# Erreichbarkeit, Was DDOS



## TSCoreNinja (9 August 2004)

Liebe Forenadmins,

nachdem Ihr wegen der dDoS offensichtlich einiges an der Konfiguration des Forenservers veraendert habt, kann ich das Forum lediglich von meinem Arbeitsplatzrechner erreichen (direkte Anbindung ans Internet). Per Modemverbindung kriege ich immer eine 403 Meldung. Zu oft ausprobiert, als dass dies nur Zufall sein koennte. Geht dies anderen auch so? Oder war das Forum uebers Wochenende tatsaechlich so schlecht erreichbar. Ist sicherlich nicht in Eurem Sinne, die Modembenutzer auszuschliessen...
Gr,
TSCN


----------



## sherlock70 (9 August 2004)

Hmm, also ich kann mir nicht vorstellen, daß es möglich ist, explizit Modemnutzer auszuschließen. Höchstens, daß Dein Modem-Provider in einem IP-Adressraum liegt, der für das Forum gesperrt wurde, weil von da ein großer Teil der Angriffspakete kommt....

Ich für meinen teil komme sowohl von zu Hause als auch von der Arbeit hier ins Forum. Allerdings ist da kein großer Unterschied, da beide male T-DSL....

Also nicht verzagen.

Sherlock


----------



## TSCoreNinja (10 August 2004)

So, hab gestern abend noch einmal ausprobiert, wie die Erreichbarkeit des Forums via DialUp ist. Ergebnis ist, dass von allen(!) von mir probierten Einwahlen (ohne Einwahlgebuehr) das Forum nicht erreichbar ist. Geblockt werden auf jeden Fall folgende Anbieter (weitere muesste ich nachschauen):

-Arcor
-MeOme (Freenet Reseller, ich gehe davon aus, dass Freenet auch nicht klappt)
-Activinet
-1click2surf

Frage an die Admins: ist das tatsaechlich in Eurem Sinne? Ich verstehe ja, wenn dies als Abwehr gegen die dDoS passiert, andererseits schliesst Ihr damit einen erheblichen Teil Eurer Zielgruppe als Benutzer aus, naemlich potenzielle Dialeropfer. Ich kann mir eigentlich nicht vorstellen, dass die dDoS von Modemeinwahlknoten stammt, oder taeusche ich mich?

Gr,
TSCN


----------



## BenTigger (10 August 2004)

HI TS.

Bei Fehler 403 liegt es nach neuster Info nicht am Provider.

Sende mal die Versionen und Versionsnummern deines Betriebsystems und Browsers., sowie deine IP, mit der du versuchtest die Verbindung aufzubauen.
Evtl. liegt da ein hinken in der Leitung...


----------



## Avor (10 August 2004)

Hallo,

ich komme über Modem,  AOL u. IE einwandfrei hinein.

Gruß Avor


----------



## TSCoreNinja (10 August 2004)

Berichtigung:

-es ist keine 403 Fehlermeldung, sondern in etwa (aus der Erinnerung):


> Not allowed to access /,
> Apache 1.3.31 at forum.computerbetrug.de



-IPs habe ich leider nicht alle aufgeschrieben, wenns hilft kann ich die heute abend/morgen frueh liefern

-Browser alter Firebird (0.7 oder so), OS ist WinME

Gr,
TSCN


----------



## Counselor (10 August 2004)

BenTigger schrieb:
			
		

> HI TS.
> 
> Bei Fehler 403 liegt es nach neuster Info nicht am Provider.


Eigentlich sollte ne 403 bedeuten, daß der Request am Webserver angekomment ist und es sollte ein Hinweis vorhanden sein, warum der Server den Request nicht verarbeitet hat (aber wie ich gerade sehe, ist es keine 403). Bei mir kam manchmal bei www.computerbetrug.de die FM, daß an dieser Stelle keine Webseite konfiguriert sei.


----------



## sherlock70 (10 August 2004)

TSCoreNinja schrieb:
			
		

> Ich kann mir eigentlich nicht vorstellen, dass die dDoS von Modemeinwahlknoten stammt, oder taeusche ich mich?



Ich hätte auch eher DSL-Rechner vermutet... die sind ja in vielen Fällen immer Online und damit zuverlässiger wenn eine Attacke gestartet werden soll.

Aber wenn die Logs das ergeben...wird es wohl so sein. Wobei das fälschen von IP-Adressen nicht unbedingt das schwerste am Programmieren eines Bots ist...

Sherlock


----------



## Heiko (10 August 2004)

sherlock70 schrieb:
			
		

> Wobei das fälschen von IP-Adressen nicht unbedingt das schwerste am Programmieren eines Bots ist...


Schau Dir mal TCP an.


----------



## Counselor (10 August 2004)

Heiko schrieb:
			
		

> sherlock70 schrieb:
> 
> 
> 
> ...


TCP ist verbindungsorientiert :holy:.


----------



## Anonymous (10 August 2004)

Counselor schrieb:
			
		

> TCP ist verbindungsorientiert :holy:.


UDP und IP dafür nicht


----------



## Counselor (10 August 2004)

Anonymous schrieb:
			
		

> UDP und IP dafür nicht


Diese Protokolle spielen beim Aufbau einer HTTP Session keine Rolle. Der Client initiiert eine HTTP Sitzung immer über eine TCP Verbindung. Bevor  der Client einen HTTP Request an den Webserver sendet, ist ein Three-Way-Handshake erforderlich. Der gelingt mit einer gefakten Client-IP nicht. Beispiel eines Handshakes zwischen einem Client und einem Webserver (die IP 80.136.24.229 gehörte dem Client):

```
05/21-10:14:28.806531 0:C:F6:2:10:34 -> 0:10:A7:6:36:20 type:0x800 len:0x3E
80.136.24.229:3654 -> Server-IP:80 TCP TTL:123 TOS:0x0 ID:9490 IpLen:20 DgmLen:48
******S* Seq: 0xBA7F3678 Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1414 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-10:14:28.806934 0:10:A7:6:36:20 -> 0:C:F6:2:10:34 type:0x800 len:0x3E Server-IP:80 -> 80.136.24.229:3654 TCP TTL:128 TOS:0x0 ID:50582 IpLen:20 DgmLen:48
***A**S* Seq: 0xEC4646A9 Ack: 0xBA7F3679 Win: 0x7FFF TcpLen: 28 
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-10:14:28.906167 0:C:F6:2:10:34 -> 0:10:A7:6:36:20 type:0x800 len:0x3C 80.136.24.229:3654 -> Server-IP:80 TCP TTL:123 TOS:0x0 ID:9491 IpLen:20 DgmLen:40
***A**** Seq: 0xBA7F3679 Ack: 0xEC4646AA Win: 0x4248 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
```


----------



## Stalker2002 (10 August 2004)

Counselor schrieb:
			
		

> Anonymous schrieb:
> 
> 
> 
> ...



Um einen Server zum "beidhändigen kopfkratzen" zu bringen ist es doch sicher nicht erforderlich einen gelungenen Handshake zu erzeugen.
Da sollte es doch ausreichen, den Server mit, zum scheitern verurteilten, Connections zu fluten. Sowas sollte auch mit gefaketen Client-IPs auf TCP-Ebene gelingen.

MfG
L.


----------



## Counselor (10 August 2004)

@Stalker 2002

Grundsätzlich schon. Es reicht auch eine Überflutung mit SYN FIN Scan oder 
TCP SYN RES SET . Aber TF hat einen Artikel von Heise verlinkt, in dem Heiko zitiert wird:





> Laut Rittelmeier wurde das Angriffsmuster mehrfach verändert: Anfangs waren es massenhaft willkürliche und ungültige HTTP-Requests vorwiegend aus Asien, dann wurde die Startseite von computerbetrug.de direkt angegriffen, schließlich wurde das gemeinsame Forum der Seiten unter Beschuss genommen.


http://forum.computerbetrug.de/viewtopic.php?p=69298#69298
Offensichtlich spielen HTTP Requests eine besondere Rolle in diesem Angriff. Und diese Requests werden halt nicht über UDP oder IP initiiert. Und ein abgebrochener Handshake macht auch keinen HTTP Request. Er könnte genauso gut die Vorbereitung eines Requests für ein anderes höheres Protokoll sein.


----------



## Devilfrank (10 August 2004)

Hier mal Lesestoff zum allgemeinen Verständnis:
http://securityresponse.symantec.com/avcenter/venc/data/ddos.attacks.html


----------



## Counselor (10 August 2004)

Devilfrank schrieb:
			
		

> Hier mal Lesestoff zum allgemeinen Verständnis:
> http://securityresponse.symantec.com/avcenter/venc/data/ddos.attacks.html


Ist schon klar, wie das funktioniert. Dem Heise Artikel, den TF verlinkt hat, war aber zu entnehmen, daß das Hauptproblem HTTP Requests sind (waren), und nicht einfache ICMP Pings etc.


----------



## sherlock70 (11 August 2004)

Das stimmt wohl. Allerdings steht da was von *ungültigen* HTTP-Requests. Und dazu könnten ja wohl auch welche mit *ungültiger* IP-Adresse zählen, oder?  

Auf jeden Fall bin ich gespannt wie ein Flitzebogen, ob uns erzählt wird, was es denn genau war...

Hier auch von mir nochmal zwei Links zum Thema:

http://www.grc.com/dos/drdos.htm
http://www.grc.com/dos/grcdos.htm


Sherlock


----------



## sascha (11 August 2004)

> Auf jeden Fall bin ich gespannt wie ein Flitzebogen, ob uns erzählt wird, was es denn genau war...



Nachdem die Angriffe weiter laufen wäre es kontraproduktiv, dieses Thema hier in der Öffentlichkeit breitzutreten. Daher bitte einfach noch etwas Geduld.


----------



## Counselor (11 August 2004)

sherlock70 schrieb:
			
		

> Auf jeden Fall bin ich gespannt wie ein Flitzebogen, ob uns erzählt wird, was es denn genau war...


Geht mir genauso. Ich vermute, daß es sich um Requests mit den Methoden PUT, DELETE, TRACE, CONNECT oder OPTIONS handelte. Aber da kann man endlos spekulieren. Jedenfalls habe ich volles Verständnis für die Position von Sascha.


----------



## technofreak (11 August 2004)

Weitere Postings und Spekulationen zu diesem Thema sind kontraproduktiv. 
die wichtigste Frage ist, wer dahinter steckt.

Wenn jemand in mein Haus einbricht, ist es mir zunächst ziemlich wurscht , mit welchem Werkzeug er es getan hat.

Für zukünftige Fälle ist es wichtig zu wissen, wie man dem begegnen kann, dies wird zu gegebener  Zeit 
diskutiert werden können.


----------



## drboe (11 August 2004)

technofreak schrieb:
			
		

> die wichtigste Frage ist, wer dahinter steckt.
> 
> Wenn jemand in mein Haus einbricht, ist es mir zunächst ziemlich wurscht , mit welchem Werkzeug er es getan hat.


Ein sehr pragmatischer und m. E. völlig richtiger Ansatz. Lediglich um Widerholungen ggf. vorbeugen zu können, muss man sich mit der Methode auseinandersetzen. Das aber hat sicher noch Zeit.

M. Boettcher


----------



## Counselor (11 August 2004)

drboe schrieb:
			
		

> Lediglich um Widerholungen ggf. vorbeugen zu können, muss man sich mit der Methode auseinandersetzen.


Die Methode mußt du zur Abwehr kennen. Wenn du nicht genau weißt, welcher Netzwerkverkehr unerwünscht ist, dann kannst du den Verkehr auch nicht zielgerichtet filtern.


----------



## technofreak (11 August 2004)

Counselor schrieb:
			
		

> Die Methode mußt du zur Abwehr kennen. Wenn du nicht genau weißt, welcher Netzwerkverkehr unerwünscht ist, dann kannst du den Verkehr auch nicht zielgerichtet filtern.



