Standard Trin00 ddos Angriff |
Willkommen, Gast ( Anmelden | Registrierung )
Standard Trin00 ddos Angriff |
Gast_Smithi_* |
06.11.2004, 22:31
Beitrag
#1
|
Gäste |
Grüße,
gestern nacht habe ich mich ein bißchen bei der Gegenseite (Hacker,cracker ect..)umgesehen, eben mal schauen was die so treiben bzw. was es neues gibt. Mein System ist soweit Save sowie sauber, Vorkehrungen habe ich getroffen. Doch plötzlich schlägt mein System Alarm! Ein Angriff - Standard Trin00 DDos. Soweit so gut, wurde ja blockiert....doch auf einmal sehe ich, obwohl schon über 3000 attacken dieser Seuche blockiert wurden, dass mein System plötzlich anfing diese attacke (Standard Trin00 DDos) zuzulassen Bin sofort aus dem Netz gegangen, habe alles gecheck und nichts gefunden. Meine Frage ist jetzt, wie ist das möglich? Wäre sehr dankbar für nützliche Tipps Smithi |
|
|
06.11.2004, 22:45
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
QUOTE doch auf einmal sehe ich, obwohl schon über 3000 attacken dieser Seuche blockiert wurden, dass mein System plötzlich anfing diese attacke (Standard Trin00 DDos) zuzulassen beschreibe das mal genau was wo passiert mit welcher meldung von welchen programm. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Smithi_* |
06.11.2004, 23:01
Beitrag
#3
|
Threadersteller Gäste |
Habe nach informationen auf nicht gerade serviösen pages gesucht
Auf jedenfall hat mein Blackice (IDS) alarm geschlagen u. meine Firewall von Norton hat mir eine attacke von den Standard trin00 DDos angezeigt - diese wurden auch alle blockiert, bis plötzlich mir dort angezeigt wurde, dass diese auf einmal zugelassen wurden.... Wie gesagt, habe keinerlei trojaner oder ähnliches drauf - kann mir aber paartu nicht erklären wie auf einmal eine funktion in der Firewall zuerst diese attacke blockt und dann zulässt Das einzige was noch merkwürdig ist, dass ein Firewalleintrag (Ungültige Zeichenfolfe-ID) kurzfristig von 1 auf 0 gesetzt wurde - was mir noch merkwürdiger vorkam, denn dann muss doch jemand drauf gewesen sein um eine Firewall zu deaktivieren! Wie gesagt, habe ein IDS, Firewall, AV-Programm sogar Ewido noch dazu, ad-aware sowie spybot und die dienste sind konfiguriert....ist wirklich alles sehr merkwürdig! Der Beitrag wurde von Smithi bearbeitet: 06.11.2004, 23:03 |
|
|
Gast_piet_* |
06.11.2004, 23:45
Beitrag
#4
|
Gäste |
Sorry all, ich kann nicht anders. Smithie ist einfach zu gut.
piet |
|
|
06.11.2004, 23:55
Beitrag
#5
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
QUOTE bis plötzlich mir dort angezeigt wurde, dass diese auf einmal zugelassen wurden.... hmm...ist irgendwie alles noch nicht nachvollziehbar , wer hat wo was angezeigt und ohne userintervention ist bestimmt nichts mit "zulassen" ,wenn überhaupt schon eine meldung kam. hast du logbuchauszüge die den angriff dokumentieren können bzw. einen beleg dafür geben können das eine "zulassuing" erfolgt ist ? -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Smithi_* |
07.11.2004, 00:49
Beitrag
#6
|
Threadersteller Gäste |
Das ist es ja, es war überhaupt keine Minderung der transferrate zuspüren.
Im Firewall Protokoll wurden etlichen tausend blockiert sowie weitergegeben und als ich sah, dass einige zugelassen wurden bin ich sofort aus dem Netz gegangen. Mir ist bewusst, um als Sender einer DDos attacke zu fungieren müssen irgendwelche trojaner bei mir auf dem System sein, dass kann ich aber defenitiv ausschließen. Oder gibt es noch eine andere Möglichkeit? Okay, ich war auf ein paar server gleichseitig. Vielleicht bin ich da irgendwo rein zufällig reingeraten u. meine Firewall hat irgendetwas falsch interpretiert. Aber denoch muss es hierfür eine logische Erklärung geben? Aufjedemfall wurden einige zugelassen bevor ich die leitung unterbrechen konnte... Die IP-adresse habe ich - werde jetzt mal das selbe von gestern wiederholen.... @Bond7 Falls du eine Norton firewall hast, kannst du unter Statistik, detaillierte Statistik unter firewall regeln ganz unten diesen standard trin00 ddos finden. Habe auch schon mit einigen Mitarbeitern hier auf dem board darüber diskutiert, wussten allerdings auch nicht mehr - nun vielleicht kann mir der schlaue piet noch etwas dazu sagen |
|
|
Gast_piet_* |
07.11.2004, 01:06
Beitrag
#7
|
Gäste |
QUOTE(Smithi @ 7. November 2004, 00:48) Mir ist bewusst, um als Sender einer DDos attacke zu fungieren müssen irgendwelche trojaner bei mir auf dem System sein, dass kann ich aber defenitiv ausschließen. Ein wahrer Profi der ersten Stunde. Mir ist es völlig schleierhaft, wie es dazu kommen konnte. Vielleicht solltest Du zur Sicherheit eine 2te Firewall installieren? Bist Du sicher das ein Trojanerscanner ausreicht? Also ich würd auf Nummer sicher gehen. piet |
|
|
07.11.2004, 01:06
Beitrag
#8
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@smithi
so könn wir aber nicht weiter arbeiten... ein oder zwei aussagekräftige logauszüge , ein snapshot der detaillierten firewall-statistik wo das standard trin00 ddos angezeigt wird , mit wieviel blockiert und wieviel zugelassen ?! (ja ich habs gefunden...bei mir 0 und 0) . vielleicht hast du doch nurwas falsch interpretiert wo "zulassen" dabei stand -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Smithi_* |
07.11.2004, 01:54
Beitrag
#9
|
Threadersteller Gäste |
Habe den Fehler gefunden, Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt. Vielleicht ein Tipp an alle die die Firewall von Symantec haben diese Regel mit den Ports zu ergänzen - oder eben sämtliche icmp unterbinden (echo usw.)!
