Hilfe Liste! Von unserem Rechner gehen angeblich Deniail of Service Attacken aus! Haben gestern Nacht dazu ein nettes Abuse-Schreiben vom betroffenen Admin bekommen. In dem Schreiben wird uns vom Admin vorgeworfen, daß er nun zum zweiten Mal DoS Attacken gegen seine WebSite festgestellt hat. Es soll sich um gespoofte Pakete handeln, aber man könne einwandfrei unsere IP feststellen. Der Admin hält sich für "einen sehr freundlichen Menschen" (Zitat) und bittet "nur um Begründung dieses Angriffes" (noch n Zitat). Würde er nocheinmal einen solchen Angriff sehen, - und ich kann mir sicher sein, daß man alles loggen würde - "werden nachweisbare Schadensersatzansprüche in 6stelliger Höhe" (Zitat) auf mich zu kommen. Wir haben natürlich besseres zu tun, als anderer Sites lahm zu legen - wüßte auch so ganz aus dem hohlen Bauch gar nicht mal wie! Frage: Wie seriös ist sowas? Erste Vermutung ist, daß es echt ist, denn was bringt einem anderen so eine Mail, wenn sie gefakte ist? Es war ja nicht mal ein Attachment dran, daß nen Trojaner enthalten könnte. Andererseits wäre es ne sehr coole Methode einer DoS Attacke auf ganz andere Art: Schicke ne Abuse Mail und der betroffene Betreiber schaltet - verschreckt von 6 Stellen - sofort seine Kiste aus ;-) Gute Wirkung und viel weniger Aufwand ;-) Es gibt ein paar Punkte, die mich an der Echtheit allerdings doch etwas zweifeln lassen: a) Meines Wissens machen DoS Attacken nur von mehreren Rechnern aus Sinn - die Masse machts. Und Admin klingt so, als ob wir die einzigen wären. b) man weiß doch, daß die Server-Betreiber so etwas in aller Regel nicht von sich aus machen, sondern daß es da in den meisten Fällen Blinde Passagiere gibt. Und der Admin tut so, als ob die Eigentümer selbst handeln würden. Wenn mir soetwas auffallen würde, dann würde ich natürlich auch schreiben, aber mit dem Tenor, daß es dort vermutl. einen ungebetenen Gast gibt. c) Ich habe vom Spoofen zwar rudimentäre, prinzipielle Ahnung, aber noch nie gemacht ;-) Sind IPs versteckt und nur schwer erhältlich? So klingt es ja ... d) wenn spoofing gemacht wird, dann brauche ich doch einen Server, der die gespooften Pakete auspakt und entsprechend ihrer eigentlichen Aufgabe behandelt, oder? Also, wenn ich nen Peer2Peer über Port 80 betreibe, dann muß doch jemand die Pakete wieder auspaken und sie richtig zustellen ... e) ich würde nicht nur um eine Begründung bitte, warum man diese DoS Attacken ausführen würde, sondern fordern, daß dies aufhört. Warum so sanft, wenn er im nächsten Atemzug so hart ist? f) kann man einfach so 6stellige Schadensersatzansprüche stellen und durchgesetzt bekommen? g) er schreibt ja von "nachweisbare Schadensersatzansprüche". Was sind _nachweisbare_ Schadensersatzansprüche?? Entweder ich habe sie oder ich habe sie nicht. Aber man kann doch Ansprüche nicht nachweisen, sondern nur einen Schaden, oder?? Nun ein paar praktische Fragen: 1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie? 2) In wiefern können mir die LogFiles vom Admin helfen? 3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß. Was haltet Ihr von dem Ganzen? Viele Grüße Anatol
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer:
Hilfe Liste! Nun ein paar praktische Fragen:
Lass dich davon nicht verrückt machen.
1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie?
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist.
3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß.
1. Untersuch doch mal dein system mit checkrootkit 2. gegebenfalls neu aufsetzen. 3. Ich persönlich mag die SuSE-Firewall nicht besonders, schreibe meine FW's (scripte) selbst. Ist zwar aufwendiger, aber dafür weiss ich was offen, bzw zu ist, sowie ich weiss wo an welcher stelle ich eingreifen muss. abgesehen davon, würde ich auch ein IDS mit aufsezten.
