DOS-Attacken /Angriffe
Dieser Bereich soll einen kleinen Überblick über den so oft Benutzten Ausdruck „DDOS-Attacke“,
vermitteln. Ich beziehe mich hier fast nur auf externe Quellen, die hier auch namentlich genannt werden. Zu dem versuche ich, eine Linkliste zu diesem Thema zusammen zustellen.
Wer weitergehende Informationen oder recht sinnvolle Links besitzt , darf sie mir gerne zukommen lassen.
Gerade im IRC-Bereich werden oft DOS-Attacken getätigt, daher erlauben die wenigsten Seriösen Server-Provider IRC-Dienste in Ihrem Netzwerk.
Dieser Bereich sowie weitere Sicherheitsseiten werden im Moment neu bearbeitet und sollten bis spätestens Juni wieder neu online sein.
Das folgende Tutorial wird unverändert auf dieser Seite dargestellt !
Grundlagen Distributed Denial of Service Attacken (DDoS)
Autor: Bruno Studer
Homepage(Quelle): http://www.bstuder.ch
DDOS Attack DOS Angriff
1.1 Übersicht
1.2 Die Hintergründe von DDoS
1.2.1 Der Anfang im IRC (Internet Relay Chat)
1.2.2 Das Flooden
1.2.3 DDoS Heute
1.3 Definition von DoS/DDoS
1.4 Denial of Service Attacken
1.4.1 Mail-Bombing
1.4.2 Broadcast Storms
1.4.3 Smurf
1.4.4 Fraggle
1.4.5 TCP Syn Flooding (Land Attacks)
1.4.6 Large Packet-Attacks (Ping of Death)
1.4.7 Ping Flooding
1.4.8 Ping-AT-Attacks
1.5 Wie funktionieren DDoS Angriffe
1.5.1 Grundprinzip eines Angriffs
1.5.2 Ein DDoS Angriffsszenario in 7 Schritten
1.6 Marktübersicht DDoS-Tools
1.6.1 Trinoo
1.6.2 Trible Flood Network (TFN)
1.6.3 TFN2K
1.6.4 Stacheldraht
1.6.5 Shaft
1.6.6 Mstream
1.7 DDoS in Zahlen und Fakten
1.1 Übersicht
Im Gegensatz zu einer einfachen Denial-of-Service-Attacke werden Distributed Denial-of-Service-Attacken nicht nur über einen Angriffsrechner gefahren, sondern gleichzeitig im Verbund mit mehreren Rechnern. Dies hat zur Folge, dass es für die Betroffenen sehr aufwendig ist, festzustellen von wo die Angriffe kommen.
Für eine DDoS-Attacke plaziert ein Angreifer einen sogenannten Agenten auf verschiedenen Rechnern im Internet, vornehmlich auf Rechner, die per Standleitung und Breitbandanschluss angebunden sind. Diese Plazierung kann auch schon Monate vor dem eigentlichen Angriffen erfolgen. Wird nun ein Angriff auf ein bestimmtes Opfer gestartet, erfolgen die Angriffe über die Rechner, auf denen die Agenten installiert sind, gleichzeitig und erzeugen in der Gesamtheit ein enormes Angriffsvolumen um das Ziel für alle anderen Anwendungen unerreichbar zu machen.
Schon seit den Anfängen des Internets existieren sogenannte “ Denial of Service “ Attacken, deren Ziel es ist, die Verfügbarkeit bestimmter Server und deren Dienste drastisch einzuschränken oder sogar zu verunmöglichen. Mit der Kommerzialisierung- und der damit zunehmenden Wichtigkeit des Internets begann auch die Anzahl der Attacken stark zuzunehmen. Dieses Verhalten ist leicht feststellbar, indem man auf dem Heimcomputer für einige Zeit einen Network Scanner (wie z.B BlackICE Defender) laufen lässt und das Logfile etwas genauer anschaut.
