Ja, det har seg slik at en kompis av meg.. har fått seg noen form for DDoS leketøy. Dette slo ut nette mitt på lørdag og i dag nå han skulle demonstrere det. Hvordan kan jeg forhindre han fra å slå ut hele nettet mitt på et svisj? Har 20mb/s fra NextGenTel.

er nesten umulig og beskytte seg mot dette med vanlig hjemme nett i dag, ddos beskyttelse koster mange mange tusen

Så han kan skru av nette mitt når han vil?

jepp, har du en dynamisk ip så hjelper det mye, for da er det bare og bytte ipn din når du restarter routern, har du ikke det så må du snakke med ispn din og forklar dem problemet

Jeg vil anbefale å ta kontakt med ISP ganske raskt. De kan nemlig ta kontakt med "kompisen" din sin ISP og be de om å "fikse" problemet.

Hvilken "fiks" tenker du på?

Brev om abuse, slå ned på farten hans, eller annulere kontrakten dem imellom så han må finne seg ny isp.

bruker han eget nett så anmeld han.
ville tatt en prat med han først å sagt at du ikke synes dette er noe gøy

hvis han ikke bruker eget nett er det litt verre, du kan kontakte ISP å be om ny IP.

Gitt at det er DDoS, er det ikke mye du kan gjøre foruten å ta kontakt med din ISP og forklare problemet.

Høres ut som han har leid seg deler av et botnett, og kjørt trafikk mot deg. Men hvis han gjør alt hjemme fra sin egen linje, er det enklere å håndtere problemet.

om han er kompis er det vel bare å be han slutte?

jeg hadde sladra på han til foreldra, "dere vet sønnen deres driver med ulovlig nettkriminalitet?"

siste steg hadde blitt anmeldelse til snuten. /

om han ikke er noe god kompis hadde jeg vurdert å kutte nettet hans manuellt, om han ikke bor så langt unna ^^

hvor gammel er han btw? dette hjelper muligens ikke om han er over 18, (som jeg tviler på dog)

du kan jo alltids få deg en backup linje som du kan switche over på

God dag, dette er min første post på freak, men ikke første på et IT-Sikkerhets forum.

Jeg er det jeg vil kalle over gjennomsnittet god på DoS (og DDoS) og vet en del om hvordan det hele fungerer.

Q: Spørsmålet ditt var om det var en måte å sikkre deg fra DDoS angrep?
A: Ja, en eneste metoden å sikkre seg mod DDoS angrep er å bruke en hardware firewall. Dette er en boks (pc) som har spesiell programmvare og innmat som filtrer ut DDoS pakker (pakker som er corrupte eller som har en forfalsket header). Sånne hardware brannburer koster sjorta og det er utrolig vansklig å få tak i. Det er bare de største selskapene i verden som har disse og de kan godt bli like store som en rack når du får store angrep. Den eneste måten for deg som privatperson er å si ifra til ISP en din. Det høres ut som denne kammeraten din har greier på hva han gjør og å sende politet på han er nytteløst siden han høyest sansynelig har kryptert harddisken. Å si ifra til din ISP er noe som virker mer sansynelig, de kan sikkert sette denne hardware brannmuren på hos seg siden de helt sikkert har en, men å finne ut og bevise hvem som eier et botnet er som å lete etter nåla i høystaken, det er praktisk umulig.
Hvis alt dette feiler så ber du dem om ny IP adresse og så vil han ikke kunne nå deg lenger. Ofte så får du ny ipadresse etter 1 uke - 1 månde (kommer ann på ISP).

Hvis dette feiler så vet du hvem typen er så du kan jo alltids konfrontere han IRL...

Dette vil vell ikke hjelpe om angrepet fyller linja med pakker.. ?

Å sjekke om pakker er korrupte er trivielt; dei har ein sjekksum. Forfalska header? Korleis skal du kunne oppdage at headeren er falsk? Joda, du kan sjå at du ikkje brått skal få pakker med ack, uten å ha mottatt syn først. Men alt det der er trivielt.

Problemet er når pakkane er så mange at dei fyller nettlinja; da vil aldri hardware hjelpe. Da hjelper det kun med bedre linje.

Skal ikke DLD brukes til å forebygge kriminelle handlinger over nett?

Jeg sier igjen: Sett opp den kraftige boksen hos ISP... *Facepalm*
Men jeg skjønner forvirringen, jeg mener ikke at man skulle sette den opp hjemme, men at Hardware firewall er det eneste som duger mot DDoS. Akkurat nå er det kraftigste DDoS botnettet du kan kjøpe på HF 6 gb/s og jeg tror ikke at kompisen til OP har et slik arsenal. Et rackskap (ikke et tomt et ) skal nok klare å holde opp i hvertfall 1 gb/s angrep.

