Mailinglist Archive: opensuse-de (3763 mails)

< Previous Next >
Hilfe DoS Attacke!
  • From: Anatol Schirmer <linux@xxxxxxxxxxxxxxx>
  • Date: Tue, 14 Sep 2004 08:56:05 +0200
  • Message-id: <41469605.5080903@xxxxxxxxxxxxxxx>
Hilfe Liste!

Von unserem Rechner gehen angeblich Deniail of Service Attacken aus! Haben gestern Nacht dazu ein nettes Abuse-Schreiben vom betroffenen Admin bekommen.

In dem Schreiben wird uns vom Admin vorgeworfen, daß er nun zum zweiten Mal DoS Attacken gegen seine WebSite festgestellt hat. Es soll sich um gespoofte Pakete handeln, aber man könne einwandfrei unsere IP feststellen. Der Admin hält sich für "einen sehr freundlichen Menschen" (Zitat) und bittet "nur um Begründung dieses Angriffes" (noch n Zitat).

Würde er nocheinmal einen solchen Angriff sehen, - und ich kann mir sicher sein, daß man alles loggen würde - "werden nachweisbare Schadensersatzansprüche in 6stelliger Höhe" (Zitat) auf mich zu kommen.

Wir haben natürlich besseres zu tun, als anderer Sites lahm zu legen - wüßte auch so ganz aus dem hohlen Bauch gar nicht mal wie!


Frage: Wie seriös ist sowas? Erste Vermutung ist, daß es echt ist, denn was bringt einem anderen so eine Mail, wenn sie gefakte ist? Es war ja nicht mal ein Attachment dran, daß nen Trojaner enthalten könnte.

Andererseits wäre es ne sehr coole Methode einer DoS Attacke auf ganz andere Art: Schicke ne Abuse Mail und der betroffene Betreiber schaltet - verschreckt von 6 Stellen - sofort seine Kiste aus ;-) Gute Wirkung und viel weniger Aufwand ;-)

Es gibt ein paar Punkte, die mich an der Echtheit allerdings doch etwas zweifeln lassen:

a) Meines Wissens machen DoS Attacken nur von mehreren Rechnern aus Sinn - die Masse machts. Und Admin klingt so, als ob wir die einzigen wären.

b) man weiß doch, daß die Server-Betreiber so etwas in aller Regel nicht von sich aus machen, sondern daß es da in den meisten Fällen Blinde Passagiere gibt. Und der Admin tut so, als ob die Eigentümer selbst handeln würden. Wenn mir soetwas auffallen würde, dann würde ich natürlich auch schreiben, aber mit dem Tenor, daß es dort vermutl. einen ungebetenen Gast gibt.

c) Ich habe vom Spoofen zwar rudimentäre, prinzipielle Ahnung, aber noch nie gemacht ;-) Sind IPs versteckt und nur schwer erhältlich? So klingt es ja ...

d) wenn spoofing gemacht wird, dann brauche ich doch einen Server, der die gespooften Pakete auspakt und entsprechend ihrer eigentlichen Aufgabe behandelt, oder? Also, wenn ich nen Peer2Peer über Port 80 betreibe, dann muß doch jemand die Pakete wieder auspaken und sie richtig zustellen ...

e) ich würde nicht nur um eine Begründung bitte, warum man diese DoS Attacken ausführen würde, sondern fordern, daß dies aufhört. Warum so sanft, wenn er im nächsten Atemzug so hart ist?

f) kann man einfach so 6stellige Schadensersatzansprüche stellen und durchgesetzt bekommen?

g) er schreibt ja von "nachweisbare Schadensersatzansprüche". Was sind _nachweisbare_ Schadensersatzansprüche?? Entweder ich habe sie oder ich habe sie nicht. Aber man kann doch Ansprüche nicht nachweisen, sondern nur einen Schaden, oder??


Nun ein paar praktische Fragen:

1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie?

2) In wiefern können mir die LogFiles vom Admin helfen?

3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß.

Was haltet Ihr von dem Ganzen?

Viele Grüße
Anatol






< Previous Next >