DoS Angriffe
Verfasst: 27.04.2012, 15:33
Hallo liebe GLF'ler,
Nach langer Zeit, habe ich gedacht, das ich mich auch mal wieder beteiligen könnte. Da es ja in den letzten Monaten immer wieder mal zu Angriffen auf verschiedene Foren kam, und zum Thema Dos auch einige Fragen gestellt wurden, stelle ich mal das was ich darüber weiß hier ein.
1.Was ist ein DoS-Angriff.
Bei einem DoS (Denial of Service) wird ein Webserver mit anfragen überflutet, bis dieser sich aus Sicherheitsgründen abschaltet. Ein solcher Angriff kann unterschiedlich Stark ausfallen, je nachdem wie er durchgeführt wird. Ein DoS ist nur dazu geeignet um Webserver offline zu bringen, an Daten kommt der Angreifer hiermit nicht heran, den auch für Hacker ist dieser Server für die Dauer des Angriffs nicht erreichbar. Ist der Angriff Vorbei, hat der Admin die volle Kontrolle zurück.
2. Der Ablauf eines Dos-Angriffs.
Ein einzelner ist kaum in der Lage einen erfolgreichen Angriff durch zu führen, da er nicht die ausreichende Menge an Anfragen an den Server senden kann um diesen lahm zu legen. Es ist also entweder Nötig, sich mit anderen Abzusprechen, oder auf Sogenannte Bot's oder Zombies zurück zu greifen Ein Bot ist ein, mit einem Trojaner infiziertem Rechner, der auf die Kommandos der Hostrechners (Angreifers) wartet und dann die entsprechenden Anfragen an den Server Sendet. Die meisten Trojaner, welche einen Rechner zu einem Zobie mutieren lassen sind sehr einfach programmiert und werden leicht von Antivirensoftware erkannt und unschädlich gemacht. Aber es ist auch nicht wirklich schwer, wirklich gemeine kleine Biester zu schreiben, welche sich selbstständig in eure Registry eintragen und so über den Autostart, mit eurem Betriebssystem starten. Dieser Trojaner meldet sich dann Sofort beim Angreifer und teilt ihm mit das er Online ist. Läuft gerade ein Angriff, bekommt der Bot die Anweisung sich zu beteiligen. Kommt keine Anweisung, da kein Angriff läuft, oder die Anzahl der voreingestellten Bot's erreicht ist, wartet er auf Anweisungen.
Während eines Angriffes, kann es vorkommen, dass der Bot-Rechner langsamer wird, das kann ein erster Hinweis für den Nutzer sein, das sein Rechner befallen ist. Auch das Flackern der Cursors, kann ein Hinweis sein.
wenn man sich nicht sicher ist, ob man sich einen Trojaner eingefangen hat, gibt es mehrere Möglichkeiten das zu überprüfen.
Öffnet den Autostart Ordner und last euch auch die "versteckten" Programme anzeigen. Ist hier etwas das euch verdächtig vorkommt, überprüft was es für ein Programm ist (Google hilft). Findet ihr keine Antwort dann löscht das Programm und mach einen ausführlichen VirenScan.
Hilfreich ist auch das Programm Search Bot and Destroy, welches ein breite Band an Bot's erkennt und sie zuverlässig entfernt.
Einige Bot's verhindern, das Herunterladen von z.B. Avira, Avast und Search Bot and destroy. Ist es bereits so weit, bleibt meist nichts anderes Übrig, als eine komplette Neuinstallation des Systems.
Wie kommt man an die Angreifer heran?
Leider ist es fast nicht mehr möglich die Urheber eines solchen Angriffes zu ermitteln. Sie gehen heute wesentlich geschickter vor als noch vor einigen Jahren. Als Beispiel.
Die DoS Software WAR-Bot (auch bereits veraltet).
War bot erstellt einen Trojaner, der mit einem Webserver in Verbindung steht, auf diesem Webserver ist dann das Webinterface von WAR-Bot gehostet. Natürlich ist dieser Host Anonym und wurde über Tor angelegt und mit Falschen Daten versehen. Da der Bot nun nicht mit dem Angreifer sondern nur mit dem Webserver kommuniziert und der Angreifer das Webinterface nur mit Tor nutzt, ist es eben kaum Möglich den Angreifer aus zu machen.
Was kostet das den Angreifer?
Weil es die Software überall im Netz auch kostenlos gibt, kostet es den Angreifer außer ein wenig Zeit nichts. Er lädt sich die Software herunter, installiert, verteilt seinen Trojaner, macht alle nötigen Einstellungen und der Angriff läuft, bis er ihn stoppt oder alle Bot's entdeckt und entfern wurden.
