Heise wird per DoS lahmgelegt

Offtopic und anderes Gelaber
Benutzeravatar
madmax
Community Manager
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 7202
Registriert: 03.12.2003, 15:50
Wohnort: bei Stuttgart
Kontaktdaten:

Ungelesener Beitrag von madmax » 02.02.2005, 10:20

Massenanfragen von gleichen IPs erstmal bannen? Da grenzt man zwar ein paar große Firmen mit aus, aber es hilft sicherlich.
Everything is better with Bluetooth.

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Ungelesener Beitrag von FragCool » 02.02.2005, 12:05

madmax hat geschrieben:Massenanfragen von gleichen IPs erstmal bannen? Da grenzt man zwar ein paar große Firmen mit aus, aber es hilft sicherlich.
Ok und wo machst du das?

Direkt am Server (In diesem Fall am Loadbalancer)
Ok die Server dahinter haben damit Ruhe, aber die Leitung ist trotzdem dicht.

Jetzt kannst eine Stufe höher gehn, damit ist der Admin aber schon aus den Spiel da hier dann andere Firmen beteiligt sind. Die müssen einmal angerufen werden, haben dann auch Reaktionszeiten usw.

Da die meisten Webserver wohl genau bei einem Provider angebunden sind können die auch nicht so viel machen. Sie blocken die IPs womit einmal die Leitungen vom Provider zu den eigenen Servern frei bleiben. Wenn dann aber die Anbindung vom Provider zu schwach ist kracht es dort wieder...

DDos Attacken sind etwas sehr böses. Und ich habe bis jetzt nur von Fällen gehört wo sogar Security Firmen kapituliert haben. Aber noch nie von einer wirklichen Lösung, die soetwas von Anfang an verhindert so wie es am Anfang des Threads geunkt wurde das heise dazu nicht in der Lage wäre.

Benutzeravatar
La-Z
Vice Admiral
Beiträge: 5646
Registriert: 26.01.2004, 19:43
Wohnort: Berlin

Ungelesener Beitrag von La-Z » 02.02.2005, 12:44

FragCool hat geschrieben:[DDoS nicht abwehrbar]
Nein. Du grenzt zu sehr ein auf Angriffe aus vielen verschiedenen Netzen, die darauf aus sind, die Leitung mit ansonsten legitimen Anfragen dicht zu machen. Das ist sicher ein Teil der denkbaren Angriffe und dann wird es schwer bis unmöglich, dies zu verhindern. Aber das ist bei weitem nicht die einzige Art, wie man DDoS-Angriffe machen kann.

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Ungelesener Beitrag von FragCool » 02.02.2005, 13:56

Ähhh

DDos steht ja für Distributet. Wenn ich jetzt einen DDos Angriff aus einem Netz bereich starte ist es ja eigentlich wieder nur ein Dos Angriff der halt über mehrer Rechner läuft.

Benutzeravatar
quadpumped
Vice Admiral
Beiträge: 4736
Registriert: 16.03.2004, 15:15
Wohnort: 53757 Sankt Augustin
Kontaktdaten:

Ungelesener Beitrag von quadpumped » 02.02.2005, 14:35

heise.de ist wieder nicht erreichbar...
Da kam ja heute wieder n Artikel über Kopiersoftware, ob das im Zusammenhang steht ? :)

Benutzeravatar
La-Z
Vice Admiral
Beiträge: 5646
Registriert: 26.01.2004, 19:43
Wohnort: Berlin

Ungelesener Beitrag von La-Z » 02.02.2005, 15:07

FragCool hat geschrieben:DDos steht ja für Distributet. Wenn ich jetzt einen DDos Angriff aus einem Netz bereich starte ist es ja eigentlich wieder nur ein Dos Angriff der halt über mehrer Rechner läuft.
Und ein DoS, der von mehreren Rechnern ausgeführt wird, unterscheidet sich *wie* von einem DDoS? Distributed = aus mehreren Quellen. Übrigens war das keinesfalls die einzige und auch nicht die wichtigste Einschränkung, die du fälschlicherweise getroffen hast. Ich habe noch andere aufgezählt.

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Ungelesener Beitrag von FragCool » 02.02.2005, 16:19

Wenn ich eine Dos Attacke zwar von mehreren Rechnern aber nur aus einen kleine Teil des Internet starte (Z.B. nur aus einem Firmennetzwerk) ist es noch nicht wirklich eine DDos Attacke. Da hier dann wirklich nur eine IP Range geperrt werden muß.

Und wie kann ich noch einen DDos Angriff machen aus mit vielen Rechnern?

