Laden...

Alle Ping's auf Router sehen/auslesen

Erstellt von Damokles vor 7 Jahren Letzter Beitrag vor 7 Jahren 10.442 Views
D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren
Alle Ping's auf Router sehen/auslesen

Hallo liebe Community,

Ich habe mich in den letzten Tagen etwas mit DOS / DDOS Atacken beschäftigt und (außer mich über die Scriptkids aufzuregen) ist mir der Gedanke gekommen, ob man alle Pings die auf den Router gehen irgendwie auslesen kann.

Idee 1: Kennt ihr vllt. ein schon bestehendes Programm mit dem das möglich ist (z.B. bei einem DDOS Angriff zu sehen welche IP's den Ping anfordern)?

oder

  1. hat jmd. eine Idee wie man so etwas in C# umsetzen könnte? Weil man da ja irgendwie den Router befragen müsste? Oder gibts dort sonst ne Möglichkeit?

Vielen Dank im Voraus!

MfG
Damokles

849 Beiträge seit 2006
vor 7 Jahren

Hallo,

ein bischen falsches Forum hier. Da solltest Du eher in einem Netzwerk Forum posten. Gute Router haben die Möglichkeit des Port Mirroring. Damit kannst Du den eingehenden Traffic 1:1 auf einen anderen Port spiegeln. Auswerten kann man das dann z.B. mit Wireshark.

Grüße

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Ok.. naja was man eben als "guten Router" bennenen kann.. Ich habe einen von Vodafon glaube 903x oder sowas in der Art..

Naja, trotzdem Danke. Ich werd mich mal wo anders umgucken.

PS: Geiles Profilbild 😉 Volbeat rockt.

EDIT: Verzeih(t) mir meine Unsicherheit im Thema Netzwerk etc. aber ist es denn mit Wireshark möglich wenigstens den kompletten Trafic zu sehen der bei meinem PC passiert? z.B. das ich, bei einer möglichen DDOS Attacke, alle ips sehe?

Danke im Voraus
MfG
Damokles

709 Beiträge seit 2008
vor 7 Jahren

Hi!
Ja, mit Wireshark kannst du dir die Netzwerkaktivität deines PCs (ein- und ausgehend) bis ins letzte Detail ansehen.

VG

16.806 Beiträge seit 2008
vor 7 Jahren

(D)DoS arbeiten i.d.R. mit IP Spoofing.
Die wahre IP erkennst Du also nicht.

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Danke für die Infos.

Ja @Abt das ist sehr warscheinlich aber Ich suche nach einer Möglichkeit eine bestimmte IP (die IP des evtll. Angreifers (egal ob Echte oder Proxy etc.)) zu blockieren, sodass sie eben keine Pings , auf welche Art auch immer, schicken kann..

MfG
Damokles

P
1.090 Beiträge seit 2011
vor 7 Jahren

Das ist eins der Standardmittel gegen DDOS angriffe. Einfach mal googeln. Da findest du einiges.

Sollte man mal gelesen haben:

Clean Code Developer
Entwurfsmuster
Anti-Pattern

16.806 Beiträge seit 2008
vor 7 Jahren

IP Spoofing nutzt aber nicht immer nur eine Adresse, sondern i.d.R. viele.
Wirste also mehr als nur eine IP blocken müssen.

Professionelle Abwehr blockt nicht die IP, sondern IP+Paketart, also zB. alle PING-Anfragen von IP x.

Ich frag mich aber, was Du genau treibst, um Opfer einer DOS Attacke zu werden.
DOS Attacken sind zwar billig; aber Attacken, die wirklich stören, kommen i.d.R. nicht von Kids 😉

W
872 Beiträge seit 2005
vor 7 Jahren

Some is Learning How to take down the Internet macht zurzeit gerade die Runde.
Als Privatmann bist Du sicher, weil Du regelmässig mit Routerneustart neue IPs bekommst - daher verstehe ich nicht Dein Problem.

463 Beiträge seit 2009
vor 7 Jahren

Als Privatmann bist Du sicher, weil Du regelmässig mit Routerneustart neue IPs bekommst - daher verstehe ich nicht Dein Problem.

Gefährliches und falsches Halbwissen... Kunden von Kabel Deutschland bekommen häufig nach einem Routerneustart die gleiche IP... Da Kabel Deutschland es auch mit der Zwangstrennung nicht so genau nimmt, hast du oft 4-5 Monate die gleiche IP...

709 Beiträge seit 2008
vor 7 Jahren

Wurde die Zwangstrennung nicht abgeschafft?
Bei der Telekom z.B. bekomme ich zwar nach jedem Einwählen eine neue IP, behalte die jedoch oft über mehrere Wochen bis Monate hinweg.

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

@Weismat: Nicht so ganz richtig.
1. Das gillt nur für manche Anbieter
2. Wenn du immer (z.B. aufm selben TS/ selben Gameserver bist wie der Angreifer
findet er deine IP immer wieder.
3. Das geht nur wenn du die autom. Restart Funktion an hast, was ich nicht habe..

@Abt: Ich leide nicht unter DOS oder gar DDOS Attacken. Der Grund warum ich das alles in Erfahrung bringen möchte ist 1. Es interessiert mich
2. Wenns dann doch mal vorkommt will ich mich schützen können &
3. Ich hab damit ziemlich oft in meiner Ausbildung zum Fachinformatiker FR
Systemintegration zu tun.

Genau deshalb: Kennt jmd. solch ein (gutes) Programm zu Abwehr ODER
(NOCH VIEL BESSER) hat jmd. ne Idee ob oder wie man ein solches Programm in C# umsetzen könnte.
Also wie man bestimme IP Adresse "einfach" "blocken" kann...?

MfG
Damokles

16.806 Beiträge seit 2008
vor 7 Jahren

Puh, also wenn Du eine Vorstellung hast, das es da ein Programm gibt, mit dem man ein DOS Abwehren kann; dann fang ich mal von vorn an 😃

(Disclaimer: das ist weder vollständig noch geh ich in die Tiefe. Das ist nen eigenes Thema für sich. Es soll rüber kommen: "mal kurz" is nich)

DOS ist ja erstmal nur die Eigenschaft, dass die zur Verfügung stehenden Ressourcen durch unnötige Überlastung durch Anfragen erschöpft werden.
Dadurch kann der Dienst seine eigentliche Aufgabe nicht mehr erfüllen bzw. dieser nachgehen.

In Sachen Netzwerk (also Layer 3 oder 4 Angriffe) kann das nun ganz einfach die Bandbreite sein, die überlastet wird; aber es kann genauso sein, dass die CPU überlastet wird oder die Anwendung (also Layer 7) und dessen Funktionalität bewusst angegriffen wird.
Layer 7 ist beliebt, wenn sie Dir bewusst schaden wollen. Jeder Webserver hat nur eine gewisse Anzahl von Threads zur Verfügung. Wird zB. die Upload-Funktion einer Webanwendung missbraucht (sehr viele, sehr langsame Uploads) dann kommst Du schnell an das Limit der Threads und die Anwendung kracht.
Ebenso kann es aber jede andere Komponente der Infrastruktur treffen.

Wenn wir nun vom Netzwerk sprechen, dann kommt es drauf an, auf welche Art und Weise eine Überlastung stattfindet.
Wenn es zB. Smurf Angriffe sind, dann führt es dazu, dass das gesamte lokale Netz überlastet wird; aber nicht der externe Endpunkt.
Da bringt es also wenig, wenn Du von außen etwas sperrst, denn das kann im Innern halt ne Kettenreaktion auslösen.

Wenn es eine dumme PING-Abfrage ist, die den Server überlastet, dann muss man sich schon fragen: würde überhaupt das System gehärtet?
Webserver sollten zB. nicht auf PING-Anfragen reagieren.

Wenn das ganze über IP-Spoofing läuft, dann ist das besonders tückisch.
Du hast eben bei sowas nicht nur eine Absenderadresse, sondern im dümmsten Fall Millionen von Absenderadressen.
Nennt sich auf Reflected DDOS (einfach mal googlen).

Schutz dagegen:
Proxies oder Firewalls wird einfach die ausführende Adresse des Angriffs auf die Blacklist hinzugefügt.
Bei nem Reflected Angriff können das aber wie gesagt "ein paar" IPs sein.
Große Angriffe zB. via DNS Amplification oder bewusst defekte Header/Prüfsummen sind eigentlich nur durch ein Re-Routing abzuwehren. Das heisst, dass die Anfragen weg vom Zielserver(netz) in ein zusätzliches, bewusst "totes" Netzwerk geleitet wird, in dem die Pakete keinen Empfänger finden und dadurch verfallen.

Große Portale und (Cloud-)Platformen können viele solcher DOS-Arten automatisch erkennen und dank deren riesigen Ressourcen diese auch abwehren.
Das funktioniert aber nicht mit jeder Art der Angriffe und auch nicht auf jedem Layer (zB. Layer 7).