Was haltet Ihr von dem Ganzen?
Viele Grüße Anatol
mfg Andre
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen. :-) Leicht gesagt :-)
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles. Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist. Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus: [...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...] und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
1. Untersuch doch mal dein system mit checkrootkit Jup ist in Arbeit :-)
2. gegebenfalls neu aufsetzen. Argh! Mag nicht!!! ;-)
3. Ich persönlich mag die SuSE-Firewall nicht besonders, Warum? Unsicher oder zu wenig konfigurierbar?
schreibe meine FW's (scripte) selbst. cool! Wie macht man sowas?? Auch wollen!! ;-)
Ist zwar aufwendiger, aber dafür weiss ich was offen, bzw zu ist, sowie ich weiss wo an welcher stelle ich eingreifen muss. Ja klingt vernünftig.
abgesehen davon, würde ich auch ein IDS mit aufsezten. Hatte ich versucht: Tripwire! Aber ich habe nach der Installation irgendwie kein "Foto" des Systems hinbekommen. Da ist er immer mit ner Meldung abgestürzt: "Segmentation Fault" wars glaub ich - und das ist so die ganz böse Nummer ... Nach einer Woche rumprobierens hab ichs dann einfach aufgeben müssen ...
Viele Grüße Anatol
Am Dienstag, 14. September 2004 10:02 schrieb Anatol Schirmer:
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen.
:-) Leicht gesagt :-) :
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles.
Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
dann ist es echt böse. Dann würde ich sofort einen neuen Server aufsetzen und nur die wichtigsten Configfiles und evtl. Daten übernehmen, auf keinen Fall Lib-Dateien oder ausführbare Dateien, da davon wahrscheinlich einige kompromittiert sind. Den Server dann hinstellen, bzw. die Platte in den alten Server einbauen, dann eine Sicherung der gesamten Platte machen, z.B. auf eine andere Platte und dann die Sicherung ganz genau untersuchen, was wann geändert oder passiert ist. Dazu gibts im Internet viele Hinweise.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist.
Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
[...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...]
und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
1. Untersuch doch mal dein system mit checkrootkit
Jup ist in Arbeit :-)
2. gegebenfalls neu aufsetzen.
Argh! Mag nicht!!! ;-)
3. Ich persönlich mag die SuSE-Firewall nicht besonders,
Warum? Unsicher oder zu wenig konfigurierbar?
schreibe meine FW's (scripte) selbst.
cool! Wie macht man sowas?? Auch wollen!! ;-)
Ist zwar aufwendiger, aber dafür weiss ich was offen, bzw zu ist, sowie ich weiss wo an welcher stelle ich eingreifen muss.
Ja klingt vernünftig.
abgesehen davon, würde ich auch ein IDS mit aufsezten.
Hatte ich versucht: Tripwire! Aber ich habe nach der Installation irgendwie kein "Foto" des Systems hinbekommen. Da ist er immer mit ner Meldung abgestürzt: "Segmentation Fault" wars glaub ich - und das ist so die ganz böse Nummer ... Nach einer Woche rumprobierens hab ichs dann einfach aufgeben müssen ...
Mfg, Thomas
On Tue, Sep 14, 2004 at 10:02:21AM +0200, Anatol Schirmer wrote:
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen. :-) Leicht gesagt :-)
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles. Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist. Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
Ist es auch.
[...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...]
