Moin,
nachdem ich im d)f-Forum und im Forum der Webhostlist in den letzten Tagen einiges über DoS-Attacken gelsen habe, würde mich mal interessieren, was das wohl für Leute sind, die sowas machen. Haben die einfach Langeweile, oder handelt es sich vornehmlich um Racheakte? Oder gibt es tatsächlich so viele geistesgestörte Persönlichkeiten, wie der Blick auf manche Kommunikationsplattformen vermuten läßt? Insbesondere in IRC-Kreisen scheinen einige Leute unterwegs zu sein, die vermutlich psychiatrischer Hilfe bedürfen.

Abgesehen von der Frage nach den Motiven der Urheber finde ich, daß DoS-Angriffe ziemlich unelegant und brutal sind. Leuten, die klassisch in fremde Computernetze eindringen, um an verborgene Informationen zu kommen, kann ich ja noch eine gewisse Achtung ob ihrer Fähigkeiten entgegenbringen, insbesondere wenn die Eindringlinge nichts Böses im Schilde führen (so CCC (http://www.ccc.de)-mäßig). Eine DoS-Attacke dagegen ist so, als würde man in einer Bank mit einem Maschinengewehr schießen, nicht um die Bank auszurauben, sondern um die Bankkunden an ihren Geschäften zu hindern :( .

Die Brutalität von DoS-Angriffen führt zurück zur Motivation der Täter: Wenn man in das gesicherte System einer Bank oder eines Providers oder des Militärs etc. eindringt und dort seinen Nicknamen auf alle Bildschirme schreibt, kann man ja vielleicht noch stolz auf seine Fähigkeiten sein (wie ein Meistertresorknacker oder sowas). Wenn man bei DoS einfach nur mit Massen von Müll die Leitungen und Schaltkreise verstopft, kann ich mir nicht vorstellen, daß da jemand auch noch stolz drauf ist.

Was meint Ihr dazu? Kennt vielleicht jemand eine Seite, über die Motive von Crackern (oder wie immer die bösen im Internet heutzutage heißen)- beim Google habe ich nix vernünftiges gefunden.

Viel Gruß
Thomas

Moin,

Zu einigen Motiven von solchen Leuten kann ich vielleicht was sagen.
Z.B. liegt bei den Crackern ein ausgewiesener Hang zur gegenseitigen Konkurrenz vor. Solche Leute verstehen Kopierschutzmassnahmen als sportliche Hürde, die es zu nehmen gilt. Die Crackergruppen versuchen sich in der Geschwindigkeit (Zeit zwischen Erscheinen des Programms/Kopierschutz und der Veröffentlichung des Cracks) zu überbieten. Oft ist es der Fall, dass Gruppen nur unzulänglich gecrackte Programme bereitstellen, nur um den Ersten Release auf ihr Konto zu verbuchen.
Mehr zu solchen leuten gibts bei:
http://www.heise.de/tp/deutsch/inhalt/te/9171/1.html.

Was für Cracker gilt, scheint bei DoS Attacken allerdings (wie Thomas schon bemerkte) nicht vorhanden zu sein.
Einige Motive sind hier http://www.weltregierung.de/security/roc/DoS/ genannt.
Auf jeden Fall ist DoS auch eine Möglichkeit eine Firewall zu überlisten.
Man stelle sich folgendes Szenario vor:
Netz A ist durch Firewall F geschützt. Rechner D ist für die Firewall vertrauenswürdig, steht aber ausserhalb von Netz A.
Rechner D wird per DOS lahmgelegt und der Angreifer bemächtigt sich der IP-Addresse von D.
Blob.. und die Firewall akzeptiert den Angreifer. Evtl. Nachfragen (etwa Challenge Handshake) an D werden vom Angreifer beantwortet, da D lahmgelegt ist.

Soviel dazu (Referate im Studium scheinen doch zu wirken :wink: )
Bisdennedann,
Jörg

Moin,
laut Heise (http://www.heise.de/newsticker/data/ju-18.01.03-001/) sind neuerdings über Gameserver ganz neue DoS-Attacken möglich, vor denen auch Firewalls des Angegriffenen nicht schützen. In dem Zusammenhang fällt mir auf, daß von Gameservern und Clanseiten offenbar eine ganz besondere Gefahr für die Netzsicherheit ausgeht. Deshalb hosten manche Leute grundsätzlich keine Gameserver und keine Clanseiten.
Daraus ergeben sich zwei Fragen. Sind Online-Gamer alle Freaks mit einem besonderen Hang zur Computersabotage, oder entsteht der Eindruck nur durch den Schwerpunkt der entsprechenden Berichte? Und: Worauf beruht die mögliche Neigung der Gamer zur Sabotage? Ist sie bei anderen Seiten mit einem gewissen Konkurrenzpotential (z.B. Fußball-Fanseiten) ähnlich ausgeprägt? Fast schon ein Fall für das Forum über sozialwissenschaftliche Aspekte des Internet ;) ...

Viel Gruß
Thomas

......In dem Zusammenhang fällt mir auf, daß von Gameservern und Clanseiten offenbar eine ganz besondere Gefahr für die Netzsicherheit ausgeht. .....
Sind Online-Gamer alle Freaks mit einem besonderen Hang zur Computersabotage, oder entsteht der Eindruck nur durch den Schwerpunkt der entsprechenden Berichte? .....

Der Eindruck entsteht meiner Meinung nach nur durch die entsprechenden Berichte. Nachdem beim AMokläufer in Erfurt Counterstrike auf der Festplatte gefunden wurde, wurden auch wieder alle Computerspieler zu potentiellen Kriminellen hochgestuft. Jeder der eine Playstation hat: GEFAHR! Jeder der einen PC hat und nicht nur darauf schreibt: GEFAHR!
Schwachsinn! (aber dazu einandermal mehr).

Du selbst hast einmal gesagt, Windows gelte nur deshalb als unsicher, weil die Viren hauptsächlich für WIndows geschrieben würden. Viren für Linus seien noch Mangelware, da dort ein Virus keine (entsprechend) große Zielbasis hätte (schliesslich sind noch weniger Linusrechner in privater Nutzung, als Windows-rechner).
Da nun Clan-seiten und Gameserver aus dem Boden schiessen wie das Unkraut im Frühjahr, werden natürlich auch die Bösewichte darauf aufmerksam.
Da die Protokolle der Spiele meist wenig gesichert sind (Kryptographie braucht Zeit), stellen sie natürlich auch ein Angriffsziel dar. Allerdings eines, welches schneller geknackt werden kann (da keine Sicherung), als ein anderes System.
Clan-Seiten sind wahrscheinlich nur wegen des enormen Traffics ungern gesehene Gäste.

Bisdennedann,
Jörg

Moin,
ich habe mich nochmal gefragt, warum IRC so eine große DDoS-Gefahr mit sich bringt. Ich vermutete eine Mischung aus dem dortigen sozialen Konfliktpotential :ph34r: und der Technik. Dieser nette Aufsatz (http://www.robertgraham.com/op-ed/magic-ddos.html) bestätigt meine Vermutung: Die Richtlinien zur Vergabe der Moderationsposten und die Möglichkeit, Bots einzusetzen, kombiniert mit irgendwelchen Banden, die sich über irgendwas streiten, machen IRC-Server und andere Rechner zu bevorzugten DDoS-Zielen.

Jetzt mal eine Frage an die Experten: Über NNTP streiten sich auch ständig eine Menge mehr oder weniger seltsamer Menschen; DDoS scheint dort aber nicht im entferntesten so ein Problem zu sein, wie im Zusammenhang mit IRC (2000 zu 17500 Treffer beim Google). Liegt das eher an der Technik (kann man NNTP-Server wirklich nicht so besonders leicht angreifen?), oder an den Nutzern oder an was sonst :confused: .

