Re-Moin!

Geht aber nicht, wenn die Serverleitung überlastet ist. Es handelt sich um bandwidth-flooding - da ist der Sinn, daß kein geordneter Netzwerkverkehr mehr möglich ist, und der Server kann dagegen garnichts tun - auch keine Absender-IP checken. Da muß der vorgelagerte Router aktiv werden, um die dünne Leitung zum Server freizuhalten.

Du verwechselts gerade das Ziel/Opfer mit dem "Helfershelfer".
Der Helfershelfer ist der Host, der das falsche Paket bekommt und dann an das Opfer , als vermeintlicher Absender dann antwortet.
Der Helfershelfer darf und kann nicht überlastet werden, weil er
sonst auch nicht das Ziel genug attackieren kann und auch die Wahrscheinlichkeit hoch ist, das er vom Netz genommen wird.

Stimmt. Da hatte ich dich mißverstanden. Deine "Abwehr" setzt bei Servern an, auf die das Opfer keinerlei Einfluß hat. So hast du's ausdrücken wollen, kam aber nicht an. :)

Und auch das Backtracking dürfte problematisch sein:
1. Wie willst du herausfinden, ob der Rechner, dessen IP-Adresse im SYN-Paket steht, der Rechner ist, der das Paket abgeschickt hat?
2. Wie stellst du sicher, daß dein Backtracking nicht das gleiche Ergebnis hat, wie ungeprüfte SYN/ACK-Responses?

Im Prinzip muß man kontrollieren, ob eine IP (die des Opfers, ausgehend vom Angreifer) unverhältnismäßig viele SYN-Pakete schickt, und die dann ignorieren. Dürfte aber schwierig werden, sowas auf allen Internetservern zu realisieren. Wie erwähnt, wurden ja nicht nur HTTP-Server benutzt, sondern auch Router (bzw. die sind als erstes in Erscheinung getreten mit dem Port 179 für BGP - als die weggefiltert wurden, kamen erst die ganzen SYN/ACKs von HTTP, SSH etc. durch). Im Prinzip kann jeder offene Port für solch eine Attacke mißbraucht werden. Und da gibts reichlich Angebot - nicht zuletzt durch "Universal Plug and Play" von Microsoft, welches TCP-Port 5000 öffnet.

- Sven Rautenberg

Re-Moin!

Übliche TCP/IP-Stacks senden SYN/ACK-Pakete bis zu viermal, wenn sie keine Reaktion erhalten. Der Bandbreitenvorteil beträgt also 4:1 für den Angreifer.

Dann ist der IP-Stack des angegriffenen Rechners aber kaputt und hat es nicht besser verdient. Wenn der nämlich ein SYN/ACK für eine Verbindung bekommt die er nicht bestellt hat, sendet er für gewöhnlich ein RST um die Verbindung sofort wieder abzubauen.

Tja, nur wenn soviele SYN/ACKs kommen, daß die Zuleitung zum angegriffenen Server platzt, dann nützen auch RSTs nichts mehr. :)

Da hätte der altbekannte direkte Angriff mit SYN-Paketen von gespooften Addressen bessere Chancen den Rechner lahmzulegen. Dann hat der Angegriffene es nämlich nicht nur mit der Bandbreite zu tun, sondern auch mit einer langsam vollaufenden Verbindungsliste. (Vorraussgesetzt die richtigen Rechner hinter den gespooften Addressen antworten nicht, will sagen existieren gar nicht.)

Dagegen hat man schon Mittel entwickelt: SYN-Cookies oder 'GENESIS' (wobei letzteres von eben jenem Steve Gibson entwickelt wurde). Mit SYN-Flooding kriegt man heute allerhöchstens noch Windows-Kisten vom Netz. ;) Würde ich mal einfach so wild behaupten.

Natürlich ist ein Einzelkämpfer möglicherweise etwas überlastet, einen anderen einzelnen Server lahmzulegen, aber wenn 10 Freunde antreten, oder bereits vorhandene ferngesteuerte Zombies benutzt werden, dann ist das garkein Problem mehr. Und dank der gespooften IP auch absolut nicht zurückzuverfolgen.

Das kannst du aber auch direkt haben. Und du würdest dich dann nicht von der Existenz eines weiteren Rechners zum reflektieren abhängig machen. Es könnte evt. Vorteile haben, wenn du den Rechner den du als Reflektor einsetzt auch noch angreifen willst. Das ist wohl wahr.

Natürlich kann man auch direkt angreifen. Alles, was die Netzanbindung zum Opfer überlastst, ist möglich. Nur hat man beim Reflector-Angriff wirklich keinerlei Möglichkeit mehr, den Urheber herauszufinden, weil ganz normale, als sicher zu betrachtende Netzwerkgeräte gespoofte IP-Pakete erhalten. Man kann also den Sender dieser Pakete nicht mehr ermitteln, und damit auch nicht, ob jemand die Pakete direkt oder via Zombie abgeschickt hat. Eben weil die Absendeadresse gefälscht ist.

Bei einem herkömmlichen DDoS-Angriff hat man immerhin noch die Chance, das Zombieprogramm auf dem Helferrechner zu finden und zu analysieren.

Und "Anhängigkeit von existierenden Reflektoren" ist nicht wirklich gegeben: Es gibt in einem Internet mindestens einen Router, der möglicherweise eigene Ports offenhat, und sicherlich auch mehr als einen Server. Da sucht man sich einfach die gut angebundenen heraus, wie z.B. Yahoo, und macht.

Jedes Traceroute zu irgendeiner IP liefert die Adressen der beteiligten Router. Kurzer Portscan hinterher, ob irgendwelche Ports offen sind, eintragen in die Reflektorliste - fertig.

- Sven Rautenberg