und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
Was Du da bekommst sind die Antworten (ACK) auf deine (?) Verbindungs- anfragen (SYN). => 3-Way Handshake Für nähere Infos Google fragen. Gruß, Jürgen
Hallo Liste, Was mich an der ganzen Geschichte am meisten beunruhigt, ist Folgendes: 1.) wie schützt man sich dagegen -präventiv_, wenn schon das so sichere OS Linux so etwas zuläßt? Mir ist bewußt, daß 'Sicherheit' ein weit gefaßter Begriff ist, und eigentlich viele Aspekte beinhaltet. M.a.W.: das OS alleine kann die gewünschte Sicherheit i.a. _nicht_ bieten. Vgl. z.B. Markus' Kuhn HP: http://www.cl.cam.ac.uk/~mgk25/) 2.) Was kann man dagegen tun? Ich halte mich für einen interessierten Laien, der ein bißchen was weiß, aber nicht in der 'Liga der Systemsypezialisten' mitreden kann. Man kann ja ´nicht alles wissen... Trotzdem würde ich meinen Server gerne _sicher_ betreiben, _ohne_ Schaden für Dritte oder Schadenersatzforderungen befürchten zu müssen. Gibt es da Verhaltensregeln, oder Warnhinweise, wenn so etwas auftritt? Wäre das eine Aufgabe eine OS-Anbieters, eine entsprechende Standardkonfiguration zu installieren? Gibt es überhaupt Ansätze, Sicherheit im Internet als 'Standard bei der Installation' durchgehend 'sicher' zu machen? Der scheinbare 'Komfort' von Cookies etc. ist mir völlig schnurz... . Ich will einfach nur EINES - SICHERHEIT!!! 3.) Thomas Gräber meint in seinem Beitrag Re: Re: Hilfe DoS Attacke! Datum: Tue, 14 Sep 2004 11:14:54 +0200
Dann würde ich ... und nur die wichtigsten Configfiles und evtl. Daten übernehmen, auf keinen Fall Lib-Dateien oder ausführbare Dateien, da davon wahrscheinlich einige kompromittiert sind. ...<<
Ich frage mich nun insbesondere: Ist es denkbar, daß bestimmte files im _laufenden_ Betrieb geändert / ausgetauscht werden, _ohne_ daß das OS das 'merkt'? Wäre _das_ nicht ebenso ein Aspekt der Sicherheit? Bei der Installation von Paketen gibt's ja auch Schlüssel, die übereinstimmen müssen. Warum sollte man eine derartige Überprüfung nicht mit den Paketen tun, die _während_ einer Sitzung aktiv sind/waren? 4.) Sind derartige Angriffe auch seitens der Behörden bekannt? (ich duck' mich schon mal...). Würde man ja auch nicht mitkriegen... . 5.) Aus rechtlicher Sicht: Was _muß_ man tun, um nicht als fahrlässig verantwortlich gemacht zu werden? ("Sorgfaltspflicht") 6.) Frage: Vielleicht wäre die Diskussion in der Security-Liste besser aufgehoben gewesen? Kann hier jemand mit Wissen & Fakten beruhigen? Wäre toll! Axel Am Di, den 14.09.2004 schrieb Jürgen Knelangen um 12:16:
On Tue, Sep 14, 2004 at 10:02:21AM +0200, Anatol Schirmer wrote:
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen. :-) Leicht gesagt :-)
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles. Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist. Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
Ist es auch.
[...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...]
und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
Was Du da bekommst sind die Antworten (ACK) auf deine (?) Verbindungs- anfragen (SYN).
=> 3-Way Handshake
Für nähere Infos Google fragen.
Gruß, Jürgen -- Dr. A. Krebs
Am Dienstag, 14. September 2004 15:17 schrieb Dr. A. Krebs:
Was mich an der ganzen Geschichte am meisten beunruhigt, ist Folgendes:
1.) wie schützt man sich dagegen -präventiv_, wenn schon das so sichere OS Linux so etwas zuläßt?
Das hat mit dem OS erst mal nix zu tun. http://www.grc.com/dos/drdos.htm Aus dem gelieferten Dump geht meiner Meinung nach nicht hervor wer da wirklich der Verursacher ist. Und "Schadenersatzvorderungen" sind da ohnehin Quatsch... Gruß Harald
Hallo Anatol, am 14.09.2004, um 10:02 h, schrieb Anatol Schirmer:
2. gegebenfalls neu aufsetzen. Argh! Mag nicht!!! ;-)
3. Ich persönlich mag die SuSE-Firewall nicht besonders, Warum? Unsicher oder zu wenig konfigurierbar?
schreibe meine FW's (scripte) selbst. cool! Wie macht man sowas?? Auch wollen!! ;-)
irgendwie habe ich ein schlechtes Gefühl, dass ihr überhaupt einen Rechner im Netz betreibt. Falls das System kompromittiert worden ist: http://oschad.de/wiki/index.php/Kompromittierung http://www.cert.org/tech_tips/win-UNIX-system_compromise.html checkrootkit wurde ja schon genannt, das kann man über cron schön regelmässig laufen lassen. -- Mit freundlichen Grüßen/Yours sincerely, Dietmar Strasdat mailto:earthmate@gmx.net RSA 2048 PGP Key 0xBBE4EC81 available
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer:
Hilfe Liste!
