SYN FLOOD / UDP FLOOD to host ...

peterle

peterle

Forenkasper
Kuckuck,

auf der Suche nach dem Bundestrojaner hab ich mal in mein Router-Log geschaut und da gab es ein paar Einträge der Form:
PHP: 
11.01.2007 13:14:51 **SYN Flood to Host** 192.168.X.X, 1264->> 193.26.97.186, 80 (von ATM1 - Ausgang)
11.01.2007 13:14:51 **UDP Flood to Host** 192.168.Y.Y, 49720->> 216.73.85.10, 53 (von ATM1 - Ausgang)

Wobei 192.168.X.X ein XP-Client ist und 80 ist http und die 193.26.97.186 eine aktuell besuchte Seite.
192.168.Y.Y ist en FreeBSD 6.1 mit named und 216.73.85.10 ist scheinends ein NS von Doubleclick
PHP: 
 216.73.85.10	ns3.doubleclick.net
also Werbung, wie es scheint und da da in dem Moment einer im Netz rumbrauste, scheint das alles nicht ganz falsch zu sein.

Was es aber mit dem FLOOD auf sich hat, will sich mir nicht erschließen und die Infos die ich finden konnte, waren nicht sonderlich ergiebig, außer daß es ein Trojaner, eine DOS-Attacke, eine Verschwörung der Tempelritter usw. wäre.

Hat vielleicht einer einen Tip?
Ein Danke vom DAU im Voraus. :)
 
TCM schrieb:
ich wusste ja nicht, dass du dau _bleiben_ willst.
Zum Vergrößern anklicken....

Ab einem bestimmten Alter nimmt man zur Kenntnis, daß man bis zum eigenen Tode nicht mehr alles lernen wird, was man doch sooooo gerne noch möchte. ;)

Spaß beiseite. Ich hatte mal in alten Modemzeiten so etwas mit einer FreeBSD-Kiste auf einem alten 468DX2 66 und ganzen 128MB? RAM installiert. Das war eine Rakete! :cool: - damals zumindest. :p
War aber auch ein Päckchen Arbeit das ganze Aufzusetzen und am Laufen zu halten.
Aktuell habe ich einen alten Belkin ADSL-Router mit Wireless-Tralala.
Gibts da was Alternatives zu, was vielleicht auch einen kleinen DNS für den eigenen Bereich anbietet? Anknipsen, Einloggen, Daten eingeben, Fertig - wäre doch eine bequeme Lösung ... :rolleyes:
 
Und was willst du dann, bezogen auf die Ausgangsfrage, damit anfangen? Glaubst du vielleicht, ein BSD-basierter Router schreibt in die Logs: "Bundestrojaner auf dem Rechner mit der IP w.x.y.z aktiv!" Wohl kaum. Du kannst dir das notwendige Netzwerkwissen also aneignen oder dich alternativ eben nicht weiter um den Bundestrojaner scheren. Wer nichts zu verbergen hat... :D
 
Is auch nicht immer einfach mit euch oder? :D

Das "0815-Routerchen" auswechseln, der läuft eh erst halbwegs brauchbar, seit ich ihm ein Kilo Kühler gespendet habe.
Da mir das aber scheinbar nicht weiter hilft, gebt mir zumindest einen brauchbaren Link zu Seiten, Büchern, was weiß ich, dann kram ich die alten staubigen Ecken meines Hirnes auch noch frei ... :rolleyes:
 
peterle schrieb:
Kuckuck,

auf der Suche nach dem Bundestrojaner hab ich mal in mein Router-Log geschaut und da gab es ein paar Einträge der Form:


Hat vielleicht einer einen Tip?
Ein Danke vom DAU im Voraus. :)
Zum Vergrößern anklicken....

Hallo mein Freund,

also zu diesem Thema haben wir hier in diesem Forum schon ausgiebig diskutiert:

siehe hierzu:

http://www.bsdforen.de/showthread.php?p=147060#post147060

hier habe ich versucht darzustellen wie so etwas funktionieren könnte.

Dann wie funktioniert ein Syn-Flood hierzu Auszug Wikipedia

Wenn ein Client eine TCP-Verbindung zu einem Server aufbauen möchte, führen der Client und der Server einen so genannten Dreiwege-Handshake durch, um die Verbindung einzurichten. Der normale Ablauf, wie in Abb. 1 zu sehen, ist dabei folgender:

1. Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
2. Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
3. Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.


Ein böswilliger Client kann die letzte ACK-Nachricht unterschlagen. Der Server wartet einige Zeit auf ein entsprechendes Paket, da es ja auch auf Grund von Paketverlust ausbleiben könnte.

Während dieser Zeit werden sowohl die Adresse des Clients, als auch der Status der noch halb offenen Verbindung im Speicher des Netzwerkstacks vorrätig gehalten um die Verbindung später vollständig etablieren zu können. Bei allen Betriebssystemen belegt diese so genannte halb offene Verbindung Ressourcen auf dem Server. Da Ressourcen immer begrenzt sind, ist es durch "Flutung" des Servers mit SYN-Nachrichten möglich, alle diese Ressourcen aufzubrauchen. Sobald dies der Fall ist, können zum Server keine neuen Verbindungen mehr aufgebaut werden, was zur Zugriffsverweigerung (Denial of Service) führt. Die Tatsache, dass SYN-Pakete sehr klein sind und auch ohne großen Rechenaufwand erzeugt werden können, macht diesen Angriff besonders unausgewogen. Der Verteidiger benötigt mehr Ressourcen zur Abwehr als der Angreifer für den Angriff selbst.

Der Link hierzu:

http://de.wikipedia.org/wiki/SYN-Flood


Ja und generell ein Link zur IT-Sicherheit:

http://de.wikipedia.org/wiki/Kategorie:IT-Sicherheit


Dann lege ich Dir noch einen Link zu einen Sicherheitsforum aber nicht nur das:

http://www.network-secure.de/index.php?option=com_content&task=view&id=1452&Itemid=100

Eine oft vernachlässigte Form des Einschleusen eines Viruses/Wurms/ Trojaners auf ein Betriebssystem wäre der Umweg über ein Bluetooth Handy.

Beim Abgleich der Daten (Synchronisation) mit dem Rechner würde dieser dann auf das jeweilige Betriebssystem kommen.


mfg Gecko
 
peterle schrieb:
Was es aber mit dem FLOOD auf sich hat, will sich mir nicht erschließen und die Infos die ich finden konnte, waren nicht sonderlich ergiebig, außer daß es ein Trojaner, eine DOS-Attacke, eine Verschwörung der Tempelritter usw. wäre.
Zum Vergrößern anklicken....
Meine Glaskugel ist beschlagen, wie wär's mit ein wenig Netzwerk-Dumps? Kann alles mögliche sein: ein Knick im Netzwerkkabel, eine sterbende Netzwerkkarte, eine DOS-Attacke, OS-Fingerprinting...

Wenn Dein Router Dich nicht genauer informiert, wirst Du wohl dumm sterben müssen. Alternativ gibt's (wie schon weiter oben erwähnt) WRAP und Soekris mit diversen routing-tauglichen Images (unter BSD z.B miniBSD oder M0n0wall).
 
... ich les ja schon, ich les ja schon ... :biggrin:

Sehe ich das richtig, daß ihr tatsächlich als Firewall/Router eine BSD-Kiste vor dem großen bösen Inter-Netz habt und das Plug'n'Pray nicht wirklich eine Alternative darstellt?

Das mit dem Bundestrojaner war eigentlich nur ein Witz ... zumindest dachte ich das bis heute, aber die meinen das scheinbar wirklich ernst.
 
peterle schrieb:
Sehe ich das richtig, daß ihr tatsächlich als Firewall/Router eine BSD-Kiste vor dem großen bösen Inter-Netz habt und das Plug'n'Pray nicht wirklich eine Alternative darstellt?
Zum Vergrößern anklicken....
Meine Beiden kannst Du im Wiki bewundern und in Kürze nachbauen -- ich teste gerade verschiedene Installationsmethoden. Und ja, Plug'n'Pray ist solange schön wie's funktioniert. Bei mir funktioniert es traditionell eher unvollständig, eigentlich garnicht -- wie auch, ohne Windows-Rechner zuhause.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben