heise.de Offline ?

Anzeige

AW: heise.de Offline ?

Interessante Promotion-Aktion von heise. Vor allem die 10.000 EUR Belohnung. Das geht so erst recht durch alle Nachrichtensendungen.

Und vor allem DDoS-Attacken sind mittlerweile recht einfach unter Kontrolle zu bringen. Bei einer ungewöhnlich hohen Anzahl von Anfragen (geprüft gegen Durchschnitt/StdAbw) blockt der IP-Treiber alle wiederholten Anfragen von der selben IP auf einen Port pro Sekunde mit Nicht-Beantwortung und ICMP "Service Not Available". Dies entlastet die drüberliegenden TCP/IP Stacks und Webserver enorm. Das reduziert das Problem auf verschiedene Computer mit unterschiedlichen IPs. In Phase 2 werden dann Subnetze zusammengefasst geblockt. Jede Super-Firewall kann das mittlerweile...

 

AW: heise.de Offline ?

Ne, is schnell wie immer.

Bei www.heise.de komm ich immer noch nicht rein.

 

AW: heise.de Offline ?

Ich denke nicht, dass diese Attacken mit einer richtigen Absender-IP gefahren werden.

 

AW: heise.de Offline ?

Wurm Sober.K ?

vermutlich nicht, aber er kann Softwarenachladen:

Wurm Sober.K breitet sich weiter aus

Der gestern unter ferner liefen gemeldete Wurm Sober.J/.K hat mittlerweile eine höhere Verbreitung erreicht, sodass einige Hersteller von Antivirensoftware seine Einstufung in die Bedrohungsklassen erhöht haben. Der Schädling kommt als Anhang englischer und deutscher Mails und versendet sich mit einer eigenen SMTP-Engine an weitere Rechner. Zusätzlich versucht er von verschiedenen Web-Servern Dateien nachzuladen. Sober.K soll den Beschreibungen zufolge sogar Verbindungen zu POP3-Konten bei GMX aufbauen. http://www.heise.de/RealMedia/ads/adstream_lx.ads/www.heise.de/newsticker/meldungen/internet/384930250/Middle1/he-test-contentads/zaehler.html/63306138316532333431666639656630?_RM_EMPTY_

Unterdessen haben sich erste Vermutungen nicht bestätigt, dass der Wurm für die Beeinträchtigung der Erreichbarkeit von heise online verantwortlich ist. Nach Angaben von Dirk Kollberg von McAfee trägt Sober.K die URL http://heise.de in sich, was den Schluss nahe legte, dass der Wurm eine Funktion für DoS-Attacken auf heise online in sich trägt. Allerdings konnte dieses Verhalten in Tests nicht nachvollzogen werden. Ein Angriff per HTTP-Requests, die durch Weiterleitung von heise.de an www.heise.de den Online-Auftritt in Mitleidenschaft zögen, kommt nicht in Betracht, da in den Log-Files keine Häufung dieser Requests festzustellen ist. Alle anderen Angriffsarten auf heise.de beeinflussen www.heise.de nicht, sodass der Wurm als Verursacher ausgeschlossen werden kann.



Siehe dazu auch:

• Beschreibung W32/Sober.k@MM von McAfee
• Beschreibung Worm Sober.j von Trend Micro

Quelle http://www.heise.de/newsticker/meldung/55791

Geduuuuuuuuuuuuuuuuult !!!

-Zahni

 

AW: heise.de Offline ?

Zu 99,9% schon. Viren und Würmer können unter Windows die Absender IP-Adresse nur sehr schwer fälschen, dazu ist ein Kernel-Eingriff nötig. Man kommt an die Pakete einfach nicht ran. Bitte nicht verwechseln mit Mail-Absender-Adressen. Zum anderen fangen die Firewalls aller Provider diese falschen Pakete ab, da die IP-Adresse ungültig/unbekannt ist.

 

AW: heise.de Offline ?

Ähm, ich denke auch nicht, dass der Angriff von vielen Windows Rechnern ausgeht. Ich stelle mir hier eher ein paar "dumme" Studenten vor, die über RAW-Sockets hier auf den Server einprügeln.

 

AW: heise.de Offline ?

Diese "dummen" Studenten gehen aber via dfn (Universitäten) rein oder über ihren Provider. Und alle filtern. Technisch ist das faken kein Problem, nur sehr schwer umzusetzen. Ich vermute also jemanden, der direkten Zugang zu den Backbones hat (ohne Provider) und keine Viren/Würmer/etc.

 

AW: heise.de Offline ?

Es müsste aber über, IP_HDRINCL der ja bestimmt gesetzt ist, rauszufinden sein, wo das herkommt.
Oder hab ich da was falsch verstanden, so firm bin ich da nicht.

 

AW: heise.de Offline ?

Bei mir isses flüssig wie eh und je ...

 

AW: heise.de Offline ?

Das Prinzip ist, du machst die TCP/IP-Kommunikation selbst. Du baust also alle IP/ICMP-Header und machst damit eine Anfrage auf den Server mit ungültigen Daten. Gefakte IP-Adresse. Nur werden diese Pakete von den Providern rausgefiltert, da das über die Firewall laufende Paket nicht aus dem angeschlossenen IP-Netz kommt.