Das "mal kurz" in C# entwickeln...will dich da nicht entmutigen, aber: eher nicht 😉
Nur soviel: bei Azure, der Cloud-Plattform von Microsoft, gibt es hunderte Mitarbeiter, die nichts anderes machen als die Platformsecurity zu managen und bei solchen Angriffen auch teilweise manuell eingreifen 😉

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Oha.. geballtes Wissen ;D Danke @Abt

OK! Also um mal ganz klein anzufangen und auf dem Boden zu bleiben folgendes Beispiel:

Nehmen wir an da ist irgendein motziges Kiddie das ein simples DOS Programm hat(Ping Abfrage)
und, auch wenn mir das wohl kaum schaden würde, nehmen wir an dieses Kiddie sendet diese simplen Ping's mit ein und dersleben IP zu mir (mein PC).

Und nehmen wir dann an ich hätte es bemerkt und hätte die Angreifer IP per Wireshark.

Wie ist es nun möglich diese IP oder gar IP+Packetart zu blocken?

Du sagtest etwas von in Firewall eintragen. Hilft es da wirklich einfach eine Eingehende Block-Regel mit der Angreifer IP in der Windows Firewall einzurichten?

Denn was mich interessiert ist, wie das blocken funktioniert. Wird da ein Socket benutzt der alle Ports abhört und die gewünschte IP blockt? Das ist es was mir Kopfzerbrechen bereitet 😄

MfG
Damokles

D
985 Beiträge seit 2014
vor 7 Jahren

Wenn du eine Firewall hast, dann geht der gesamte Netzwerkverkehr durch diese Firewall.

Dort werden die Regeln geprüft und entschieden, ob das Paket weitergegeben oder verworfen wird.

Das Paket kommt aber immer erst bei der Firewall an (egal welche Regel eingestellt ist). Wie sollten auch sonst die Regeln greifen.

16.806 Beiträge seit 2008
vor 7 Jahren

Ein motziges Kind wird vermutlich mit einem einfachen Internetanschluss nicht Deinen Server platt machen.
Der Upload eines normalen Internetanschlusses sind vielleicht 5 MBit/s. Das reicht nicht, um eine durchschnittliche Bandbreite zu belasten.
Zudem sind die Anzahl der Pakete so gering, dass das die CPU ebenfalls nicht belasten würde - außer wir sprechen von einem Server auf einem Raspberry.

Deine Fragestellungen lassen zu, dass Du nicht wirklich viel Ahnung davon hast.
Nicht weiter tragisch. Aber mal ehrlich; wie kommst Du auf das Thema? Das kommt ja nicht von allein.

Hast Du einen konkreten Fall, von dem Du sprichst - oder willst Du jemanden nen Streich spielen?

T
2.219 Beiträge seit 2008
vor 7 Jahren

@Abt
Gute Frage 😃
Aber mich verwundert es, dass das Thema noch fortgeführt wird.
Hier ist eigentlich nicht der richtige Ort um Netzwerkthemen, die nichts spezifisches mit Programmierung sondern mit Netzwerkgrundlagen/Einrichtungen zu tun haben, behandelt werden.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

😄 Meine Güte man kann aber auch lange um den heißen Brei herum reden.

@Abt:

Woher das kommt?
Wie gesagt: 1. Durch meinen Ausbildungsbeginn als FI FR Systemintegration (Ich will mir selber Wissen aneignen)

              2. Nein ich will niemandem einen Streich spielen, und ehrlich gesagt weiß ich  
                  nicht wie du darauf kommst da ich wissen wollte wie die logik dahinter ist (Info-   
                  Allgemeinwissen) und nicht wie man eine DOS Attacke startet.  
                  Ich bin, wie bereits gesagt, nicht aktiv betroffen aber ich würde eben gerne wissen  
                  wie es funktioniert, auch hier nochmal: DIE ABWEHR nicht DER ANGRIFF^^  

@T-Virus:
Zitat: "die nichts spezifisches mit Programmierung sondern mit
Netzwerkgrundlagen/Einrichtungen zu tun haben"

               Ich galube ich habe schon DREI- oder sogar VIERmal danach gefragt ob jmd.  
               ne Idee hätte wie man sowas in C# umsetzen könnte. Aber nach der ausführlichen  
               Erklärung von Abt weiß ich nun:"OK das ist zu groß für mich".  
               Jetzt würde ich nur einfach gerne in Erfahrung bringen was ich schon im letzten Post  
               geschrieben habe, nämlich:  
               "Wie ist es nun möglich diese IP oder gar IP+Packetart zu blocken?  

Du sagtest etwas von in Firewall eintragen. Hilft es da wirklich einfach eine Eingehende Block-Regel mit der Angreifer IP in der Windows Firewall einzurichten?

Denn was mich interessiert ist, wie das blocken funktioniert."

Nochmal Danke

MfG
Damokles

O
79 Beiträge seit 2011
vor 7 Jahren

Aber mich verwundert es, dass das Thema noch fortgeführt wird.
Hier ist eigentlich nicht der richtige Ort um Netzwerkthemen, die nichts spezifisches mit Programmierung sondern mit Netzwerkgrundlagen/Einrichtungen zu tun haben, behandelt werden.

Warum denn auch nicht - ist ja der Offtopic-Bereich hier. Was mir die Gelegenheit gibt, den Finger mahnend zu erheben und darauf hinzuweisen, das der Versuch einer (D)DOS-Attacke bereits eine strafbare Handlung darstellt. Auch wenn es nur experimentell oder aus Jux ist. Solange man das ganze auf einen Server losläßt, der nicht von einem selbst kontrolliert wird, ist das Computersabotage.

Aber zum Glück machen wir solchen Kleinkinder-Blödsinn nicht 😉

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

@OlafSt ok ok ok. Jetzt mal ernsthaft. Lest ihr meine Posts? Denkt ihr über sie nach oder seht ihr nur das Wort DOS / DDOS und verfallt in eure "Was will der denn machen" Schiene...

Ich kanns nur nochmal sagen. Ich weiß wie diese Angriffe funktionieren, wie man sie starten kann etc.

Das tue ich selbst aber nicht da mir die Aussicht auf bis zu 4 Jahre Haft nicht so rosig erscheinen.

Es geht mir um das Verständnis und auch n Stück um Abwehr.

EDIT:

Ich bin echt ein wenig verwirrt.. Wenn ich jetzt einen Thread aufgemacht hätte mit "Wie macht man eine DDOS Attacke" oder "Welche guten Tools gibts dafür" oder sowas wie "Reicht der Windows CMD Ping zum ddos?" DANN könnte ich dieses "ist Strafbar!","ACHTUNG", "Wie kommst du darauf willst du das etwa machen oder was?" ja noch verstehen aber so? Naja..

3.003 Beiträge seit 2006
vor 7 Jahren

Denn was mich interessiert ist, wie das blocken funktioniert.

Dafür benötigst du in erster Linie etwas Grundwissen darüber, wie Daten übertragen werden, in diesem Fall also darüber, wie TCP funktioniert. Wenn das verstanden ist, weiß man eigentlich auch schon, wie man ein bestimmtes Paket

a) nach gewissen Regeln prüfen
b) bei Bedarf abweisen

kann. Nichts anderes macht eine Firewall.

Wenn du eine Firewall hast, dann geht der gesamte Netzwerkverkehr durch diese Firewall.

Was auch schon alles zum Thema Personal Firewall aussagt, was man wissen muss. Wenn du verhindern möchtest, dass bestimmte Pakete eine bestimmte Hardware (= deinen PC zum Beispiel) erreichen, ist das Konzept schon für die Tonne. Ein weiterer Grund mehr, wieso C#/.NET für solche Geschichten eher ungeeignet ist. Weil im an sich einzig sinnvollen Anwendungsfall die Firewall ein Stück Hardware ist, das sich vor dem zu schützenden Ziel befindet und in den überwiegenden Fällen nicht konzipiert wurde, um eine CLR laufen zu lassen.

LaTino
EDIT: DOS/DDOS-Abwehr - abgesehen von gewissen Maßnahmen, die die Effizienz der Reaktionen erhöhen - beschränkt sich bei Licht betrachtet einzig und allein auf die Frage: ist meine Anbindung dicker als alles, was der Angreifer aufbieten kann? Abweisen geht nicht ohne prüfen. Prüfen geht nicht ohne Entgegennehmen. vgl. dazu Mr Bruce Schneier (Link aus aktuellem Anlass auf ein bestimmtes Topic, das gesamte blog ist aber verfolgenswert).

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

P
1.090 Beiträge seit 2011
vor 7 Jahren

Woher das kommt?
Wie gesagt: 1. Durch meinen Ausbildungsbeginn als FI FR Systemintegration (Ich will mir selber Wissen aneignen)

Google dann vielleicht erst mal und ließ dich in die Grundlagen ein. Das alles zu Vermittel, denke ich würde den Rahmen des Forums Sprenngen.

Schaum mal hier hast du vielleicht einen Start Punkt. DDOS-Tutorial

Du sagtest etwas von in Firewall eintragen. Hilft es da wirklich einfach eine Eingehende Block-Regel mit der Angreifer IP in der Windows Firewall einzurichten?

Wie du die Firewall einrichtet, das findest du einfach bei google. (Ich kenne jetzt dein Betriebssystem nicht).

Und Sir Rufo hat ja erklärt, was da Passiert.

Sollte man mal gelesen haben:

Clean Code Developer
Entwurfsmuster
Anti-Pattern

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

@LaTino:

Hm, eigentlich weiß ich ja wie TCP funktioniert, welche Vorteile es gegenüber anderen Protokollen wie z.B. UDP hat, aber mir erschließt sich dadurch nicht wie die Programme (Ob selbsterstelltes oder
fremde Firewall es abprüfen).

Wie kann ich z.B. festlegen das der Ganze Datenverkehr auf ALLEN Ports erst über MEIN Programm laufen und behindert das nicht andere Programme wenn ich auf allen Ports lausche?

Sowas eben.

EDIT: @Palin:

Ja Sir Rufo hats erklärt aber mein Gedanke war ob das dann überhaupt etwas nutzt wenn hunderte anfragen zugleich kommen. Ob die Firewall (Bei mir übrigens WIN 10) da nicht auch einknickt/überfordert ist..

16.806 Beiträge seit 2008
vor 7 Jahren

Ich weiß wie diese Angriffe funktionieren, wie man sie starten kann etc.

Daran hab ich massive zweifel 😉
Siehe meinen Text oben.

Ganz ehrlich fehlen Dir vermutlich jegliche Grundlagen in der Netzwerktechnik. Allein die Frage nach dem Wie bei der Portumleitung zeigt das ja.
Aber das ist nicht schlimm; Du bist ja noch Azubi.

Die Vorstellung, dass Du Dir mal kurz nen Programm für Deinen proprietären Router bastelst zu Abwehr: bitte lass den ganz schnell wieder fallen.

3.003 Beiträge seit 2006
vor 7 Jahren

"eigentlich" ist der große Bruder von "gar nicht".

Packet Capturing. Auf dieses Stichwort wärst du aber nach 2 Minuten Beschäftigung mit dem Thema selbst gekommen, was mich wiederum etwas an dem erwähnten Grundwissen zweifeln lässt. Bibliotheken zum Mitlauschen des existierenden Traffics gibt's auch für c#.

Was du willst, ist dagegen ein Programm, das sich an die Netzwerkkarte bindet und selbst als Netzwerkzugang für alle Anwendungen dient, die eben eine Netzanbindung benötigen. (Ungefähr, was die Windows Firewall macht.) Da bist du aber schon knietief in win/sys internals. Und, um es noch einmal zu betonen, selbst wenn man das implementiert, ist die Schutzwirkung gleich null, wie bei allen Software-Firewalls, die auf demselben Rechner laufen.

LaTino

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

709 Beiträge seit 2008
vor 7 Jahren

Zur Frage, wie man sich in dort einklinken kann: Dafür gibt es z.B. die Windows Filtering Platform.

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Ich sag mal jedem das seine ^^

Also um den dreifachen Erklärungsversuch zusammenzufassen:

Was denkt/meint ihr denn ist die beste Methode zum Schutz vor solchen Attacken?

PS: Ja es stimmt ich bin noch ganz am Anfang was mein Wissen über Netzwerke etc. angeht
aber ich bin stehts darum bemüht es zu verbessern.
Und ganz ehrlich, gerade "euch" muss ich wohl nicht sagen das (mal ganz grob gesagt)
das Thema Netzwerk,Systeme und tiefere Abschnitte davon RIESIG sind, und ihr werdet auch nicht 100% davon wissen also würde ich mal nicht einen auf dicke Hose machen.

noch was: @Abt: Es geht nicht um "schnell mal machen" das kann auch ruhig n jahr oder länger dauern. Mir gehts darum das im kleinen Stil mal selber zu probieren um mein Wissen in der Praxis zu erweitern. Auch was Programmierung angeht.

Guten Tag.

3.003 Beiträge seit 2006
vor 7 Jahren

Was denkt/meint ihr denn ist die beste Methode zum Schutz vor solchen Attacken?

Eine gute Anbindung. Genau genommen ist das der einzige Schutz.

LaTino

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

P
1.090 Beiträge seit 2011
vor 7 Jahren

Was denkt/meint ihr denn ist die beste Methode zum Schutz vor solchen Attacken?

Es gibt jetzt nicht den Schutz sondern es werden meist mehrere Methoden gemeinsam Verwendet.
Hier mal einige Beispiele: spreepixel:Wie schütze ich mich vor einem DDoS-Angriff?