H3LL S3RV4NT
Admiral
Beiträge: 14655
Registriert: 08.03.2004, 17:24
Wohnort: Magdeburg

Ungelesener Beitrag von H3LL S3RV4NT » 02.02.2005, 16:21

Über Trojaner.
Mit IP-Range sperren kannst du jede DDoS sperren, alles nur ne Frage der IP-Range... =)
>kq

Benutzeravatar
AndyydnA
Teamleiter Moderatoren
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 18391
Registriert: 08.03.2004, 15:15
Wohnort: Ruhrpott

Ungelesener Beitrag von AndyydnA » 02.02.2005, 16:23

H3LL S3RV4NT hat geschrieben:Über Trojaner.
Mit IP-Range sperren kannst du jede DDoS sperren, alles nur ne Frage der IP-Range... =)
>kq
ja, nur 127.0.0.1 zulassen, dann sollt es keine Probleme geben ;)

Crashman
Commander
Beiträge: 466
Registriert: 08.03.2004, 13:31
Wohnort: München
Kontaktdaten:

Ungelesener Beitrag von Crashman » 02.02.2005, 16:32

Man muss die Zugriffe wie schon gesagt auf hoher Ebene filtern, bevor sich alles auf einer Leitung vereinigt.
Dafür könnte man (Kooperation vorausgesetzt) sogar eine Lösung entwickeln. Bleibt jedoch immernoch die Frage, wie man zwischen DDoS und normalen Zugriffen unterscheiden soll, damit nicht unschuldige rausgefiltert werden.

Eine Möglichkeit wäre sicherlich, sich über einen bestimmten Zeitraum wiederholende Zugriffe zu sperren. Damit würde der Angriff zum Teil zwar immernoch durchkommen, die Last sollte aber verringert und die Leitung damit halbwegs frei bleiben.

MfG

Benutzeravatar
La-Z
Vice Admiral
Beiträge: 5646
Registriert: 26.01.2004, 19:43
Wohnort: Berlin

Ungelesener Beitrag von La-Z » 02.02.2005, 21:19

Hier steht das mit der SYN-Flood wieder...

@FragCool
Wenn du nicht lesen kannst kann ich dir auch nicht helfen. Ich habe es schon geschrieben. Übrigens sogar in diesem Post...

GemFire
Hartware.net
Beiträge: 2773
Registriert: 17.12.2003, 17:32
Kontaktdaten:

Ungelesener Beitrag von GemFire » 02.02.2005, 23:15

hm blöde frage:
ist das denn überhaupt illegal? kenne mich da nicht so sonderlich aus, aber theoretisch dürfte es doch nicht verboten sein xbeliebig viele anfragen zu senden bis denen ihr system dabei kapituliert?
frage weil die ja 10.000 euro belohnung aussetzen. das kann ja nur was bringen, wenn der jenige dafür bestraft werden kann.

GemFire
Was wir jetzt erleben kehrt niemals mehr zurück...

Benutzeravatar
picasso
Rear Admiral
Beiträge: 3220
Registriert: 08.03.2004, 12:15
Wohnort: Schweiz =)
Kontaktdaten:

Ungelesener Beitrag von picasso » 02.02.2005, 23:58

Wenn sie wissen, wer's war, können sie ihn ja zurück DoSen ;)
Ich hätte gemeint, die gezielte Manipulation von EDV-Systeme ist schon irgendwie verboten.. aber ist schon eine Weile her, und ist in der Schweiz wohl auch anders reglementiert.
:wq!

Benutzeravatar
La-Z
Vice Admiral
Beiträge: 5646
Registriert: 26.01.2004, 19:43
Wohnort: Berlin

Ungelesener Beitrag von La-Z » 03.02.2005, 07:34

GemFire hat geschrieben:ist das denn überhaupt illegal? kenne mich da nicht so sonderlich aus, aber theoretisch dürfte es doch nicht verboten sein xbeliebig viele anfragen zu senden bis denen ihr system dabei kapituliert?
Doch, natürlich ist das illegal. Siehe beispielsweise § 826 BGB (sittenwidrige vorsätzliche Schädigung). Die Idee hier ist einfach: Wenn Alice Bob absichtlich schädigt muss Alice diesen Schaden ersetzen (§ 823 1). Das wird in diversen Paragraphen ab 823 genauer ausgeführt.

Inwieweit hier auch ein Verstoß gegen das StGB vorliegt, also auf den Angreifer nicht "nur" zivilrechtliche sondern auch strafrechtliche Probleme zukommen, weiß ich nicht.

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Ungelesener Beitrag von FragCool » 04.02.2005, 09:21

La-Z hat geschrieben:Hier steht das mit der SYN-Flood wieder...

@FragCool
Wenn du nicht lesen kannst kann ich dir auch nicht helfen. Ich habe es schon geschrieben. Übrigens sogar in diesem Post...
Laß es einfach.

