu Angstgefühlen. Dann kommt die Meldung von 1500 angegriffenen Computer in zwei Monaten. Klingt nach viel, ist es aber nicht. Und weiter die Meldung, die Attacken seien wesentlich grösser, als alles, was sie bisher gesehen haben. Das ist nicht nur völlig unsachlich (es gibt weit gefährlichere Angriffe), sondern schlicht Panikmache.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 16:11 MEW (#16)
    Falsch. "IP-Adressen" steht da, nicht Computer. Also mir fallen sicher auf Anhieb keine 1500 wichtigen Webseiten ein. Wenn man die alle platt macht, dann ist erstmal Ruhe.

    Warum sich Nichttechniker fuer VeriSign oder DNS interessieren sollten, ist mir schleierhaft.

    Wie gesagt, es gibt nicht eine einzige Attacke, die
    neu waere. Alles sind uralte Angriffsmethoden oder basieren auf solchen. Da kann sich die Berichterstattung prinzipiell ersparen, weil ja schon alles dagwesen ist.

    Wie auch immer, das hier hat moeglicherweise mit den Beobachtungen zu tun:

    http://groups.google.com/group/n3td3v/browse_thread/thread/3f7ad08e619d8c54/
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:2)
    Von P2501 am Friday 17. March 2006, 16:34 MEW (#19)
    (User #31 Info) http://www.p2501.ch/

    Liest du eigentlich, was du schreibst? Du hast soeben indirekt bestätigt, dass die Meldung alarmistisch ist.

    Warum sich Nichttechniker mit VeriSign oder DNS beschäftigen sollten ist ganz einfach: Wenn VeriSign die Gebühren erhöhen will (und das wollen sie) müssen sie das derzeit vor der US-Regierung mit verbesserter Sicherheit begründen. Und da ist es natürlich durchaus hilfreich, erstmal ein Gefühl der Unsicherheit zu erzeugen. Ich sag ja nicht, dass die Theorie stimmt, aber plausibel ist sie durchaus. Solche Praktiken sind im heutigen Umfeld leider völlig normal.


    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:0)
    Von Anonymer Feigling am Friday 17. March 2006, 17:37 MEW (#21)
    Nein, bis gestern war mir das Wort nicht einmal bekannt. Vielleicht will VeriSign sich ja mit der Meldung wichtig machen. In der Vergangenheit sind ja nicht gerade durch Kompetenz aufgefallen. Wenn sie aber ueber ein fuer sie offensichtlich relevantes Problem nicht berichten duerfen, ohne gleich der Meinungsmanipulation verdaechtigt zu werden, dann weiss ich auch nicht weiter.

    Das VeriSign das Schwert in der Hand hat, liegt doch wohl eher an der US-Regierung, die weiterhin "das Internet regieren" will, als an VeriSign selbst. VeriSign braucht sich von daher gar keine dubiosen Begruendungen fuer irgendetwas ausdenken.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:2)
    Von P2501 am Friday 17. March 2006, 17:54 MEW (#22)
    (User #31 Info) http://www.p2501.ch/
    Lies einfach mal all die Kommentare zu diesem Artikel, und zwar richtig, nicht nur überfliegen. Dann wirst du bemerken, dass VeriSign hier nicht über ein Problem berichtet, dass sie betrifft, sondern vielmehr aus einer Mücke einen LeoII-Panzer macht. Noch dazu bei einem Problem, dass sie weder direkt betrifft, noch bei dem sie Einfluss nehmen können, was aber der Durchschnittspolitiker nicht weiss.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:1)
    Von maenuschilt (superbaboo_affeschwanz_gmx_punkt_net) am Friday 17. March 2006, 16:13 MEW (#17)
    (User #1630 Info)
    nee.. also eigentlich hat das nix mit der Thematik hier zu tun.. => gehört für mich eher in die Kategorie "Ufo-Absturz in Rosswell", "JFK-Verschwörung", "Alle Viren kommen von den Antivirensoftware-Verkäufer"..
    aber das hat ebensowenig mit DNS zu tun wie fliegende Toaster

    womit wir definitiv nicht mehr beim Thema wären.. blöp
    Re: Verisign Politkampagne wegen .com-Vertrag (Score:0)
    Von Anonymer Feigling am Saturday 18. March 2006, 01:11 MEW (#23)
    So wie ich das verstehe, ist es wie wenn ich (Täter) Büffelkot bei einem Bauern (VeriSign) bestelle und Büffelkot plus Rechnung dir (Opfer) zusenden lasse - also sind sowohl Bauer (VeriSign) wie du (Opfer) die "Gelackmeierten" ;) Im Ernst, ich nehm frei mal an, dass es darum passiert, weil die Clients die DNS-Securitymassnahmen (noch) nicht können (?).
    Fakten (Score:0)
    Von Anonymer Feigling am Sunday 19. March 2006, 02:45 MEW (#24)
    http://blogs.securiteam.com/index.php/archives/357

    Der Autor hat aber schon mehr zum Thema geschrieben:
    http://blogs.securiteam.com/?author=6

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen