Erreichbarkeit, Was DDOS

TSCoreNinja

TSCoreNinja

Mitglied
Liebe Forenadmins,

nachdem Ihr wegen der dDoS offensichtlich einiges an der Konfiguration des Forenservers veraendert habt, kann ich das Forum lediglich von meinem Arbeitsplatzrechner erreichen (direkte Anbindung ans Internet). Per Modemverbindung kriege ich immer eine 403 Meldung. Zu oft ausprobiert, als dass dies nur Zufall sein koennte. Geht dies anderen auch so? Oder war das Forum uebers Wochenende tatsaechlich so schlecht erreichbar. Ist sicherlich nicht in Eurem Sinne, die Modembenutzer auszuschliessen...
Gr,
TSCN
 
Hmm, also ich kann mir nicht vorstellen, daß es möglich ist, explizit Modemnutzer auszuschließen. Höchstens, daß Dein Modem-Provider in einem IP-Adressraum liegt, der für das Forum gesperrt wurde, weil von da ein großer Teil der Angriffspakete kommt....

Ich für meinen teil komme sowohl von zu Hause als auch von der Arbeit hier ins Forum. Allerdings ist da kein großer Unterschied, da beide male T-DSL....

Also nicht verzagen.

Sherlock
 
So, hab gestern abend noch einmal ausprobiert, wie die Erreichbarkeit des Forums via DialUp ist. Ergebnis ist, dass von allen(!) von mir probierten Einwahlen (ohne Einwahlgebuehr) das Forum nicht erreichbar ist. Geblockt werden auf jeden Fall folgende Anbieter (weitere muesste ich nachschauen):

-Arcor
-MeOme (Freenet Reseller, ich gehe davon aus, dass Freenet auch nicht klappt)
-Activinet
-1click2surf

Frage an die Admins: ist das tatsaechlich in Eurem Sinne? Ich verstehe ja, wenn dies als Abwehr gegen die dDoS passiert, andererseits schliesst Ihr damit einen erheblichen Teil Eurer Zielgruppe als Benutzer aus, naemlich potenzielle Dialeropfer. Ich kann mir eigentlich nicht vorstellen, dass die dDoS von Modemeinwahlknoten stammt, oder taeusche ich mich?

Gr,
TSCN
 
HI TS.

Bei Fehler 403 liegt es nach neuster Info nicht am Provider.

Sende mal die Versionen und Versionsnummern deines Betriebsystems und Browsers., sowie deine IP, mit der du versuchtest die Verbindung aufzubauen.
Evtl. liegt da ein hinken in der Leitung...
 
Berichtigung:

-es ist keine 403 Fehlermeldung, sondern in etwa (aus der Erinnerung):
Not allowed to access /,
Apache 1.3.31 at forum.computerbetrug.de
Zum Vergrößern anklicken....

-IPs habe ich leider nicht alle aufgeschrieben, wenns hilft kann ich die heute abend/morgen frueh liefern

-Browser alter Firebird (0.7 oder so), OS ist WinME

Gr,
TSCN
 
BenTigger schrieb:
HI TS.

Bei Fehler 403 liegt es nach neuster Info nicht am Provider.
Zum Vergrößern anklicken....
Eigentlich sollte ne 403 bedeuten, daß der Request am Webserver angekomment ist und es sollte ein Hinweis vorhanden sein, warum der Server den Request nicht verarbeitet hat (aber wie ich gerade sehe, ist es keine 403). Bei mir kam manchmal bei www.computerbetrug.de die FM, daß an dieser Stelle keine Webseite konfiguriert sei.
 
TSCoreNinja schrieb:
Ich kann mir eigentlich nicht vorstellen, dass die dDoS von Modemeinwahlknoten stammt, oder taeusche ich mich?
Zum Vergrößern anklicken....

Ich hätte auch eher DSL-Rechner vermutet... die sind ja in vielen Fällen immer Online und damit zuverlässiger wenn eine Attacke gestartet werden soll.

Aber wenn die Logs das ergeben...wird es wohl so sein. Wobei das fälschen von IP-Adressen nicht unbedingt das schwerste am Programmieren eines Bots ist...