Viel Gruß
Thomas

oder an den Nutzern oder an was sonst
Hmm

Gute Frage.
Ich denke es liegt eher an der Art der Kommunikation. Ok.. beides geht über Lesen und Schreiben, aber ein News-Server ist nicht für Real-Time gedacht, sondern für eine Art Briefwechsel auf Zeit.
Dass sich bei Heise manche eine richtige Minuten-Takt Diskussion liefern, ist immernoch langsamer, als das Instant-Write-Instant-Read des IRC.
Einen IRC anzugreifen ist demnach eher zu machen, als einen Newsserver. Auf einen Newsserver müsste man eine entsprechend Große Anzahl Anfragen schicken, um ihn lahmzulegen. Da eine News-Verbindung jedoch (soweit ich das kenne), nur kurz aufgebaut wird, um erst mal die Kopfzeilen zu übertragen und dann später vielleicht den Body, so ist bei IRC ein ganzer Kanal dauerhaft belegt.
Wie beim Telefonieren. Ein Gespräch dauert oft länger, als ein Fax.
Oder seh ich da was falsch? :unsure:

Bisdennedann,
Jörg

PS: Sorry.. ich hab grad eben bemerkt, dass ich in meinem letzten Post dieses Threads die ganze Zeit "Linus" anstatt "Linux" geschrieben hab.. Sorry. :blink:

Originally posted by Jörg@Jun 11 2003, 10:49 PM

Auf einen Newsserver müsste man eine entsprechend Große Anzahl Anfragen schicken, um ihn lahmzulegen.
Auf einen IRC-Server auch - auf jeden Server musst du nur eine entsprechende Anzahl an Anfragen richten um ihn lahmzulegen ;)
Da eine News-Verbindung jedoch (soweit ich das kenne), nur kurz aufgebaut wird, um erst mal die Kopfzeilen zu übertragen und dann später vielleicht den Body,
Das ist abhängig davon, welchen Newsreader man verwendet bzw. wie man den konfiguriert hat.
Aber grundsätzlich hast du natürlich Recht - es ist "einfacher", einen IRC-Server in die Knie zu zwingen.
Ein wichtiger Aspekt ist IMHO aber auch, dass Newsserver - im Gegensatz zu IRC-Servern - von fähigen Administratoren betreut werden, die i.d.R auch die technische Infrakstruktur (Gateways etc.) zur Verfügung haben, um DoS-Attacken zu erkennen und gegensteuern zu können. Nichtsdestotrotz kann man natürlich auch einen Newsserver lahmlegen ;)

Grundsätzlich denke ich aber, dass die grössere Häufigkeit von IRC-DoS einfach mit der Klientel (meiner ist länger als Deiner - OK, davon gibts im Usenet auch genug ;)) und dem Echtzeitaspekt zusammenhängt.
Es macht $Scriptkiddie einfach mehr Spass, einen IRC-Server lahmzulegen und alle mit dem Server verbundenen Teilnehmer "zeitgleich zu kicken", als einen Newsserver lahmzulegen, bei dem die meisten Nutzer nichteinmal merken würden, dass er nicht erreichbar war/ist.

Insofern ist das ganze hier ein Äpfel-Birnen-Vergleich:
IRC --> Echtzeitkommunikationsmedium (auch "Chat" genannt)
News --> "schwarzes Brett", wo man bei Gelegenheit liest/postet

Es macht $Scriptkiddie einfach mehr Spass, einen IRC-Server lahmzulegen und alle mit dem Server verbundenen Teilnehmer "zeitgleich zu kicken", als einen Newsserver lahmzulegen, bei dem die meisten Nutzer nichteinmal merken würden, dass er nicht erreichbar war/ist.

Wie ist das eigentlich bei IRC: Verschwindet ein Channel aus dem IRC, wenn der Server, auf dem er läuft, ausfällt? Bekommt das also die gesamte IRC-Gemeinde mit, wenn z.B. der Server, auf dem der Channel #Berlin läuft, abgeschossen wird? Wer bestimmt denn, welcher Channel auf welche Maschine kommt? Daß es so ähnlich geht wie bei NNTP, daß sich alle IRC-Server ständig austauschen, kann ich mir nicht vorstellen: Vermutlich würde die Zeitverzägerung für einen solchen Datenabgleich die Snchronität der Diskussion stören.