Wie werden die Trojaner verteilt?
Leider gibt es sehr viele Möglichkeiten Trojaner in oder hinter anderen Dateien oder Programmen zu verstecken. Im Grunde kann hinter jeder Datei ein Trojaner Stecken, welcher ausgeführt wird, wenn man die Datei anklickt. das Kann eine Mp3, ein Bild oder was auch immer sein. Lädt man sich z.B. ein Rar oder Zip Archiv herunter, ist es sinnvoll, zu überprüfen, ob sich in diesen Archiv Versteckte Ordner oder Dateien befinden. Auch auf die Datei Namen sollte man achten. Niemals ein Bild mit einem Namen wie Bild.exe.jpg öffnen.
Das waren alles sehr einfach zu erkennende Beispiele, aber auch schon der Besuch einer Webseite kein einem einen Trojaner bescheren, wird in die Webseite ein "Forced Download" eingebaut, lädt euer Rechner den Trojaner über ein FTP-Verbindung herunter. Das ganze geschieht über den Passiven Modus und die Datei kann direkt in eurem Systemstart gespeichert werden, beim nächsten hochfahren, installiert sich das ganze, ohne das ihr etwas davon mit bekommt.
Das schlimme an dieser Methode ist, das durch diese Verbindung auch Tor umgangen wird. auch der Trojaner nutzt von sich aus natürlich nicht das Tor.Netz und kann so Informationen wie Eure IP, Betriebssystem und Nutzer sowie den Computernamen an den Angreifer übermitteln. Steht der Benutzername oder der Computername im Bezug zum Realnamen, dann hat der Angreifer die Identität der Nutzers und die Anonymität ist Geschichte.
Ich möchte mit diesem Beitrag keine Panik verbreiten, dazu besteht auch kein Grund, es ist aber wichtig sich damit zu beschäftigen und die Anzeichen erkennen zu können um zu verhindern, das man Opfer von Hackern wird.
das wozu der Bundestrojaner in der Lage war, ist anderen schon lange möglich und leider noch viel mehr.
Ich bin mir sicher, das es hier einige gibt, die zu dem Thema besser bescheid wissen als ich und noch einiges ergänzen oder berichtigen können. Ich wollt das Thema hiermit nur mal lostreten.
Gruß
Leon
Der Link führt euch zum ORIGINAL Download von Search Bot and destroy
http://www.safer-networking.org/en/download/
Nach langer Zeit, habe ich gedacht, das ich mich auch mal wieder beteiligen könnte. Da es ja in den letzten Monaten immer wieder mal zu Angriffen auf verschiedene Foren kam, und zum Thema Dos auch einige Fragen gestellt wurden, stelle ich mal das was ich darüber weiß hier ein.
1.Was ist ein DoS-Angriff.
Bei einem DoS (Denial of Service) wird ein Webserver mit anfragen überflutet, bis dieser sich aus Sicherheitsgründen abschaltet. Ein solcher Angriff kann unterschiedlich Stark ausfallen, je nachdem wie er durchgeführt wird. Ein DoS ist nur dazu geeignet um Webserver offline zu bringen, an Daten kommt der Angreifer hiermit nicht heran, den auch für Hacker ist dieser Server für die Dauer des Angriffs nicht erreichbar. Ist der Angriff Vorbei, hat der Admin die volle Kontrolle zurück.
2. Der Ablauf eines Dos-Angriffs.
Ein einzelner ist kaum in der Lage einen erfolgreichen Angriff durch zu führen, da er nicht die ausreichende Menge an Anfragen an den Server senden kann um diesen lahm zu legen. Es ist also entweder Nötig, sich mit anderen Abzusprechen, oder auf Sogenannte Bot's oder Zombies zurück zu greifen Ein Bot ist ein, mit einem Trojaner infiziertem Rechner, der auf die Kommandos der Hostrechners (Angreifers) wartet und dann die entsprechenden Anfragen an den Server Sendet. Die meisten Trojaner, welche einen Rechner zu einem Zobie mutieren lassen sind sehr einfach programmiert und werden leicht von Antivirensoftware erkannt und unschädlich gemacht. Aber es ist auch nicht wirklich schwer, wirklich gemeine kleine Biester zu schreiben, welche sich selbstständig in eure Registry eintragen und so über den Autostart, mit eurem Betriebssystem starten. Dieser Trojaner meldet sich dann Sofort beim Angreifer und teilt ihm mit das er Online ist. Läuft gerade ein Angriff, bekommt der Bot die Anweisung sich zu beteiligen. Kommt keine Anweisung, da kein Angriff läuft, oder die Anzahl der voreingestellten Bot's erreicht ist, wartet er auf Anweisungen.