Warum hat Norton nicht gleich sämtliche Ports sowie TCP, UDP dicht gemacht bei dieser Regel Also alles halb so wild, zum Glück erkennt das Antivirus sämtliche Trojanervarianten von DDos attacken, falls etwas davon auf mein System gekommen wäre! Also doch nicht, wie zuerst von mir angenommen, dass es diese bösen Pages waren Grüße Smithi Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 07:33 |
|
|
07.11.2004, 07:18
Beitrag
#10
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
@Smithi
Warum ergaenzt du eigentlich nicht mal dein Profil, mit deinen oben angesprochenen Produkten? -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
Gast_Smithi_* |
07.11.2004, 07:28
Beitrag
#11
|
Threadersteller Gäste |
QUOTE(Remover @ 7. November 2004, 07:17) @Smithi Warum ergaenzt du eigentlich nicht mal dein Profil, mit deinen oben angesprochenen Produkten? Das sind die für Windows XP unter OpenBSD nutze ich andere Programme, ich weiß ja nicht ob der Platz im Profil dafür ausreicht Werd es nachholen... Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 07:29 |
|
|
07.11.2004, 12:34
Beitrag
#12
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
@Smithi
QUOTE Habe den Fehler gefunden, Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt. Vielleicht ein Tipp an alle die die Firewall von Symantec haben diese Regel mit den Ports zu ergänzen - oder eben sämtliche icmp unterbinden (echo usw.)! Was denn nun? UDP oder ICMP? QUOTE Warum hat Norton nicht gleich sämtliche Ports sowie TCP, UDP dicht gemacht bei dieser Regel Eine Firewall blockt doch eh alles, was nicht explizit per Regel zugelassen ist. Wozu dann noch eine spezielle "TrinOO"-Block-Regel? -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Gast_Smithi_* |
07.11.2004, 14:44
Beitrag
#13
|
Threadersteller Gäste |
@forge77
UDP ist der Kommunikationtyp bei der Regel "Standard Trin00 DDos" der blockiert wird. Hier wird bei der Norton Firewall nur der oben angesprochene Port unter Kommunikationstyp UDP blockiert. Das betrifft nur den Trojaner Trin00, es gibt drei varianten davon - Trin00, Stacheldraht usw. Der Trojaner Trin00 benutzt nicht selten auch zwei andere Ports - deshalb wäre es ratsam diese hinzu zufügen! DDos attacken nutzen das icmp aus, icmp ist ein eigener Kommunikationstyp (kein UDP oder TCP), dies sind häufig die allgemeinen Regeln. Hier blockt die Firewall alles erst mal ab, außer die die natürlich zugelassen werden u. bei icmp wäre das z. B. "echo, dest oder time-exceed" - ist je nach Firewall ein bißchen anders. Es gibt sehr viele icmp-befehle.... Einfach ausgedrückt, wird deine Firewall dir nicht viel nützen (außer wenn die attacke dieser einen Regel entspricht) bei dieser attacke - es sei denn du konfigurierst Sie hierfür Grüße Smithi Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 14:45 |
|
|
07.11.2004, 15:54
Beitrag
#14
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
QUOTE icmp ist ein eigener Kommunikationstyp (kein UDP oder TCP) Eben... deshalb frag ich ja, wie du von UDP ("Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt.") plötzlich auf ICMP kommst ("oder eben sämtliche icmp unterbinden (echo usw.)!"). Ich sehe da keinen logischen Zusammenhang. QUOTE DDos attacken nutzen das icmp aus Nein, das kann man nicht so allgemein sagen. Bei Trin00 wird das angegriffene System z.B. mit UDP-Paketen "gefloodet". Natürlich kann ein DDOS-Angriff auch mit TCP-Paketen erfolgen... Infos zu der Funktionsweise von trin00 findest du z.B. hier: http://xforce.iss.net/xforce/alerts/id/advise40 QUOTE Hier blockt die Firewall alles erst mal ab, außer die die natürlich zugelassen werden u. bei icmp wäre das z. B. "echo, dest oder time-exceed" - ist je nach Firewall ein bißchen anders. Seh ich das richtig, dass du hier von den Standard-Regeln einer Firewall sprichst? Wer benutzt denn die Standard-Regeln...? Wer Angst vor ICMP-Floods hat, kann doch einfach sämtlichen ICMP-Verkehr mit dem Internet blockieren (wobei der Nutzen fraglich ist...) QUOTE Einfach ausgedrückt, wird deine Firewall dir nicht viel nützen (außer wenn die attacke dieser einen Regel entspricht) bei dieser attacke - es sei denn du konfigurierst Sie hierfür Nein, bei einer sinnvollen Konfiguration einer "normalen" Firewall (ich will nicht ausschließen, dass auch Ausnahmen gibt... ) werden die unaufgefordert eintreffenden UDP-Pakete grundsätzlich geblockt. Da braucht es keine Extra-Regel. Der Beitrag wurde von forge77 bearbeitet: 07.11.2004, 15:56 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Gast_Smithi_* |