Jeder Vergleich hinkt, natürlich stimmt das , wenn  der Einbrecher  noch tätig ist, muß ich mich schon damit ausandersetzen ,
was aber nicht sinnvoll ist , hier (öffentlich) "Tipps" für Einbrecher zu diskutieren, solange der Einbruch noch stattfindet.

tf


----------



## Stalker2002 (16 August 2004)

*Schon wieder?*

Das ist jetzt das erste mal, das ich heute zu Forum und Startseite von Computerbetrug.de durchkomme.

Hat der (mutmaßliche) DDoSende Bettpfannenlutscher wohl noch eins draufgepackt, weil hier über seine tolle Startseite abgelästert wird?

MfG
L.


----------



## Heiko (16 August 2004)

Ich hatte mal testhalber die Vordergrundfilter rausgenommen, was sich jetzt als Fehler erwiesen hat.
Ich mußte mal schnell die eigentlich wichtigen Filter rekonfigurieren und jetzt passts.


----------



## sherlock70 (17 August 2004)

Vordergrundfilter?
Hast Du eine mehrstufige Firewall?
Hast Du eigentlich kompletten Zugriff auf den/die Server?
Musst Du den ganzen Krempel alleine absichern, oder hilft Dir da jemand?

Fragen über Fragen...

Wahrscheinlich solltest Du keine von denen Beantworten, aber wie gesagt: später einmal, wenn wir alle vorm Kamin sitzen und drüber lachen können...

Sherlock


----------



## technofreak (17 August 2004)

http://forum.computerbetrug.de/viewtopic.php?p=69923#69923


----------



## Heiko (17 August 2004)

sherlock70 schrieb:
			
		

> Hast Du eigentlich kompletten Zugriff auf den/die Server?
> Musst Du den ganzen Krempel alleine absichern, oder hilft Dir da jemand?


Ja.
Ja, nein.


----------



## sherlock70 (18 August 2004)

Scheißjob... mache ich auch, aber zum Glück bei einer weniger exponierten Domain....

Gruß und Glückauf,

Sherlock


----------



## Fidul (31 August 2004)

Momentan hat der dDoSler es anscheinend wieder nötig...


----------



## Heiko (31 August 2004)

Fidul schrieb:
			
		

> Momentan hat der dDoSler es anscheinend wieder nötig...


Jein.
Wir ziehen grade auf einen anderen Server um und ich synchronisiere die Dateisysteme.
Der DoS läuft nach wie vor unvermindert. Nur merkt man davon nichts mehr...


----------



## Fidul (1 September 2004)

Ach so. Ich habe mich nur gewundert, weil der Lastbalken andauernd ganz rot ist und bei etwa 30 Mbit/s hängt.


----------



## Heiko (1 September 2004)

Das ist der Kopiervorgang.
Die DoS-Bekämpfung arbeitet mittlerweile vollautomatisch. Da braucht niemand mehr hinzulangen.


----------



## Stalker2002 (1 September 2004)

Fidul schrieb:
			
		

> Momentan hat der dDoSler es anscheinend wieder nötig...



Heiko sollte besser mal den Filter zumachen, der Vollhoeneß unk: reißt derzeit mit 21.11 Mbit/s am Kabel. Die Bandbreitenanzeige schaut mittlerweile nach rechts aus dem Monitorgehäuse raus.

MfG
L.


----------



## sascha (1 September 2004)

> Da braucht niemand mehr hinzulangen




...nachdem jemand nächtelang dran gebastelt hat, um den Forenbetrieb aufrecht 
erhalten zu können. sollte auch mal gesagt werden.


----------



## technofreak (1 September 2004)

Stalker2002 schrieb:
			
		

> Heiko sollte besser mal den Filter zumachen, der Vollhoeneß unk:
> reißt derzeit mit 21.11 Mbit/s am Kabel.


Hat Heiko doch schon gepostet , das hat nichts mit dem DoS  zu tun 


			
				Heiko schrieb:
			
		

> Das ist der Kopiervorgang.


tf


----------



## Heiko (1 September 2004)

Ab morgen früh liegt das Forum auf einem neuen Server.
Dann ist die Bandbreite wieder normal.
Und hab auch mal wieder Zeit für was anderes...


