4. Wie gefährlich kann so eine synflood noch sein??

Wie gefährlich kann so eine synflood noch sein??

  • ?

    Hallo,

    da mein Server momentan etwas langsam ist, habe ich mich versucht
    etwas mit dem Thema DDoS auseinander zu setzen, da ich solche Attacken
    vermute, aber nicht beweisen kann.

    Ich habe hier
    einen entsprechenden Source gefunden und wollte das nun selbst an unserem
    Firmenserver testen (keine Sorge ich habe die Erlaubnis der Geschäftsführung).

    Sind solche synflood-Angriffe grundsätzlich keine Gefahr mehr? Ich meine gelesen
    zu haben, dass man da RAW-Sockets für nutzt, diese aber nicht mehr mit "fake"-
    IP arbeiten.

    Ich kann nach Verwendung des Codes auch ehrlich gesagt absolut nichts im
    Logfile finden, was auf einen Angriff hinweisen würde. Zudem ist auch
    die Performance absolut stabil. Haben es auch gegen unser Firmen-NAS getestet
    (Linux). Ergebnis ebenso 👍

    Kann man pauschal sagen DDos ist tot? Aber warum trifft es dann gelegentlich
    noch andere (große) Firmen? Liegt es an der Masse der Angreifer oder anderen
    Techniken?

    0
  • M

    Kleiner Tip..

    Das was du gemacht hast, ist eine Dos-Attack. Eine DDos-Attack ist noch etwas anderes.

    Wird sogar auf Wikipedia erklärt ( http://de.wikipedia.org/wiki/Denial_of_Service ) ...

    Nun solltest du dir die Frage selbst beantworten können, warum du allein mit einer Dos bei eurem Server nichts bewirkt hast, aber ein DDos auf andere Firmen Erfolg hat.

    Falls der Groschen noch nicht gefallen ist: Stichwort "Botnetze"

    0
  • ?

    Hall Machine, ja sorry DDoS ist ein verteilter Angriff.
    Ich glaube aber dennoch, dass man mit der Variante aus dem Link
    keinen Schaden anrichten kann. Vermutlich werden die ganzen
    Anfragen durch den sendenden PC ohenhin weggefiltert (wegen RAW Sockets).
    Glaube das auch mal irgendwo in der MSDN gelesen zu haben.

    Vielleicht kann ja noch jemand was zur Wirksamkeit solchen Codes sagen?
    Ich habe hier max. die Chance nach Feierabend 11 PC zu nutzen um mit
    obigem Code einen Angriff zu simulieren.

    0
  • ?

    Slooth schrieb:

    Ich meine gelesen zu haben, dass man da RAW-Sockets für nutzt, diese aber nicht mehr mit "fake"-IP arbeiten.

    richtig, raw sockets unter windoofs lassen keine falschen absenderadressen mehr zu. aber wenn der angreifer eine linux-kiste benutzt geht's natürlich. unter windows bieten sich dafür sogenannte 'packt driver' an. damit kann man sich alles mögliche an paketen basteln und sie abschicken, ohne dass windows dazwischen funken kann.

    Slooth schrieb:

    Vielleicht kann ja noch jemand was zur Wirksamkeit solchen Codes sagen?

    je mehr solche pakete den rechner beschäftigen, desto störender sind sie. z.b. kommt jedes gültige ethernet-paket erstmal ein 'verteiler' zu sehen. der findet z.b. eine 0x800 als ethernet-id und reicht das paket weiter zum ip-stack. der ip-stack prüft die checksum (was übrigens relativ aufwändig ist), stellt z.b. fest, dass es ein tcp-paket ist und reicht das paket an tcp weiter. tcp erkennt das SYN-bit, muss in einer liste nachschauen, ob ein passender socket im listen-mode ist und falls nicht, ein RST-paket zurückschicken. je eher in dieser kette ein paket als 'angriff' identifiziert werden kann, desto besser.
    🙂

    0
  • ?

    Danke für die umfangreiche Info. Man kann also relativ pauschal sagen,
    dass DoS via raw sockets nicht mehr möglich ist, außer ein "packet-driver"
    ist im Spiel.

    Jetzt müsste ich dann mal das Thema packet-driver genauer unter die Lupe nehmen.
    Sind das quasi sowas wie rootkits? Also z.B. ".sys"-Dateien die mit dem
    DDK erzeugt werden können?

    Winpcap wird in dem Zusammenhang genannt, wie ich eben gelesen habe.
    Wird also vorausgesetzt, dass eine angreifende Maschine Winpcap installiert hat?
    Oder werden notwendige libs oderso mit in die synflood.exe eingebunden?
    Kann mir nicht vorstellen, dass eine DDoS so durchführbar wäre. Der Angreifer
    kann ja nicht wissen ob Winpcap installiert ist.

    Vielleicht hab ich auch nur die Hälfte verstanden und es ist ganz anders
    (ziemlich sicher sogar 😃 ). So i read on...

    0
  • Z

    Mit nem enc28j60 und nen Atmega32/644 kann man auch seine eigene Pakete basteln und alles machen was spaß bringt. Mit der richtigen hardware und dem richtigen Ziel vor augen ist noch alles möglich. Also nichts da mit DOS Attacke ist tot.

    Sei gegrüßt

    0
  • ?

    Die DDoS.exe die einem User untergejubelt wird, gehört aber nicht dazu.
    Außer du tackerst ihm deinen Microchip usw. unterm Tisch fest.
    Das wird aber auffallen 😃

    0
Anmelden zum Antworten