07.11.2004, 16:36
Beitrag
#15
|
Threadersteller Gäste |
@froge77
Du unterscheidest nicht zwischen dem Tool trinoo und der attacke! Das Tool trinoo läuft über Ports, deshalb dort die Ergänzung. Die beiden anderen Varianten TFN2k und Stacheldraht attackieren so: TFN2k: TCP/SYN, UDP, ICMP/Ping Stacheldraht: ICMP z. B. Echo_Reply Der Unterschied zwischen TFN2k und trinoo ist, dass trinoo über Ports läuft und fast die selben attacken wie TFN2K ausführt. Ich bezog mich bei ICMP auf die attacke nicht auf das Tool trinoo. Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 16:38 |
|
|
07.11.2004, 16:45
Beitrag
#16
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ihr habt probleme....
das einzige was ich öfters am tag mal bekomm ist ein netbus angriff der immer denselben port (12345) anpingt... ein Bsp: vion vielen: QUOTE Details: Regel "Standard NetBus blockieren" blockierte (217.82.137.145,NetBus(12345))
Eingehende TCP-Verbindung Lokale Adresse, Dienst ist (B-GATES(217.82.151.43),NetBus(12345)) Remote-Adresse, Dienst ist (217.82.137.145,4942) Prozessname ist "N/A" -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Smithi_* |
07.11.2004, 17:17
Beitrag
#17
|
Threadersteller Gäste |
Also diesen hatte ich noch nie bond7
Sag mal, wieso hast du denn diesen Dienst bei dir am laufen, ich dachte du hast kein Netzwerk Ich hoffe das trifft nicht bei dir zu, wie auf diesem Link beschrieben: http://www.tu-berlin.de/www/software/virus/netbus.shtml Grüße Smithi |
|
|
07.11.2004, 17:27
Beitrag
#18
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
naja...auf deinem link stehts doch, netbus ist so ein lauschtool für neugierige.
Prozessname ist "N/A" heisst übrigens not available....nur weil da dienst steht muss das nicht heissen das ein dienst schuld drann ist das mich einer auf port 12345 anpingt.."local" bin übrigens ich, "remote" ist der spielmatz der auf port 4942 raussendet. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
07.11.2004, 20:28
Beitrag
#19
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
@Smithi
Ok, langsam wird die Sache etwas klarer. Allerdings wirfst du ein paar Dinge durcheinander: TFN(2000) und trin00 sind eigenständige DDOS-Tools, die teilweise völlig unterschiedlich funktionieren (wie du ja selbst schreibst), wogegen "Stacheldraht" offenbar eine Art Kombination aus den beiden o.g. Tools darstellt. Man kann also bei den drei Tools nicht von "Varianten" ein und desselben Tools sprechen. Siehe hierzu auch: http://www.anml.iu.edu/ddos/tools.html Dementsprechend hat das Norton-IDS für alle drei Angriffsarten verschiedene Signaturen, siehe: http://securityresponse.symantec.com/avcenter/nis_ids/ Bei trin00 werden also weder bei der Kommunikation "Client-Master", noch bei dem eigentlichen Angriff ICMP-Pakete verwendet. @bond7 Offenbar meint Norton in seiner Meldung mit "Dienst" eher "Port", denn an Port 12345 lauscht auf deinem Rechner ja offensichtlich kein Dienst. Etwas missverständlich, wenn man Norton nicht kennt... Der Beitrag wurde von forge77 bearbeitet: 07.11.2004, 20:29 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
07.11.2004, 20:48
Beitrag
#20
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich würde mal eher sagen mit dem DIENST ist der inhaber der IP-adresse allgemein gemeint...
ein wirklicher dienst steht im prozessname dabei... -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 25.04.2024, 05:04 |