[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Lokalrunde · 23 Sep. 2016

Brian Krebs nimmt es immerhin mit Humor: https://twitter.com/briankrebs/status/779144394360381440

Larius · 23 Sep. 2016

Der DDoS wird wahrscheinlich noch etwas dauern, aber danach wieder aufhören. Was hat es gebracht? Nichts.

keinbenutzername · 23 Sep. 2016

klar hat es was gebracht.
Viele Leute hören so zum ersten Mal von diesem Herrn Krebs.

KaPiTN · 23 Sep. 2016

@keinbenutzername:

Ja, der war das selber.

keinbenutzername · 23 Sep. 2016

wer hat das gesagt?
Ich sagte nur, viele werden jetzt zum ersten mal von ihm hören.
Ist das eine falsche Aussage?

KaPiTN · 23 Sep. 2016

Was bringt es, wenn Leute wie Du diesen Namen jetzt einmal gehört haben?

keinbenutzername · 23 Sep. 2016

oha, da ist es wieder, dein Schubladendenken und Verurteilen.

Muss ich mich jetzt auf diese Diskussion mit dir einlassen?
Fakt ist, viele Leute werden jetzt zum ersten mal was von ihm hören.

Ob es ihm was bringt, es der Welt was bringt, dir gefällt oder seine Absicht war ist mir echt egal.

Es ging mir nur darum auf Larius Frage "was hat es gebracht" zu sagen was es gebracht hat.
Und das ist doch ein Fakt.

Ich kenne/kannte den Typen nicht. Daher kann ich mir auch nicht anmaßen zu entscheiden was er will und was er macht oder jemand anderes ihm antut.
Ich bin sogar der Meinung das das keiner hier mit aller Sicherheit beurteilen kann.

Gerne darfst du aber natürlich wieder anderweitig argumentieren, nicht weil es deine Meinung wäre, sondern weil es konträr meiner Meinung ist.

Aber ich bin so fein und beantworte deine Frage:
Er ist Journalist. Da will man gehört werden und man will das (auch Leute wie ich) Menschen die eigenen Artikel lesen.

Allerdings habe ich nie gesagt er hätte das selbst inszeniert. Dieser Gedanke und der Anstoß zu der unsinnigen Diskussion darüber kam völlig überflüssigerweise von dir.

KaPiTN · 23 Sep. 2016

Du hast also wirklich nicht verstanden, das sich Larius rhetorische Frage auf den Angreifer bezog, der nichts erreicht hat.

U.S.C.H. · 23 Sep. 2016

Ihr zwei seid echt süß. :beer:

Bernd · 23 Sep. 2016

Kann man denn gar nichts gegen solche Attacken machen? Ist denn nicht klar von wo diese Angriffe kommen?

cokeZ · 23 Sep. 2016

@Bernd: Bei 665Gb/ps so gut wie nichts. Und nein, das Botnet, welches RIESIG sein muss, ist noch nicht identifiziert.

Lokalrunde · 23 Sep. 2016

Selbst Akamai musste da kapitulieren.

sia · 23 Sep. 2016

keinbenutzername schrieb:
Ich kenne/kannte den Typen nicht.

Ich kenne ihn auch nicht persönlich, aber jeder, der in den letzten 10 Jahren auch nur am Rande mit IT-Sicherheit zu tun hat(te), hat seinen Namen wohl schon mal gehört.

Er ist Journalist. Da will man gehört werden und man will das (auch Leute wie ich) Menschen die eigenen Artikel lesen.

Na ja, eigentlich hat der Mann das nicht mehr nötig.

HoneyBadger · 23 Sep. 2016

Bernd schrieb:
Kann man denn gar nichts gegen solche Attacken machen? Ist denn nicht klar von wo diese Angriffe kommen?

Ich bin kein Programmierer, aber ausreichend technikaffin, um Brain.exe zu verwenden. NoScript, uBlock, VPN, und was man sonst so braucht, um nicht ständig den Rechner zu zerschießen, geht auch alles klar. Ich bin mir aber ehrlich gesagt nicht sicher, ob ich meine Hand dafür ins Feuer legen könnte, dass ich es nicht doch mal irgendwie geschafft haben könnte, ein Teil eines solches Botnetzes geworden zu sein. Bis dato ist mir nie etwas aufgefallen. Worauf müsste man achten, um das sicher zu identifizieren? Bei einer normalen Anfrage fällt der nebenbei verursachte Traffic ja nicht zwangsläufig auf, oder?

keinbenutzername · 23 Sep. 2016

Bernd will aber nicht seinen eigenen Computer vor Kompromittierung schützen sondern die Server des Hosters vor einer DDoS Attacke...

Bernd · 23 Sep. 2016

Naja, seinen eigenen Computer zu schützen ist ja auch nicht verkehrt lol. Aber irgendwas kann man doch sicherlich machen, diese Angriffe kommen ja von einer IP, und wenn man die hat dann kann man sich ja den PC ansehen und schauen von wem er ferngesteuert wird.

sia · 23 Sep. 2016

foesenMurz schrieb:
Worauf müsste man achten, um das sicher zu identifizieren?

Auf Traffic, der nicht von dir selbst verursacht wird, sowie Prozesse, die ebenjenen Traffic verursachen und/oder nicht von dir installiert wurden.

Das ginge bspw. mit Wireshark oder Process Monitor.

Bernd schrieb:
Naja, seinen eigenen Computer zu schützen ist ja auch nicht verkehrt lol. Aber irgendwas kann man doch sicherlich machen, diese Angriffe kommen ja von einer IP, und wenn man die hat dann kann man sich ja den PC ansehen und schauen von wem er ferngesteuert wird.

Nein, wenn man eine IP hat kann man nicht einfach schauen, von wem der PC ferngesteuert wird. Du kannst den Traffic an der Quelle ja nicht überwachen, außerdem kontaktieren die Rechner wohl eher einen C&C-Server, damit sie aus dem lokalen NAT kommen, anstatt einen Port aufzumachen.

Man kann IP Ranges blocken, was bei einem globalen Botnet aber kaum was bringt, da man dann auch legitime User aussperrt. Krebs selbst hat den DNS-Eintrag des Servers auf [kw]127.0.0.1[/kw] geändert, damit die Bots sich selbst DoS-en.

one · 24 Sep. 2016

Interessant ist vielmehr, dass es keine(!) Reflection-Attacke war. Das Netz muss richtig gut ausgebaut sein. Wenn der Betreiber Reflection fährt, dann gute Nacht.

Novgorod · 24 Sep. 2016

phre4k schrieb:
Auf Traffic, der nicht von dir selbst verursacht wird, sowie Prozesse, die ebenjenen Traffic verursachen und/oder nicht von dir installiert wurden.

Das ginge bspw. mit Wireshark oder Process Monitor.

heutzutage wird das nur sehr bedingt helfen.. ordentliche viren infizieren das system, d.h. es wird dir nicht viel helfen zu sehen, dass eine der zahllosen svchost.exe instanzen irgendeinen server im internet anpingt.. bestenfalls kriegt man mit, wenn gerade ein angriff mit voller bandbreite stattfindet, falls man seinen netzwerk-speed immer anzeigen lässt (-> bestes tool, leider nicht mehr weiterentwickelt) und selbst dann wird man das ohne weitere nachforschung nicht von z.b. irgendwelchen system-updates oder cloud-scheiße unterscheiden können.. erst recht hat man keine chance, einen versteckten C&C-abruf zu erkennen, der vielleicht einmal pro stunde stattfindet, das geht komplett im rauschen aller nach-hause-telefonier-anwendungen (allen voran das OS selbst) unter und als laie braucht man garnicht erst anfangen, da ist die einzige hoffnung, dass ein virenscanner es entdeckt..

[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Lokalrunde

Schneehasen-Administrator

Larius

OutOfOrder

keinbenutzername

gesperrt

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

keinbenutzername

gesperrt

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

keinbenutzername

gesperrt

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

U.S.C.H.

Slayer

Bernd

NGBler

cokeZ

Aktiver NGBler

Lokalrunde

Schneehasen-Administrator

sia

gesperrt

HoneyBadger

Aktiver NGBler

keinbenutzername

gesperrt

Bernd

NGBler

sia

gesperrt

one

Querulant

Novgorod

ngb-Nutte