Benutzeravatar
Endorphine
Fleet Captain
Beiträge: 1554
Registriert: 26.01.2004, 22:11
Wohnort: Mittweida/Freiberg/Dresden
Kontaktdaten:

Ungelesener Beitrag von Endorphine » 04.02.2005, 09:34

SYN-Cookies helfen auch nur begrenzt. Zudem waren es keine Skriptkiddies. Wie kommt ihr überhaupt auf Skriptkiddies? Für solche Angriffe gibt es keine fertigen Skripte. Zudem wurde gesagt, dass die Angriffe gezielt den Bemühungen der Heise-Admins angepasst wurden, so dass die Seite trotz veränderter Konfiguration nach kurzer Zeit wieder nicht erreichbar war. Ein DDoS hat auch mit einem Angriff von Skriptkids nichts zu tun. Ein Skriptkid hat gewissermaßen ein paar Silvesterknaller und eine Steinschleuder, die Angreifer von Heise sind gewissermaßen ein ausgewachsener moderner Kampfpanzer mit gutausgebildeter Besatzung, der zudem auch noch seine Taktik adaptiv auf die Gegenwehr des Gegners anpasst und selbst unerkannt bleibt.

Man kann sich auch gegen einen DDoS nicht wirklich wehren (SYN-Cookies hin oder her). Spätestens wenn die Bandbreite erschöpft ist kann man bei public Rechnern nichts mehr machen. Da kann man blocken was man will. Der Datenstrom müsste ja schon vor den Servern versiegen, damit der Nutzdatenstrom nicht vom DDoS-Datenstrom verdrängt wird.

Wenn alles so einfach lösbar wäre wie ihr es vorschlagt wäre die Seite nicht de facto down gewesen für so lange Zeit. Ich verstehe immer nicht, wieso so viele selbst bei Spezialisten immer Dummheit und Unwissenheit der einfachsten Dinge unterstellen. Das ist genau so wie beim Heatspreader auf CPUs, wo dann jeder meint, er könne mit seinem Dremel und und etwas Schleifpapier Übergänge mit geringerem thermischen Widerstand herstellen, als die Präzisionsmaschinen (die tausendstel-Millimeter Planheit herstellen) beim Prozessorhersteller und Ingenieure mit internationaler Reputation.

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Ungelesener Beitrag von FragCool » 04.02.2005, 10:16

Endorphine hat geschrieben:SYN-Cookies helfen auch nur begrenzt. Zudem waren es keine Skriptkiddies. Wie kommt ihr überhaupt auf Skriptkiddies? Für solche Angriffe gibt es keine fertigen Skripte. Zudem wurde gesagt, dass die Angriffe gezielt den Bemühungen der Heise-Admins angepasst wurden, so dass die Seite trotz veränderter Konfiguration nach kurzer Zeit wieder nicht erreichbar war. Ein DDoS hat auch mit einem Angriff von Skriptkids nichts zu tun. Ein Skriptkid hat gewissermaßen ein paar Silvesterknaller und eine Steinschleuder, die Angreifer von Heise sind gewissermaßen ein ausgewachsener moderner Kampfpanzer mit gutausgebildeter Besatzung, der zudem auch noch seine Taktik adaptiv auf die Gegenwehr des Gegners anpasst und selbst unerkannt bleibt.

Man kann sich auch gegen einen DDoS nicht wirklich wehren (SYN-Cookies hin oder her). Spätestens wenn die Bandbreite erschöpft ist kann man bei public Rechnern nichts mehr machen. Da kann man blocken was man will. Der Datenstrom müsste ja schon vor den Servern versiegen, damit der Nutzdatenstrom nicht vom DDoS-Datenstrom verdrängt wird.

Wenn alles so einfach lösbar wäre wie ihr es vorschlagt wäre die Seite nicht de facto down gewesen für so lange Zeit. Ich verstehe immer nicht, wieso so viele selbst bei Spezialisten immer Dummheit und Unwissenheit der einfachsten Dinge unterstellen. Das ist genau so wie beim Heatspreader auf CPUs, wo dann jeder meint, er könne mit seinem Dremel und und etwas Schleifpapier Übergänge mit geringerem thermischen Widerstand herstellen, als die Präzisionsmaschinen (die tausendstel-Millimeter Planheit herstellen) beim Prozessorhersteller und Ingenieure mit internationaler Reputation.
Danke!

Genau das was ich die ganze Zeit sage.

Benutzeravatar
kugman
Lieutenant
Beiträge: 83
Registriert: 08.03.2004, 12:25
Wohnort: Schorndorf
Kontaktdaten:

[OT]

Ungelesener Beitrag von kugman » 04.02.2005, 13:40

[OT]
...besonders neckisch find ich den "Kampfpanzer"...

mal so nebenbei: gibt es auch einen Friedenspanzer, oder einen Freudenpanzer ;-)
... Super! Kann ich jetzt gehen? Ich würde gern zu Hause die Wand anstarren!