Während eines Angriffes, kann es vorkommen, dass der Bot-Rechner langsamer wird, das kann ein erster Hinweis für den Nutzer sein, das sein Rechner befallen ist. Auch das Flackern der Cursors, kann ein Hinweis sein.
wenn man sich nicht sicher ist, ob man sich einen Trojaner eingefangen hat, gibt es mehrere Möglichkeiten das zu überprüfen.
Öffnet den Autostart Ordner und last euch auch die "versteckten" Programme anzeigen. Ist hier etwas das euch verdächtig vorkommt, überprüft was es für ein Programm ist (Google hilft). Findet ihr keine Antwort dann löscht das Programm und mach einen ausführlichen VirenScan.
Hilfreich ist auch das Programm Search Bot and Destroy, welches ein breite Band an Bot's erkennt und sie zuverlässig entfernt.
Einige Bot's verhindern, das Herunterladen von z.B. Avira, Avast und Search Bot and destroy. Ist es bereits so weit, bleibt meist nichts anderes Übrig, als eine komplette Neuinstallation des Systems.
Wie kommt man an die Angreifer heran?
Leider ist es fast nicht mehr möglich die Urheber eines solchen Angriffes zu ermitteln. Sie gehen heute wesentlich geschickter vor als noch vor einigen Jahren. Als Beispiel.
Die DoS Software WAR-Bot (auch bereits veraltet).
War bot erstellt einen Trojaner, der mit einem Webserver in Verbindung steht, auf diesem Webserver ist dann das Webinterface von WAR-Bot gehostet. Natürlich ist dieser Host Anonym und wurde über Tor angelegt und mit Falschen Daten versehen. Da der Bot nun nicht mit dem Angreifer sondern nur mit dem Webserver kommuniziert und der Angreifer das Webinterface nur mit Tor nutzt, ist es eben kaum Möglich den Angreifer aus zu machen.
Was kostet das den Angreifer?
Weil es die Software überall im Netz auch kostenlos gibt, kostet es den Angreifer außer ein wenig Zeit nichts. Er lädt sich die Software herunter, installiert, verteilt seinen Trojaner, macht alle nötigen Einstellungen und der Angriff läuft, bis er ihn stoppt oder alle Bot's entdeckt und entfern wurden.
Wie werden die Trojaner verteilt?
Leider gibt es sehr viele Möglichkeiten Trojaner in oder hinter anderen Dateien oder Programmen zu verstecken. Im Grunde kann hinter jeder Datei ein Trojaner Stecken, welcher ausgeführt wird, wenn man die Datei anklickt. das Kann eine Mp3, ein Bild oder was auch immer sein. Lädt man sich z.B. ein Rar oder Zip Archiv herunter, ist es sinnvoll, zu überprüfen, ob sich in diesen Archiv Versteckte Ordner oder Dateien befinden. Auch auf die Datei Namen sollte man achten. Niemals ein Bild mit einem Namen wie Bild.exe.jpg öffnen.
Das waren alles sehr einfach zu erkennende Beispiele, aber auch schon der Besuch einer Webseite kein einem einen Trojaner bescheren, wird in die Webseite ein "Forced Download" eingebaut, lädt euer Rechner den Trojaner über ein FTP-Verbindung herunter. Das ganze geschieht über den Passiven Modus und die Datei kann direkt in eurem Systemstart gespeichert werden, beim nächsten hochfahren, installiert sich das ganze, ohne das ihr etwas davon mit bekommt.
Das schlimme an dieser Methode ist, das durch diese Verbindung auch Tor umgangen wird. auch der Trojaner nutzt von sich aus natürlich nicht das Tor.Netz und kann so Informationen wie Eure IP, Betriebssystem und Nutzer sowie den Computernamen an den Angreifer übermitteln. Steht der Benutzername oder der Computername im Bezug zum Realnamen, dann hat der Angreifer die Identität der Nutzers und die Anonymität ist Geschichte.
Ich möchte mit diesem Beitrag keine Panik verbreiten, dazu besteht auch kein Grund, es ist aber wichtig sich damit zu beschäftigen und die Anzeichen erkennen zu können um zu verhindern, das man Opfer von Hackern wird.
das wozu der Bundestrojaner in der Lage war, ist anderen schon lange möglich und leider noch viel mehr.
Ich bin mir sicher, das es hier einige gibt, die zu dem Thema besser bescheid wissen als ich und noch einiges ergänzen oder berichtigen können. Ich wollt das Thema hiermit nur mal lostreten.
Gruß
Leon
Der Link führt euch zum ORIGINAL Download von Search Bot and destroy
http://www.safer-networking.org/en/download/