1.2.1 Der Anfang im IRC (Internet Relay Chat)
Ähnliche Attacken existieren schon seit einigen Jahren und findet in den IRC Chat-Räumen (IRC = Internet Relay Chat) ihren Anfang. Hacker versuchen in die PC’s einzubrechen und diese dann für die Attacken gegen Chat-Räume zu benutzen. Das IRC Protokoll ist deswegen so interessant, weil die erste Person, die den Chat-Raum betritt automatisch den Moderator-Status der Diskussion erhält. Ein Moderator kann andere User hinauskicken oder ihnen den Moderator-Staus verleihen. Wie auch immer, wenn nun der letzte Moderator den Chat-Raum verlässt, werden seine Privilegien an einen normalen User weitergegeben. So versuchen die Hacker alle rivalisierten Moderatoren von anderen Hacker Gangs aus dem Chat hinauszukicken, damit sie den Chat kontrollieren können. Hacker Gangs liefern sich richtige Kriege im Internet um diese Chat-Räume und ihre rivalisierten Gangs zu überwachen. In diesen Chat Underground Kriegen benutzen Hacker automatische Programme „Daemons“ genannt (Eng. Kurzform für Roboter) und versuchen diese auf möglichst vielen Computern im Internet zu verteilen. Ein Typ von diesen „Daemons“ versucht nun automatisch in den Chat-Räumen eingeloggt zu bleiben, den Moderator-Status zu erhalten und diesen Status an andere „Daemons“ weiterzugeben. Ein anderer Typ von „Daemons“ versucht mittels DoS-Attacken existierende Moderatoren von anderen Gangs zu stören, mit dem Ziel, sie aus dem Chat zu schiessen. IRC-Daemons sind seit einigen Jahren erhältlich, aber wirklich gute DoS-Daemons gibt es erst seit einigen Monaten. In der Vergangenheit konnte mit einer einzigen DoS-Attacke (z.B Ping-of-Death) ein Rechner zum Abstürzen gebracht werden, heutzutage sind die meisten Rechner besser geschützt und die Schwachstellen behoben.
1.2.2 Das Flooden
Die Hacker mussten also zu einer neuen Methode greifen, das „Flooding“ war geboren. Beim „Flooding“ werden nicht mehr die Rechner angegriffen, sondern die Internet Verbindung der Rechner. In dieser Technik werden eine hohe Anzahl von Pings an einen Rechner gesendet, bis dessen Verbindung keinen anderen Verkehr mehr verarbeiten kann. Das grösste Problem dieser Methode ist, dass der Angreifer eine schnellere Internet Verbindung als das Opfer haben muss. Eine Möglichkeit um dieses Problem beheben zu können, ist das Hacken von Rechnern mit sehr schnellen Internet Verbindungen und diese zum Flooden von anderen Gangs zu benutzen. Nun versuchten die Hacker Gangs die gehackten Rechner zu verbinden und mit einem „Master“ Programm zu steuern. Unbemerkt horchen die „Daemons“ nun auf den gehackten Servern bis sie vom „Master“ den Befehl „go“ mit der Ziel IP-Adresse der kontrahierenden Gangs erhalten und Flooden dann gemeinsam das Ziel. Die Hacker Gangs scannten immer grössere Gebiete des Internets ab und suchten immer mehr Rechner zum Hacken für ihre IRC- oder DoS Daemons. Die sogennanten „Verteilten Denial of Service“ (DDoS) Attacken waren erfunden.
1.2.3 DDoS Heute
Nebst dem Cyberwar in den Chat-Räumen werden jetzt auch „grosse“ Internetseiten angegriffen. Ein neuer Trend in Denial-of-Service Angriffen wird seit Mitte 1999 beobachtet und hat Anfang 2000 (Februar) bei Angriffen auf Firmen wie Yahoo, eBay, Buy.com, Amazon, E-Trade, CNN und MSN für internationales Aufsehen gesorgt. Diese Attacken haben der E-Commerce-Branche definitiv das Fürchten gelehrt.
Die Tatsache, dass bei den Angriffen zum Teil Systeme mit enormen Bandbreiten (wie z.B Teilnehmer am Internet-2 mit über 100Mbps) beteiligt sein können und die Kommunikation der an den DDoS-Attacken beteiligten Rechnern (Agenten und Händler) bereits verschlüsselt verläuft (z.B CAST Algorithmus, 64Bit), spitzt die Angelegenheit nochmals zu.
Auf der anderen Seite haben die Systemadministratoren viel dazu gelernt, so ist es viel schwieriger geworden in die grossen Internetserver einzudringen und die entsprechenden DdoS-Agenten und -Händler zu installieren. Ausserdem werden in den Routern Filter eingesetzt, damit IP-Spoofing nicht mehr möglich wird, oder zumindest auf das darunterliegende Netz eingeschränkt wird.
Mit dem Aufkommen der Breitband-Anschlüsse für die grosse Masse mittels Kabel Modem und XDSL Anschlüssen steht der Internetgemeinde ein noch grösseres Problem bevor. Bei den meisten ungeschützen Computern von Privatanwendern ist es ein leichtes einen Agenten für eine DDoS-Attacke zu installieren.