Benutzeravatar
FragCool
Fleet Captain
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2034
Registriert: 08.03.2004, 11:55
Wohnort: Wien
Kontaktdaten:

Re: [OT]

Ungelesener Beitrag von FragCool » 04.02.2005, 14:14

kugman hat geschrieben:[OT]
...besonders neckisch find ich den "Kampfpanzer"...

mal so nebenbei: gibt es auch einen Friedenspanzer, oder einen Freudenpanzer ;-)
Ein Mienenräumungspanzer der UN, ist das ein Friedenspanzer?

H3LL S3RV4NT
Admiral
Beiträge: 14655
Registriert: 08.03.2004, 17:24
Wohnort: Magdeburg

Ungelesener Beitrag von H3LL S3RV4NT » 04.02.2005, 14:27

@Endo: 100Mbit/s muss man aber auch erstmal vollbekommen.
Und bei vielen Firmen sitzt da einfach nur nen Bauarbeiter mit nem Arbeitsamt-MCP, allerdings traue ich der c't schon etwas mehr zu.
>kq

Benutzeravatar
Endorphine
Fleet Captain
Beiträge: 1554
Registriert: 26.01.2004, 22:11
Wohnort: Mittweida/Freiberg/Dresden
Kontaktdaten:

Re: [OT]

Ungelesener Beitrag von Endorphine » 04.02.2005, 14:42

kugman hat geschrieben:[OT]
...besonders neckisch find ich den "Kampfpanzer"...

mal so nebenbei: gibt es auch einen Friedenspanzer, oder einen Freudenpanzer ;-)
Argh. Es gibt zig verschiedene Arten von gepanzerten Fahrzeugen. Und alle kann man mit "Panzer" bezeichen. Wenn du mit einem gepanzerten Mannschaftstransportwagen irgendwo vorfährst heißt das noch lange nicht, dass in diesem Fahrzeug auch nur ein einziges Waffensystem eingebaut ist.

Das was landläufig als "Panzer" bezeichnet wird ist ein Kampfpanzer.
Kettenfahrzeuge der Bundeswehr: http://www.deutschesheer.de/redaktionen ... E703PTILDE
Kampfpanzer Leopard 2 A5: http://www.deutschesheer.de/C1256B6C002 ... 3529ALANDE

Benutzeravatar
Endorphine
Fleet Captain
Beiträge: 1554
Registriert: 26.01.2004, 22:11
Wohnort: Mittweida/Freiberg/Dresden
Kontaktdaten:

Ungelesener Beitrag von Endorphine » 04.02.2005, 14:46

H3LL S3RV4NT hat geschrieben:@Endo: 100Mbit/s muss man aber auch erstmal vollbekommen.
Und bei vielen Firmen sitzt da einfach nur nen Bauarbeiter mit nem Arbeitsamt-MCP, allerdings traue ich der c't schon etwas mehr zu.
>kq
Oh, das geht sehr schnell. Es ist ja nicht gesagt, dass nur Privatrechner mit Wählleitung und ISDN gekapert werden können. Du kannst auch (größere) Server in Rechenzentren und schlecht gesicherte Webserver zu Zombies machen.

100 MBit/s kannst du ziemlich schnell erzeugen. Das ist aber weniger das Problem, da man die auch über die Masse zusammenbekommt. Und Masse brauch man beim DDoS sowieso, um Zurückverfolgung zu erschweren.

Benutzeravatar
usr
Rear Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 2338
Registriert: 08.03.2004, 17:32
Kontaktdaten:

Ungelesener Beitrag von usr » 04.02.2005, 22:16

H3LL S3RV4NT,
haben die so eine "schwache" Anbindung?

H3LL S3RV4NT
Admiral
Beiträge: 14655
Registriert: 08.03.2004, 17:24
Wohnort: Magdeburg

Ungelesener Beitrag von H3LL S3RV4NT » 05.02.2005, 00:51

Sofern keine Gbit-Karte drinsteckt...
>kq

Benutzeravatar
La-Z
Vice Admiral
Beiträge: 5646
Registriert: 26.01.2004, 19:43
Wohnort: Berlin

Ungelesener Beitrag von La-Z » 05.02.2005, 11:45

@Endo
Klar, wenn die Bandbreite vor einem eventuellen Filter mit Anfragen dicht gemacht wird bzw. die Anfragen so gestaltet sind, dass sie nicht filterbar sind, ohne den eigentlichen Dienst zu verhindern, ist Ende. Bis dahin lässt sich aber was auch gegen DDoS machen. Das beweist wie gesagt auch das Katz- und Mausspiel bei Heise. Könnte man nichts gegen Angriffe machen, hätte Heise dieses Spiel ja nicht mitspielen können.

@FragCool
Nein, ist es nicht. Es ist jedenfalls nicht das, was du geschrieben hast.

Antworten