Standard Trin00 ddos Angriff Einstellungen

[Gast_Smithi_*]

Grüße,

gestern nacht habe ich mich ein bißchen bei der Gegenseite (Hacker,cracker ect..)umgesehen, eben mal schauen was die so treiben bzw. was es neues gibt.

Mein System ist soweit Save sowie sauber, Vorkehrungen habe ich getroffen.

Doch plötzlich schlägt mein System Alarm! Ein Angriff - Standard Trin00 DDos. Soweit so gut, wurde ja blockiert....doch auf einmal sehe ich, obwohl schon über 3000 attacken dieser Seuche blockiert wurden, dass mein System plötzlich anfing diese attacke (Standard Trin00 DDos) zuzulassen

Bin sofort aus dem Netz gegangen, habe alles gecheck und nichts gefunden.

Meine Frage ist jetzt, wie ist das möglich?

Wäre sehr dankbar für nützliche Tipps

Smithi

[Voyager]

doch auf einmal sehe ich, obwohl schon über 3000 attacken dieser Seuche blockiert wurden, dass mein System plötzlich anfing diese attacke (Standard Trin00 DDos) zuzulassen

beschreibe das mal genau was wo passiert mit welcher meldung von welchen programm.

[Gast_Smithi_*]

Habe nach informationen auf nicht gerade serviösen pages gesucht

Auf jedenfall hat mein Blackice (IDS) alarm geschlagen u. meine Firewall von Norton hat mir eine attacke von den Standard trin00 DDos angezeigt - diese wurden auch alle blockiert, bis plötzlich mir dort angezeigt wurde, dass diese auf einmal zugelassen wurden....

Wie gesagt, habe keinerlei trojaner oder ähnliches drauf - kann mir aber paartu nicht erklären wie auf einmal eine funktion in der Firewall zuerst diese attacke blockt und dann zulässt

Das einzige was noch merkwürdig ist, dass ein Firewalleintrag (Ungültige Zeichenfolfe-ID) kurzfristig von 1 auf 0 gesetzt wurde - was mir noch merkwürdiger vorkam, denn dann muss doch jemand drauf gewesen sein um eine Firewall zu deaktivieren!

Wie gesagt, habe ein IDS, Firewall, AV-Programm sogar Ewido noch dazu, ad-aware sowie spybot und die dienste sind konfiguriert....ist wirklich alles sehr merkwürdig!

Der Beitrag wurde von Smithi bearbeitet: 06.11.2004, 23:03

[Gast_piet_*]

Sorry all, ich kann nicht anders. Smithie ist einfach zu gut.



piet

[Voyager]

bis plötzlich mir dort angezeigt wurde, dass diese auf einmal zugelassen wurden....

hmm...ist irgendwie alles noch nicht nachvollziehbar , wer hat wo was angezeigt und ohne userintervention ist bestimmt nichts mit "zulassen" ,wenn überhaupt schon eine meldung kam.
hast du logbuchauszüge die den angriff dokumentieren können bzw. einen beleg dafür geben können das eine "zulassuing" erfolgt ist ?

[Gast_Smithi_*]

Das ist es ja, es war überhaupt keine Minderung der transferrate zuspüren.

Im Firewall Protokoll wurden etlichen tausend blockiert sowie weitergegeben und als ich sah, dass einige zugelassen wurden bin ich sofort aus dem Netz gegangen.

Mir ist bewusst, um als Sender einer DDos attacke zu fungieren müssen irgendwelche trojaner bei mir auf dem System sein, dass kann ich aber defenitiv ausschließen. Oder gibt es noch eine andere Möglichkeit?

Okay, ich war auf ein paar server gleichseitig. Vielleicht bin ich da irgendwo rein zufällig reingeraten u. meine Firewall hat irgendetwas falsch interpretiert. Aber denoch muss es hierfür eine logische Erklärung geben?

Aufjedemfall wurden einige zugelassen bevor ich die leitung unterbrechen konnte...

Die IP-adresse habe ich - werde jetzt mal das selbe von gestern wiederholen....

@Bond7
Falls du eine Norton firewall hast, kannst du unter Statistik, detaillierte Statistik unter firewall regeln ganz unten diesen standard trin00 ddos finden.

Habe auch schon mit einigen Mitarbeitern hier auf dem board darüber diskutiert, wussten allerdings auch nicht mehr - nun vielleicht kann mir der schlaue piet noch etwas dazu sagen

[Gast_piet_*]

Mir ist bewusst, um als Sender einer DDos attacke zu fungieren müssen irgendwelche trojaner bei mir auf dem System sein, dass kann ich aber defenitiv ausschließen.

