da mein Server momentan etwas langsam ist, habe ich mich versucht
etwas mit dem Thema DDoS auseinander zu setzen, da ich solche Attacken
vermute, aber nicht beweisen kann.

Ich habe hier
einen entsprechenden Source gefunden und wollte das nun selbst an unserem
Firmenserver testen (keine Sorge ich habe die Erlaubnis der Geschäftsführung).

Sind solche synflood-Angriffe grundsätzlich keine Gefahr mehr? Ich meine gelesen
zu haben, dass man da RAW-Sockets für nutzt, diese aber nicht mehr mit "fake"-
IP arbeiten.

Ich kann nach Verwendung des Codes auch ehrlich gesagt absolut nichts im
Logfile finden, was auf einen Angriff hinweisen würde. Zudem ist auch
die Performance absolut stabil. Haben es auch gegen unser Firmen-NAS getestet
(Linux). Ergebnis ebenso

Kann man pauschal sagen DDos ist tot? Aber warum trifft es dann gelegentlich
noch andere (große) Firmen? Liegt es an der Masse der Angreifer oder anderen
Techniken?

Das was du gemacht hast, ist eine Dos-Attack. Eine DDos-Attack ist noch etwas anderes.

Wird sogar auf Wikipedia erklärt ( http://de.wikipedia.org/wiki/Denial_of_Service ) ...

Nun solltest du dir die Frage selbst beantworten können, warum du allein mit einer Dos bei eurem Server nichts bewirkt hast, aber ein DDos auf andere Firmen Erfolg hat.

Falls der Groschen noch nicht gefallen ist: Stichwort "Botnetze"

Vielleicht kann ja noch jemand was zur Wirksamkeit solchen Codes sagen?
Ich habe hier max. die Chance nach Feierabend 11 PC zu nutzen um mit
obigem Code einen Angriff zu simulieren.

Ich meine gelesen zu haben, dass man da RAW-Sockets für nutzt, diese aber nicht mehr mit "fake"-IP arbeiten.

richtig, raw sockets unter windoofs lassen keine falschen absenderadressen mehr zu. aber wenn der angreifer eine linux-kiste benutzt geht's natürlich. unter windows bieten sich dafür sogenannte 'packt driver' an. damit kann man sich alles mögliche an paketen basteln und sie abschicken, ohne dass windows dazwischen funken kann.

Slooth schrieb:

Vielleicht kann ja noch jemand was zur Wirksamkeit solchen Codes sagen?

je mehr solche pakete den rechner beschäftigen, desto störender sind sie. z.b. kommt jedes gültige ethernet-paket erstmal ein 'verteiler' zu sehen. der findet z.b. eine 0x800 als ethernet-id und reicht das paket weiter zum ip-stack. der ip-stack prüft die checksum (was übrigens relativ aufwändig ist), stellt z.b. fest, dass es ein tcp-paket ist und reicht das paket an tcp weiter. tcp erkennt das SYN-bit, muss in einer liste nachschauen, ob ein passender socket im listen-mode ist und falls nicht, ein RST-paket zurückschicken. je eher in dieser kette ein paket als 'angriff' identifiziert werden kann, desto besser.

Jetzt müsste ich dann mal das Thema packet-driver genauer unter die Lupe nehmen.
Sind das quasi sowas wie rootkits? Also z.B. ".sys"-Dateien die mit dem
DDK erzeugt werden können?

Winpcap wird in dem Zusammenhang genannt, wie ich eben gelesen habe.
Wird also vorausgesetzt, dass eine angreifende Maschine Winpcap installiert hat?
Oder werden notwendige libs oderso mit in die synflood.exe eingebunden?
Kann mir nicht vorstellen, dass eine DDoS so durchführbar wäre. Der Angreifer
kann ja nicht wissen ob Winpcap installiert ist.

Vielleicht hab ich auch nur die Hälfte verstanden und es ist ganz anders
(ziemlich sicher sogar ). So i read on...

Sei gegrüßt