Re-Moin!

Übliche TCP/IP-Stacks senden SYN/ACK-Pakete bis zu viermal, wenn sie keine Reaktion erhalten. Der Bandbreitenvorteil beträgt also 4:1 für den Angreifer.

Dann ist der IP-Stack des angegriffenen Rechners aber kaputt und hat es nicht besser verdient. Wenn der nämlich ein SYN/ACK für eine Verbindung bekommt die er nicht bestellt hat, sendet er für gewöhnlich ein RST um die Verbindung sofort wieder abzubauen.

Tja, nur wenn soviele SYN/ACKs kommen, daß die Zuleitung zum angegriffenen Server platzt, dann nützen auch RSTs nichts mehr. :)

Da hätte der altbekannte direkte Angriff mit SYN-Paketen von gespooften Addressen bessere Chancen den Rechner lahmzulegen. Dann hat der Angegriffene es nämlich nicht nur mit der Bandbreite zu tun, sondern auch mit einer langsam vollaufenden Verbindungsliste. (Vorraussgesetzt die richtigen Rechner hinter den gespooften Addressen antworten nicht, will sagen existieren gar nicht.)

Dagegen hat man schon Mittel entwickelt: SYN-Cookies oder 'GENESIS' (wobei letzteres von eben jenem Steve Gibson entwickelt wurde). Mit SYN-Flooding kriegt man heute allerhöchstens noch Windows-Kisten vom Netz. ;) Würde ich mal einfach so wild behaupten.

Natürlich ist ein Einzelkämpfer möglicherweise etwas überlastet, einen anderen einzelnen Server lahmzulegen, aber wenn 10 Freunde antreten, oder bereits vorhandene ferngesteuerte Zombies benutzt werden, dann ist das garkein Problem mehr. Und dank der gespooften IP auch absolut nicht zurückzuverfolgen.

Das kannst du aber auch direkt haben. Und du würdest dich dann nicht von der Existenz eines weiteren Rechners zum reflektieren abhängig machen. Es könnte evt. Vorteile haben, wenn du den Rechner den du als Reflektor einsetzt auch noch angreifen willst. Das ist wohl wahr.

Natürlich kann man auch direkt angreifen. Alles, was die Netzanbindung zum Opfer überlastst, ist möglich. Nur hat man beim Reflector-Angriff wirklich keinerlei Möglichkeit mehr, den Urheber herauszufinden, weil ganz normale, als sicher zu betrachtende Netzwerkgeräte gespoofte IP-Pakete erhalten. Man kann also den Sender dieser Pakete nicht mehr ermitteln, und damit auch nicht, ob jemand die Pakete direkt oder via Zombie abgeschickt hat. Eben weil die Absendeadresse gefälscht ist.

Bei einem herkömmlichen DDoS-Angriff hat man immerhin noch die Chance, das Zombieprogramm auf dem Helferrechner zu finden und zu analysieren.

Und "Anhängigkeit von existierenden Reflektoren" ist nicht wirklich gegeben: Es gibt in einem Internet mindestens einen Router, der möglicherweise eigene Ports offenhat, und sicherlich auch mehr als einen Server. Da sucht man sich einfach die gut angebundenen heraus, wie z.B. Yahoo, und macht.

Jedes Traceroute zu irgendeiner IP liefert die Adressen der beteiligten Router. Kurzer Portscan hinterher, ob irgendwelche Ports offen sind, eintragen in die Reflektorliste - fertig.

- Sven Rautenberg