----------



## technofreak (1 September 2004)

sascha schrieb:
			
		

> ...nachdem jemand nächtelang dran gebastelt hat, um den Forenbetrieb aufrecht
> erhalten zu können. sollte auch mal gesagt werden.


Nur um den DoS-As...ern nicht den Eindruck zu vermitteln, sie hätten das Forum ernsthaft
 in Gefahr bringen können , es ging dabei im wesentlichen  um die Optimierung , 
um eben nicht mehr eingreifen zu müssen (von  Heiko)   :thumb:


----------



## Counselor (1 September 2004)

In den USA gibt es eine erste Anklage gegen die Urheber eines DDOS Angriffs:
http://www.silicon.de/cpo/news-wipo/detail.php?nr=16213


----------



## sherlock70 (1 September 2004)

sascha schrieb:
			
		

> ...nachdem jemand nächtelang dran gebastelt hat, um den Forenbetrieb aufrecht
> erhalten zu können. sollte auch mal gesagt werden.



Tja, dann sei hiermit einmal ein dickes, *FETTES*

Danke schön

gesagt.

Weiter so.

Sherlock


----------



## Gluko (2 September 2004)

sherlock70 schrieb:
			
		

> Tja, dann sei hiermit einmal ein dickes, *FETTES*
> 
> Danke schön
> 
> ...


Da schließe ich mich sofort an!  

Gruß
Gluko


----------



## Anonymous (12 Oktober 2004)

"IP spielt keine rolle"?   

Egal. Was ich eigentlich sagen wollte: Man kann sehr wohl bei einer TCP-Verbindung die IP-Adressen fälschen. Man muss nur den ACK (Schritt 3 im Three-Way-Handshake) ausführen, ohne den SYNACK erhalten zu haben. Praktisch "blind" senden. Das ganze dann am besten ein paar hundert mal... (irgendeins *wird* ankommen).

M.


----------



## Heiko (12 Oktober 2004)

Du müsstest aber dann die Sequenznummern richtig erahnen. Das ist nicht so arg einfach...


----------



## Stalker2002 (14 November 2004)

Macht ihr gerade ein Backup oder läuft schon wieder (noch immer?) ein unverlangter gratis Server-Benchmark? Die Bandbreitenanzeige 
 legt wieder merklich zu.

MfG
L.


----------



## technofreak (15 November 2004)

Stalker2002 schrieb:
			
		

> Macht ihr gerade ein Backup oder läuft schon wieder (noch immer?)
> ein unverlangter gratis Server-Benchmark?


Nope , unter anderem sind  Suchmaschinen vor allem "neueren" Datums am Werk....
außerdem erfreut sich die Content-Seite  intensivem Zuspruchs zur Zeit z.B.





> Zur Zeit auf computerbetrug.de: 37 User


mehr als 50  User sind keine Seltenheit mehr , dieser Traffic wird fliesst in die Anzeige mit  ein 

tf


----------



## D.Opfer (9 Mai 2005)

*versteckte Benutzer*



> Es sind zur Zeit 21 Benutzer online :: 1 registrierter, 4 versteckte und 16 Gäste   [ Administrator ]   [ Moderator ]
> Die meisten gleichzeitigen Benutzer (753) am Mo, 17.05.2004, 15:20
> Registrierte Benutzer:



Was sind denn eigentlich versteckte Benutzer?


----------



## Stalker2002 (9 Mai 2005)

*Re: versteckte Benutzer*



			
				D.Opfer schrieb:
			
		

> Was sind denn eigentlich versteckte Benutzer?



Das sind angemeldet Benutzer, die in ihrem Profil "Online-Status verbergen:" auf "ja" gesetzt haben.

MfG
L.


----------



## BenTigger (9 Mai 2005)

Ich bin z.B. ein versteckter Benutzer. Muss ja nicht jeder Gast sofort sehen, das auch ein Mod da ist  Aber jeder Versteckte Nutzer kann auch ein normaler User wie du sein, wenn du es so einstelltest.


----------