Ein wahrer Profi der ersten Stunde. Mir ist es völlig schleierhaft, wie es dazu kommen konnte. Vielleicht solltest Du zur Sicherheit eine 2te Firewall installieren? Bist Du sicher das ein Trojanerscanner ausreicht? Also ich würd auf Nummer sicher gehen.



piet

[Voyager]

@smithi
so könn wir aber nicht weiter arbeiten...
ein oder zwei aussagekräftige logauszüge , ein snapshot der detaillierten firewall-statistik wo das standard trin00 ddos angezeigt wird , mit wieviel blockiert und wieviel zugelassen ?! (ja ich habs gefunden...bei mir 0 und 0) .
vielleicht hast du doch nurwas falsch interpretiert wo "zulassen" dabei stand

[Gast_Smithi_*]

Habe den Fehler gefunden, Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt. Vielleicht ein Tipp an alle die die Firewall von Symantec haben diese Regel mit den Ports zu ergänzen - oder eben sämtliche icmp unterbinden (echo usw.)!

Warum hat Norton nicht gleich sämtliche Ports sowie TCP, UDP dicht gemacht bei dieser Regel

Also alles halb so wild, zum Glück erkennt das Antivirus sämtliche Trojanervarianten von DDos attacken, falls etwas davon auf mein System gekommen wäre!

Also doch nicht, wie zuerst von mir angenommen, dass es diese bösen Pages waren

Grüße Smithi

Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 07:33

[Remover]

@Smithi

Warum ergaenzt du eigentlich nicht mal dein Profil, mit deinen oben angesprochenen
Produkten?

[Gast_Smithi_*]

@Smithi

Warum ergaenzt du eigentlich nicht mal dein Profil, mit deinen oben angesprochenen
Produkten? 

Das sind die für Windows XP unter OpenBSD nutze ich andere Programme, ich weiß ja nicht ob der Platz im Profil dafür ausreicht

Werd es nachholen...

Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 07:29

[forge77]

@Smithi

Habe den Fehler gefunden, Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt. Vielleicht ein Tipp an alle die die Firewall von Symantec haben diese Regel mit den Ports zu ergänzen - oder eben sämtliche icmp unterbinden (echo usw.)!

Was denn nun? UDP oder ICMP?

Warum hat Norton nicht gleich sämtliche Ports sowie TCP, UDP dicht gemacht bei dieser Regel

Eine Firewall blockt doch eh alles, was nicht explizit per Regel zugelassen ist. Wozu dann noch eine spezielle "TrinOO"-Block-Regel?

[Gast_Smithi_*]

@forge77

UDP ist der Kommunikationtyp bei der Regel "Standard Trin00 DDos" der blockiert wird. Hier wird bei der Norton Firewall nur der oben angesprochene Port unter Kommunikationstyp UDP blockiert. Das betrifft nur den Trojaner Trin00, es gibt drei varianten davon - Trin00, Stacheldraht usw. Der Trojaner Trin00 benutzt nicht selten auch zwei andere Ports - deshalb wäre es ratsam diese hinzu zufügen!

DDos attacken nutzen das icmp aus, icmp ist ein eigener Kommunikationstyp (kein UDP oder TCP), dies sind häufig die allgemeinen Regeln. Hier blockt die Firewall alles erst mal ab, außer die die natürlich zugelassen werden u. bei icmp wäre das z. B. "echo, dest oder time-exceed" - ist je nach Firewall ein bißchen anders. Es gibt sehr viele icmp-befehle....

Einfach ausgedrückt, wird deine Firewall dir nicht viel nützen (außer wenn die attacke dieser einen Regel entspricht) bei dieser attacke - es sei denn du konfigurierst Sie hierfür

Grüße Smithi

Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 14:45

[forge77]

icmp ist ein eigener Kommunikationstyp (kein UDP oder TCP)

Eben... deshalb frag ich ja, wie du von UDP ("Norton Firewall blockiert nur bei Standard TrinOO DDos den Port 34555 (UDP)....habe die Portliste ergänzt.") plötzlich auf ICMP kommst ("oder eben sämtliche icmp unterbinden (echo usw.)!"). Ich sehe da keinen logischen Zusammenhang.

DDos attacken nutzen das icmp aus

Nein, das kann man nicht so allgemein sagen. Bei Trin00 wird das angegriffene System z.B. mit UDP-Paketen "gefloodet". Natürlich kann ein DDOS-Angriff auch mit TCP-Paketen erfolgen...