Je nachdem wie du Angegriffen (Siehe DDOS Turorial) wirst du einen anderen Schutz brauchen. Hast du deinen Schutz gegen den Angriff gefunden. Wird der Angreifer hingehen und auf eine andere Art angreifen. Du wirst dann deinen Schutz wider ändern müssen.

Sollte man mal gelesen haben:

Clean Code Developer
Entwurfsmuster
Anti-Pattern

D
985 Beiträge seit 2014
vor 7 Jahren

Zu dem Thema passt die Frage:

"Was hilft gegen Wühlmäuse?" -> "Beten und ausreichend Katzen!" 😁

Beschaff dir mehr Bandbreite als allen Rechnern auf der Welt zur Verfügung steht (mehrere Leitungen). Vor jede Leitung eine Firewall (nein, nicht die integegrierte Windows-Firewall, sondern eine für Männer).

Und dann bete, dass dich bei der Bandbreite keiner überholt.

Das primäre Problem werden hier allerdings nicht mehr die potentiellen DOS/DDOS Angriffe sein, sondern die Kosten für Hardware, Leitungen und Strom 😉

3.003 Beiträge seit 2006
vor 7 Jahren

(nein, nicht die integegrierte Windows-Firewall, sondern eine für Männer).

Made my day 😄.

Ansonsten ist die von dir beschriebene Vorgehensweise ziemlich die von OVH (drittgrößter ISP der Welt). Wenn bei denen ein DDOS erkannt wird, leiten sie den Traffic um auf drei Rechenzentren mit je 160 GBit/s-Anbindungen, wo gefiltert und an den eigentlichen Empfänger vermittelt wird. Viel dicker wird eine Anbindung nicht. (Google: OVH VAC)

LaTino

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

16.806 Beiträge seit 2008
vor 7 Jahren

Das Verständnisproblem des Threadersteller ist ja schon, dass er meint, dass er den Eingangsverkehr des Routers über sein PC überwachen und damit filtern kann.
Jedenfalls ist das aus dem bisherigen Verlauf für mich zu verstehen.

Ein korrektes Paket Drop würde direkt am Router geschehen.
Wenn der PC das Paket erhält, muss es durch den Router und wird am PC gedroppt. Sinnhaftigkeit natürlich gegen 0.

Aber, dass hier Grundlagen der Netzwerktechnik fehlen; da sind wir uns ja einig.
VAC ist nur ein Markenname von OVH. Im Prinzip machen das alle großen ISP/Plattformen auf die gleiche Art und Weise: Flood Angriffe in ein zweites Netz.

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Viel reden wenn der Tag lang ist.. das scheint das Motto einiger Personen hier zu sein.

Wie auch immer

463 Beiträge seit 2009
vor 7 Jahren

Viel reden wenn der Tag lang ist.. das scheint das Motto einiger Personen hier zu sein.

Anstatt dich beleidigt in die Ecke zu setzen solltest du lieber die Tipps und Hinweise annehmen. Deine Reaktion ist nicht agemessen...

D
Damokles Themenstarter:in
15 Beiträge seit 2016
vor 7 Jahren

Ich lerne die Sachen so oder so weiter und nehme die Tipps dankend an aber.. wenns an Respekt fehlt hab ich dann auch keine Lust mehr zu diskutieren.

Schönen Tag noch.

16.806 Beiträge seit 2008
vor 7 Jahren

Das hat wenig mit Respekt zu tun. Du willst ehrlich antworten; ich antworte ehrlich 😉 Ich will Dir nichts böses - ich helf Dir ja schließlich.
Du kommst hier ins Forum mit der Haltung "ich weiß alles besser" und hörst kaum zu. Die Leute erklären Dir, wie die Sachlage aussieht, und Du gibst pampige Antworten alá "jaja ich weiß wie das geht" - obwohl das offensichtlich eben nicht der Fall ist.
Entweder Du kannst es nicht rüber bringen, dass Du es eigentlich weiß - oder Du weißt es wirklich nicht. Letzteres spricht für die naive Annahme, dass man DDOS-Angriffe (gibt ja nur einen!!!!) mit einem Knopfdruck einer eigenen Mini-Anwendung, die man mal kurz schreibt, beenden kann.
Das, was Du von Dir gibst, ist jedenfalls weit weg von einem fundierten Wissen. Und DDOS-Abwehr gehört weit weit in den fortgeschrittenen Bereich.

Du kannst jetzt gerne mit der Haltung weiter machen und die Leute hier, die Dir helfen und Dir die Infos geben, doof von der Seite anmachen; oder Du nimmst eben den Rat an und gehst doch evtl. strukturiert an die Sache ran - mit eben diesen Tipps.
Kleiner Hinweis: ersteres kommt gar nicht gut an. =)

T
2.219 Beiträge seit 2008
vor 7 Jahren

@Damokles
Ich hatte leider erst jetzt gemerkt, dass der Thread in Smalltalk verschoben wurde, deshalb kein mein Post oben ignoriert werden 😃

Ansonsten musst du mal erklären wer dich den hier ohne Respekt behandelt.
Abt sagt dir, auf seine eben direkte Art, dass dir Grundlagen in Netzwerktechnik fehlen.
Das scheint aber nun mal ein Fakt zu sein, da du Quasi ein Vorhaben planst, was den eigentlichen Zweck entfremdet.

An deinem Privatenanschluss bleibt dir, außer Ports im Router dicht zu machen, keine Möglichkeit Angriffe per (D)DOS zu blocken.
Per Programm die IPs ermitteln zu wollen ist zwecklos.
Quasi jedes 0815 Tool was einigermaßen für DOS Verschleierung programmiert wurde, schreibt im TCP Header die Quell IP um.
Dann hast du irgendwelche IPs die nicht stimmen.
Deine Firewall, im Router nicht auf deinem Rechner, blockt auch nicht auf IP Ebene sondern per Port.
Heute sollte jeder aktuelle Router per Default keine Ports offen haben und auch nicht per uPnP Ports öffnen.

Dann blockt dein Router sämtliche Abfragen.
Die Anfragen dann auf deinen Rechner weiterzuleiten legt nur sinnlos deinen Anschluss im Download lahm, da du eben alle Pakete durch deine Firewall laufen lässt.
Auf dem Router irgend ein Programm zu installieren, was diese Arbeit erledigen soll, macht auch keinen Sinn.
In der Regel laufen Router schon auf Linux Basis und haben dort mit entsprechenden Firewall Regeln schon eine solide Grundbasis um sich gegen solche Attacken im gewissen Rahmen zu schützen.

Was du aber bei einer statischen IP eben nicht verhindern kannst, ist die Erschöpfung deiner Bandbreite im DL.
Hier musst du eben bei einem aktiven Angriff deinen Provider informieren, damit dieser ggf. in seinem Netz direkt den Angriff abfischt.
Privat hat meine keine großen Möglichkeiten da zu schützen.
Wenn es so leicht wäre ein (D)DOS per Programm abzufangen, wären solche Angriffe auch keine große Sache.

Ob du dich weiter mit uns darüber unterhalten willst und eben damit auch unsere Erfahrungen bekommen möchtest, liegt an dir.
Auch wenn es dir vielleicht erst einmal schwer fällt, musst du eben auch damit klar kommen, dass manche Leute dich direkt ansprechen und dir erklären wollen warum dein Vorhaben eben keinen Sinn macht.
Mal von der Art und Weise abgesehen, muss ich aber Abt ebend Recht geben.
Aber wie schon gesagt, musst du dir hier die Grundlaen von Netzwerken aneignenen damit du auch verstehen kannst warum dein Ansatz nicht sinnvoll funktionieren kann.

Themen dafür wären eben Aufbau von TCP/UDP/IP Pakten, Firewalls und auch die Abläufe von (D)DOS sowie Netzwerkstrukturen und Abläufen der Kommunikation in Netzwerken.
Gerade das Internet ist nichts anderes als ein großes Netzwerk 😃
Wenn man hier die Grundlagen eines einfachen Netzes nicht kennt, kann man auch die Probleme im großen Netz nicht verstehen.

Am besten du liest dich in die Themen mal ein und machst dir dann eben Gedanken was du für Möglichkeiten hast.
Dann kommst du auch von alleine darauf 😃
Wünsche noch einen schönen Freitag und ein schönes Wochenende.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

3.003 Beiträge seit 2006
vor 7 Jahren

(Weil's halb zum Thema passt: https://www.heise.de/security/meldung/Security-Journalist-Brian-Krebs-war-Ziel-eines-massiven-DDoS-Angriffs-3329988.html - 620 GBit/s ist schon 'ne Hausnummer. Wenn selbst Akamai an der Stelle aufgibt, deutet das schon darauf hin, dass man mit einem kleinen C#-Programm wohl wenig Aussichten auf Erfolg hat 😉 )

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

T
2.219 Beiträge seit 2008
vor 7 Jahren

@LaTino
Zusätzlich sollte auch erwähnt werden, dass hier ein riesiges Botnetz zum Zuge kam.
Entsprechend wäre neben der reinen Netzwerk Last dann auch das "Tool" zum ermitteln der Angreifer total ausgelastet, da hier unmengen an Daten ausgewertet werden müssten.