Von unserem Rechner gehen angeblich Deniail of Service Attacken aus! Haben gestern Nacht dazu ein nettes Abuse-Schreiben vom betroffenen Admin bekommen.
In dem Schreiben wird uns vom Admin vorgeworfen, daß er nun zum zweiten Mal DoS Attacken gegen seine WebSite festgestellt hat. Es soll sich um gespoofte Pakete handeln, aber man könne einwandfrei unsere IP feststellen. Der Admin hält sich für "einen sehr freundlichen Menschen" (Zitat) und bittet "nur um Begründung dieses Angriffes" (noch n Zitat).
Is interessant, wie will er denn da deine IP wissen, gespooft heisst gefälscht. Das solltest du dir vielleicht mal erklären lassen.
Würde er nocheinmal einen solchen Angriff sehen, - und ich kann mir sicher sein, daß man alles loggen würde - "werden nachweisbare Schadensersatzansprüche in 6stelliger Höhe" (Zitat) auf mich zu kommen. Lass dir die Logfiles zusenden. Die müssen in solchen Fällen immer mitgeschickt werden.
Wir haben natürlich besseres zu tun, als anderer Sites lahm zu legen - wüßte auch so ganz aus dem hohlen Bauch gar nicht mal wie!
Frage: Wie seriös ist sowas? Erste Vermutung ist, daß es echt ist, denn was bringt einem anderen so eine Mail, wenn sie gefakte ist? Es war ja nicht mal ein Attachment dran, daß nen Trojaner enthalten könnte.
Andererseits wäre es ne sehr coole Methode einer DoS Attacke auf ganz andere Art: Schicke ne Abuse Mail und der betroffene Betreiber schaltet - verschreckt von 6 Stellen - sofort seine Kiste aus ;-) Gute Wirkung und viel weniger Aufwand ;-)
Es gibt ein paar Punkte, die mich an der Echtheit allerdings doch etwas zweifeln lassen:
a) Meines Wissens machen DoS Attacken nur von mehreren Rechnern aus Sinn - die Masse machts. Und Admin klingt so, als ob wir die einzigen wären. Nicht unbedingt. Das was du meinst, sind DDoS Attaken(Distributed Denial of Service). Wenn man einen Fehler in der Webserversoftware ausnutzt, wodurch der Server/Serversoftware abstürzt, kann man das auch als DoS Attacke bezeichnen. Lass dir mal erklären, was da angeblich genau passiert ist.
b) man weiß doch, daß die Server-Betreiber so etwas in aller Regel nicht von sich aus machen, sondern daß es da in den meisten Fällen Blinde Passagiere gibt. Und der Admin tut so, als ob die Eigentümer selbst handeln würden. Wenn mir soetwas auffallen würde, dann würde ich natürlich auch schreiben, aber mit dem Tenor, daß es dort vermutl. einen ungebetenen Gast gibt.
Erklär ihm, dass dir von solchen Aktivitäten nichts bekannt ist und dass du vermutest, dass dein Server missbraucht worden sein könnte und du dem jetzt auf den Grund gehen wirst. Ein Anfang wäre, mit rpm --verify -a | grep -v "/etc" zu überprüfen, ob die Dateien noch in unverändertem Installationszustand sind. Aber über Systemkompromittierung musst du dich mal im Internet belesen, das ist ein sehr komplexes Thema.
c) Ich habe vom Spoofen zwar rudimentäre, prinzipielle Ahnung, aber noch nie gemacht ;-) Sind IPs versteckt und nur schwer erhältlich? So klingt es ja ... Spoofing ist, wenn jemand seine Absender-IP-Addresse fälscht, wodurch der Server seine Antwortpakete ins Leere schickt. Ausserdem ist es so eigentlich nicht mehr möglich, den wirklichen Absender zu ermitteln.
d) wenn spoofing gemacht wird, dann brauche ich doch einen Server, der die gespooften Pakete auspakt und entsprechend ihrer eigentlichen Aufgabe behandelt, oder? Also, wenn ich nen Peer2Peer über Port 80 betreibe, dann muß doch jemand die Pakete wieder auspaken und sie richtig zustellen ...