Sherlock
 
Anonymous schrieb:
UDP und IP dafür nicht
Zum Vergrößern anklicken....
Diese Protokolle spielen beim Aufbau einer HTTP Session keine Rolle. Der Client initiiert eine HTTP Sitzung immer über eine TCP Verbindung. Bevor der Client einen HTTP Request an den Webserver sendet, ist ein Three-Way-Handshake erforderlich. Der gelingt mit einer gefakten Client-IP nicht. Beispiel eines Handshakes zwischen einem Client und einem Webserver (die IP 80.136.24.229 gehörte dem Client):
Code: 
05/21-10:14:28.806531 0:C:F6:2:10:34 -> 0:10:A7:6:36:20 type:0x800 len:0x3E
80.136.24.229:3654 -> Server-IP:80 TCP TTL:123 TOS:0x0 ID:9490 IpLen:20 DgmLen:48
******S* Seq: 0xBA7F3678 Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1414 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-10:14:28.806934 0:10:A7:6:36:20 -> 0:C:F6:2:10:34 type:0x800 len:0x3E Server-IP:80 -> 80.136.24.229:3654 TCP TTL:128 TOS:0x0 ID:50582 IpLen:20 DgmLen:48
***A**S* Seq: 0xEC4646A9 Ack: 0xBA7F3679 Win: 0x7FFF TcpLen: 28 
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
05/21-10:14:28.906167 0:C:F6:2:10:34 -> 0:10:A7:6:36:20 type:0x800 len:0x3C 80.136.24.229:3654 -> Server-IP:80 TCP TTL:123 TOS:0x0 ID:9491 IpLen:20 DgmLen:40
***A**** Seq: 0xBA7F3679 Ack: 0xEC4646AA Win: 0x4248 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
 
Counselor schrieb:
Anonymous schrieb:
UDP und IP dafür nicht
Zum Vergrößern anklicken....
Diese Protokolle spielen beim Aufbau einer HTTP Session keine Rolle. Der Client initiiert eine HTTP Sitzung immer über eine TCP Verbindung. Bevor der Client einen HTTP Request an den Webserver sendet, ist ein Three-Way-Handshake erforderlich. Der gelingt mit einer gefakten Client-IP nicht.
Zum Vergrößern anklicken....

Um einen Server zum "beidhändigen kopfkratzen" zu bringen ist es doch sicher nicht erforderlich einen gelungenen Handshake zu erzeugen.
Da sollte es doch ausreichen, den Server mit, zum scheitern verurteilten, Connections zu fluten. Sowas sollte auch mit gefaketen Client-IPs auf TCP-Ebene gelingen.

MfG
L.
 
@Stalker 2002

Grundsätzlich schon. Es reicht auch eine Überflutung mit SYN FIN Scan oder
TCP SYN RES SET . Aber TF hat einen Artikel von Heise verlinkt, in dem Heiko zitiert wird:
Laut Rittelmeier wurde das Angriffsmuster mehrfach verändert: Anfangs waren es massenhaft willkürliche und ungültige HTTP-Requests vorwiegend aus Asien, dann wurde die Startseite von computerbetrug.de direkt angegriffen, schließlich wurde das gemeinsame Forum der Seiten unter Beschuss genommen.
Zum Vergrößern anklicken....
http://forum.computerbetrug.de/viewtopic.php?p=69298#69298
Offensichtlich spielen HTTP Requests eine besondere Rolle in diesem Angriff. Und diese Requests werden halt nicht über UDP oder IP initiiert. Und ein abgebrochener Handshake macht auch keinen HTTP Request. Er könnte genauso gut die Vorbereitung eines Requests für ein anderes höheres Protokoll sein.
 
Auf jeden Fall bin ich gespannt wie ein Flitzebogen, ob uns erzählt wird, was es denn genau war...
Zum Vergrößern anklicken....

Nachdem die Angriffe weiter laufen wäre es kontraproduktiv, dieses Thema hier in der Öffentlichkeit breitzutreten. Daher bitte einfach noch etwas Geduld.
 
sherlock70 schrieb:
Auf jeden Fall bin ich gespannt wie ein Flitzebogen, ob uns erzählt wird, was es denn genau war...
Zum Vergrößern anklicken....
Geht mir genauso. Ich vermute, daß es sich um Requests mit den Methoden PUT, DELETE, TRACE, CONNECT oder OPTIONS handelte. Aber da kann man endlos spekulieren. Jedenfalls habe ich volles Verständnis für die Position von Sascha.
 
Weitere Postings und Spekulationen zu diesem Thema sind kontraproduktiv.
die wichtigste Frage ist, wer dahinter steckt.

Wenn jemand in mein Haus einbricht, ist es mir zunächst ziemlich wurscht , mit welchem Werkzeug er es getan hat.

Für zukünftige Fälle ist es wichtig zu wissen, wie man dem begegnen kann, dies wird zu gegebener Zeit
diskutiert werden können.
 
Zurück
Oben