Infos zu der Funktionsweise von trin00 findest du z.B. hier:
http://xforce.iss.net/xforce/alerts/id/advise40

Hier blockt die Firewall alles erst mal ab, außer die die natürlich zugelassen werden u. bei icmp wäre das z. B. "echo, dest oder time-exceed" - ist je nach Firewall ein bißchen anders.

Seh ich das richtig, dass du hier von den Standard-Regeln einer Firewall sprichst?
Wer benutzt denn die Standard-Regeln...?
Wer Angst vor ICMP-Floods hat, kann doch einfach sämtlichen ICMP-Verkehr mit dem Internet blockieren (wobei der Nutzen fraglich ist...)

Einfach ausgedrückt, wird deine Firewall dir nicht viel nützen (außer wenn die attacke dieser einen Regel entspricht) bei dieser attacke - es sei denn du konfigurierst Sie hierfür

Nein, bei einer sinnvollen Konfiguration einer "normalen" Firewall (ich will nicht ausschließen, dass auch Ausnahmen gibt... ) werden die unaufgefordert eintreffenden UDP-Pakete grundsätzlich geblockt. Da braucht es keine Extra-Regel.

Der Beitrag wurde von forge77 bearbeitet: 07.11.2004, 15:56

[Gast_Smithi_*]

@froge77

Du unterscheidest nicht zwischen dem Tool trinoo und der attacke!
Das Tool trinoo läuft über Ports, deshalb dort die Ergänzung.

Die beiden anderen Varianten TFN2k und Stacheldraht attackieren so:

TFN2k: TCP/SYN, UDP, ICMP/Ping

Stacheldraht: ICMP z. B. Echo_Reply

Der Unterschied zwischen TFN2k und trinoo ist, dass trinoo über Ports läuft und fast die selben attacken wie TFN2K ausführt.

Ich bezog mich bei ICMP auf die attacke nicht auf das Tool trinoo.

Der Beitrag wurde von Smithi bearbeitet: 07.11.2004, 16:38

[Voyager]

ihr habt probleme....
das einzige was ich öfters am tag mal bekomm ist ein netbus angriff der immer denselben port (12345) anpingt...
ein Bsp: vion vielen:

Details: Regel "Standard NetBus blockieren" blockierte (217.82.137.145,NetBus(12345))
Eingehende TCP-Verbindung
Lokale Adresse, Dienst ist (B-GATES(217.82.151.43),NetBus(12345))
Remote-Adresse, Dienst ist (217.82.137.145,4942)
Prozessname ist "N/A"

[Gast_Smithi_*]

Also diesen hatte ich noch nie bond7

Sag mal, wieso hast du denn diesen Dienst bei dir am laufen, ich dachte du hast kein Netzwerk

Ich hoffe das trifft nicht bei dir zu, wie auf diesem Link beschrieben: http://www.tu-berlin.de/www/software/virus/netbus.shtml

Grüße Smithi

[Voyager]

naja...auf deinem link stehts doch, netbus ist so ein lauschtool für neugierige.
Prozessname ist "N/A" heisst übrigens not available....nur weil da dienst steht muss das nicht heissen das ein dienst schuld drann ist das mich einer auf port 12345 anpingt.."local" bin übrigens ich, "remote" ist der spielmatz der auf port 4942 raussendet.

[forge77]

@Smithi
Ok, langsam wird die Sache etwas klarer.

Allerdings wirfst du ein paar Dinge durcheinander: TFN(2000) und trin00 sind eigenständige DDOS-Tools, die teilweise völlig unterschiedlich funktionieren (wie du ja selbst schreibst), wogegen "Stacheldraht" offenbar eine Art Kombination aus den beiden o.g. Tools darstellt. Man kann also bei den drei Tools nicht von "Varianten" ein und desselben Tools sprechen. Siehe hierzu auch:
http://www.anml.iu.edu/ddos/tools.html

Dementsprechend hat das Norton-IDS für alle drei Angriffsarten verschiedene Signaturen, siehe:
http://securityresponse.symantec.com/avcenter/nis_ids/

Bei trin00 werden also weder bei der Kommunikation "Client-Master", noch bei dem eigentlichen Angriff ICMP-Pakete verwendet.

@bond7
Offenbar meint Norton in seiner Meldung mit "Dienst" eher "Port", denn an Port 12345 lauscht auf deinem Rechner ja offensichtlich kein Dienst. Etwas missverständlich, wenn man Norton nicht kennt...

Der Beitrag wurde von forge77 bearbeitet: 07.11.2004, 20:29

[Voyager]

ich würde mal eher sagen mit dem DIENST ist der inhaber der IP-adresse allgemein gemeint...
ein wirklicher dienst steht im prozessname dabei...