Viel Gruß
Thomas

Originally posted by Thomas Roessing@Jun 12 2003, 11:33 AM
[IRC-Funktionsweise
Gute Frage. Goggelst du jetzt oder soll ich? :twisted:
Ich hab nämlich auch keine Ahnung, wie IRC genau funktioniert :G - hab mich nie für interessiert ;)

Lieben Gruss, Norbert

Meines Wissens sind die Channel nur auf einem Server erreichbar. So ist der Channel #berlin im Quakenet ein anderer als #berlin auf blitzed.org. deshalb wird auch immer der Server bei Channel-Namen angegeben.

mfg Martin

Moin,
Gute Frage. Goggelst du jetzt oder soll ich?
Ich gucke die Tage mal - muß muß mich eh ein bißchen schlau machen über IRC. Im Allgemeinen finde ich es aber viel lustiger, Fragen an ein paar nette Leute zu stellen, als mich vom Google schlau machen zu lassen ;) .

Daß IRC so streng getrennt auf einzelnen Servern läuft, wußte ich noch gar nicht; ich dachte zumindest, wenn man irgendwo in den Channel #Berlin will, wird der Server mit dem Channel drauf irgendwo gesucht. Wenn das aber so getrennt ist, kann ich mir durchaus vorstellen, daß es IRC-Server/Channel mit besonders anstrengenden Nutzern gibt und welche mit weniger anstrengenden Nutzern und besserer Sicherung/besseren Admins. Ich hatte für Tests immer den IRC von der FU Berlin benutzt; ich nehme mal an, da ist die Skriptkiddie-Dichte etwas geringer als bei einem Server von $Online-Spiel-Club...

Viel Gruß
Thomas

Zurück zur Hauptfrage;
Vieles was heute im Netz läuft, egal ob IRC oder DoS-Attacken oder sonstiges, führe ich auf das zurück, was wir schon vor 20 Jahren hatten...

siehe z.b. CB-Funk

So praktisch diese Dinger ware, so langweilig waren tw. die Gespräche (für Au?enstehende).
Klar, ich habe mir auch so manche Nacht um die Ohren geschlagen...

Da ja CB-Funk für jedermann zugänglich war, gab es so gut wie keine Regeln (außer die, die sich die Menschen im Äther selber schufen).
Ein Außenstehender stand dann schon mal da, ohne einen Responz zu erhalten...
Wie kann man sich also gehör verschaffen? Durch div. Nachbrenner, und als das nix half, na da wurde man halt zum Störrenfried, und so begann der Spaß am feedback (wenn auch sehr einseitig, aber man wurde wahrgenommen).
Logisch, daß ein hochzüchten der Leistungsfähigkeit nicht ausblieb, schlußendlich schafften es Störrenfriede immer wieder.
Selbst wenn man den einen oder anderen anpeilen konnte, und ihn dann mal gehörig den Hintern versohlte, so waren die, die irgentwie störrten doch immer die "Sieger"...
Gerade die Anonymität in diesen Medien macht es störrenfrieden sehr leicht, sich "bemerkbar" zu machen...
Gerade durch diesen Hintergrund vermute ich, daß sehr viele, einfach Sozialgestörrt sind, wenn auch nicht freiwillig...
Ist weder ne Entschuldigung noch sonstwas, sondern schlicht ne Tatsache, daß in vielen von uns, der Drang, auf sich aufmerksam zu machen, sich in den Vordergrund zu stellen vorhanden ist... bei manchen überschreitet er die Grenzen...
Selbiges Phänomän sieht man ja bei "Gaffern".
Egal welches Land, welche Schicht...passiert was, so ist die traube größer, als das eigentliche Geschehen...
Ich für mich, führe es darauf hin zurück, daß der Mensch von heute zu viel Zeit hat, und mit selbiger nix zum Anfangen weiß.
Klar, es gibt auch viele andere Motive, aber der Anriß von oben, ist halt auch ne Sparte...