Wenn eine Abesender-IP-Addresse gefälscht wird, wird diese von den Routern im Internet weitergeleitet, da diese Meist nach Ziel-IP-Addressen arbeiten. Wenn das Paket beim Zielserver ankommt, packt dieser das aus, und schickt ein Antwort Paket an die falsche Addresse und hält die Verbindung für eine bestimmte Zeit offen, da er auf eine Antwort wartet, die er natürlich nie bekommt. Wenn man davon genügend Pakete verschickt, kann der Server irgendwann keine neuen Verbindungen mehr annehmen. Siehe dazu TCP-Handshake und SYN-Flooding.
e) ich würde nicht nur um eine Begründung bitte, warum man diese DoS Attacken ausführen würde, sondern fordern, daß dies aufhört. Warum so sanft, wenn er im nächsten Atemzug so hart ist?
Gute Frage....
f) kann man einfach so 6stellige Schadensersatzansprüche stellen und durchgesetzt bekommen? Das kommt auf den Schaden an, der dadurch entstanden ist. Allerdings mag ich bezweifeln, dass er nachweisen kann, dass das wirklich von eurer IP kommt, wenn es sich wirklich um gespoofte Pakete handelt. g) er schreibt ja von "nachweisbare Schadensersatzansprüche". Was sind _nachweisbare_ Schadensersatzansprüche?? Entweder ich habe sie oder ich habe sie nicht. Aber man kann doch Ansprüche nicht nachweisen, sondern nur einen Schaden, oder??
Ich bin leider kein Jurist...
Nun ein paar praktische Fragen:
1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie? Mit tcpdump/ethereal. Musst mal versuchen zu beobachten, von welchem PC viele Pakete zum Netz des "Opfers" gehen. Lass dir dazu mal die IP-Addresse des Servers geben.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sehr viel, da steht vom Prinzip her alles drin, was der Admin auch darüber weiß.
3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß.
Ne eigene Firewall zu schreiben wäre in solchen fällen wahrscheinlich sinnvoller. da solltest du dann versuchen, die Anzahl der Pakete, die auf die IP des Servers des Admins gehen, zu zählen und evtl. zu limitieren. Ich weiss aber nicht, ob iptables das mit TCP-Paketen auch kann.
Was haltet Ihr von dem Ganzen?
Is ne blöde Situation, aber damit muss man immer rechnen, wenn man einen Server im Internet betreibt. Mfg, Thomas
Hallo Anatol, Du schriebst am 14.09.04 :
Von unserem Rechner gehen angeblich Deniail of Service Attacken aus! Haben gestern Nacht dazu ein nettes Abuse-Schreiben vom betroffenen Admin bekommen.
Frag' ihn doch mal, wie er von der IP- auf Deine Mailadresse gekommen ist - das geht nämlich eigentlich nicht. Insofern ist eine Fakemail wahrscheinlich. Oder hast Du unter der IP-Adresse eine eigene Domain laufen und er hat an eine Standardadresse (Admin, Hostmaster, Mailadmin o.ä.) dieser Domain geschrieben? -- Gruß Bernd PGP Key als Empfangsbestaetigung oder Mail. Betreff/Subject: 'SEND PGPKEY' Key: 1024/90F8BC35 FP: 9C 1F D1 8B BD D0 FA 62 BA D6 C7 C8 89 7D 5F E8
participants (8)
-
Anatol Schirmer
-
Andre Lorenz
-
Axel.Krebs@t-online.de
-
Dietmar Strasdat
-
Harald_mail@t-online.de
-
Jürgen Knelangen
-
list_suse@troszynski.de
-
Thomas Gräber