Selbst wenn hier mit Threads arbeiten würde, dürfte die CPU dann unter Volllast laufen und dein Tool irgendwann nicht mehr hinterher kommen.

T-Virus

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

16.806 Beiträge seit 2008
vor 7 Jahren

Der Endkunde wird bei so einem Angriff nichts aber auch gar nichts tun können.
Das wird schon beim ISP so dermaßen Probleme machen, dass der Endkunde einfach kein Internet hat.

16.806 Beiträge seit 2008
vor 7 Jahren

OVH - ich nenn es jetzt, weil es hier zufälligerweise schon angesprochen wurde - hat nun mit einem DDoS Angriff mit 990 GBit/s kämpfen müssen.
Ausgegangen ist der Angriff wohl von Devices, die in die Kategorie IoT-Devices angesiedelt, aber vom Hersteller nicht gut genug abgesichert sind, sodass sie gehijackt worden konnte - offensichtlich Netzwerkkameras und digitale Videorekorder (über 150.000 Devices).

T
2.219 Beiträge seit 2008
vor 7 Jahren

@Abt
Hatte ich heute Morgen schon gelesen.
Ziemlich heftig.
Da sollte man das Thema IoT doch nochmal überdenken 😃

Ich bin schon kein Freund von dem "Smart" Home.
Wenn ich solche Nachrichten dann noch lese, in diesem Fall waren es wohl nur Online Cams, will man sich gar nicht vorstellen, was da noch für tolle Szenarieen kommen werden.

Anbei sollte man hier auch erwähnen, dass OVH hier mit TCP SYN/ACK Paketen gefluttet wurde.
Kann man, wie ich es oben auch schon erwähnt hatte, durch geänderte Quell IPs im TCP Header umsetzen.
Entsprechende Möglichkeiten/Tools gibt es dafür im Netz ohne Ende.
Aber ich denke mal, damit sollte jedem klar sein, dass man an einem Privatanschluss einfach keine großartigen Abwehrmöglichkeiten hat.

Martin

Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.

16.806 Beiträge seit 2008
vor 7 Jahren

Ich würde jetzt deswegen IoT nicht verteufeln. Ich verteufel ja auch nicht den PC; nur weil auf diesem theoretisch Viren kommen könnten.
Die IoT Geräte sind einfach mehr als nur fragwürdig abgesichert. Da sollte man die Hersteller in die Haftung nehmen.

Ich selbst bin in zwei Cloud-basierten IoT Projekten beteiligt - unter anderem Smart Home; und es gibt auch in diesem Bereich schon bewährte und sichere Kommunikationswege.
Es ist möglich diese Geräte abzusichern und zu patchen (MDM); aber das kostet auch Geld und muss der Hersteller wollen.

3.003 Beiträge seit 2006
vor 7 Jahren

Stimme ich zu. Die Probleme sind IoT-Geräte, deren Hersteller schlicht keinen Wert auf Sicherheit legen, anders kann man das nicht interpretieren. Bin ebenfalls auch im Bereich SmartHome unterwegs - sobald man etwas tiefer gräbt, stolpert man über die eine oder andere Stelle, an der man sich direkt ein Angriffsszenario ausmalen kann. Zumindest bei den Systemen, mit denen ich bisher zu tun hatte, kann man ziemlich deutlich sehen, dass zwar Sicherheitsmaßnahmen ergriffen, aber nicht sauber umgesetzt werden. Hier fehlt mMn das Verkaufsargument Sicherheit. Der Verbraucher sieht das nicht als (wichtigen) Kaufanreiz, daher wird nicht entsprechend Energie in diese Features gesteckt. Ohne die Schuld in Gänze den Käufern zuschieben zu wollen.

LaTino

"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)

16.806 Beiträge seit 2008
vor 7 Jahren

Der "Internetausfall" gestern ist auf IoT Devices ohne Security zurückzuführen, die als Botnet genutzt wurden.
Darunter Kameras, Baby-Phones, Drucker, Raspberries, TV-Receiver, Smart Home Devices.
KrebsOnSecurity: Hacked Cameras, DVRs Powered Today’s Massive Internet Outage

Clemens Vasters (Azure Platform Architect) hat dazu vor über einem Jahr über die Basics gesprochen:
Channel9: IoT Security Fundamentals

P
1.090 Beiträge seit 2011
vor 7 Jahren

Sollte man mal gelesen haben:

Clean Code Developer
Entwurfsmuster
Anti-Pattern