Så om jeg monterer pcen min i ett rackskap, og har nettlinje på la oss si 2mbit, så vil jeg kunne håndtere ett angrep på 1gbit? Jeg tror du har drømt deg litt bort på disse andre forumene du henger på.

Drømmer meg bort? Lær deg å lese det jeg skriver! Hvis angrepet blokkeres hos ISP så blir jo ikke din netthastighet tregere av den grunn!

Jeg gjetter at han er 15-16-17 år og har skaffet seg LOIC eller noe sånt.

Men dynamisk IP kan gjøre susen, ellers kan du finne ut hvilken ISP han har evt kontakte din egen og sende klagemail. Terskelen er ikke så stor før de gjør noe med det, har jeg hørt.

nei, poenget med DLD var i hovedsak å stoppe vanlig kriminalitet (i hovedsak løse sakene i ettertid). Før valget var det ting som terrorisme, voldtekter, mord. Og med spesielt fokus på organisert kriminalitet.

Hvilken krftig boks snakker du om? Det hjelper veldig lite å bare å sette opp en boks. Det vil funke mot vanlige "DoS" angrep. Men "DDoS" (med fokus på distribuert) finnes det ikke bare en magisk boks som løser for deg som du kan sette opp.

Hvordan skal denne magiske boksen din klare å skille mellom hva som er legitte pakker, og hva som er pakker som er med i angrepet? - Det kan være det finnes firewaller som klarer å håndtere dette, men da er jeg nyskjerrig på hvordan disse virker og hvordan de klarer å finne forskjellen mellom en ordentlig pakke og en DDoS pakke.

Er ikke sikker på hvordan de fungerer, men de finnes det vet jeg. Noen DDoS angreps typer bruker korrupte pakker for å bruke mer resurser hos maskinen som blir angrepet, kanskje de ser etter slike?

Uten at jeg kan alt for mye handler det om å blokkere gjentatte pakker fra en eller flere IP-adresser, altså blacklisting. Hvor vanlig er det at en adresse sender gjentatte mange pakker som aldri returnerer "Ack"?

Det finnes systemer for å stoppe DDOS, men det koster fort opp mot noen hundre tusen dollar.


Mvh Faller

Korrupte pakker er ikke så veldig vanlig i DDoS-angrep da det å lage en "legit" pakke med spoofet avsender ikke akkurat er veldig vanskelig.

Tingen her er at det virker som du uttaler deg om noe du ikke har så stort innblikk i - med en tone som hintet til at du nesten var ekspert på feltet. Dette er litt dårlig retorikk, og man burde i hvertfall utrykke at man er usikker eller bare har hørt at det skal være mulig (men ikke vet sikkert).

Jeg prøvde å søke etter utstyr for å stoppe DDoS-angrep, og jeg ender stadig bare opp med at løsningen er å kjøre firewalls som direkte blokkerer avsendere basert på IP-adresse - noe som er vanskelig om de bruker et angrep hvor de spoofer ip-adressen.

Finnes det andre mer avanserte måter å stoppe slike angrep på, som man får kjøpt hardware til å gjøre?

Har blitt fortalt av mye "større" menn en meg hvordan dette fungerer. Selv om jeg ikke vet hvordan en brannmur ikke fungerer til minste detalj så betyr det ikke at jeg later som om jeg vet masse som jeg egentlig ikke gjør. Og jeg har aldri sagt at jeg var ekspert bare at jeg viste mer en gjennomsnittet, noe som er langt fra ekspert.

Jeg har blidt fortalt at pakker med korrupt informasjon forvirrer serveren og får den til å bruke litt extra unødvendig kraft på å prøve å finne ut hva det er før den dumper den.

AFAIK så er det SSYN og Smurf (sikkert noen fler) som bruker falske IP Adresser.

etse: hva med noen av disse:
http://www.fortinet.com/products/fortiddos/index.html
http://www.prolexic.com/
http://www.riorey.com/
http://www.cloudflare.com/features-security

Jeg fant ikke noen priser o.l men basert på informasjonen ser det ut til å være blokkering av IP ja.


Mvh Faller

Dette er i så fall feil. Det å sjekke om pakker er korrupte eller ikke blir gjort med alle TCP-pakker, med en enkel checksum. Er denne checksumen feil vil pakken forkastes - og man bruker ikke noe mer tid på denne.

Om pakken ikke er korrupt vil man behandle den videre (noe som tar mer kraft av maskinen). Man vil og måtte sende svar på at man mottok pakken, samt sende den videre til eventuelle tjenester som lytter etter pakker på denne bestemte porten (gjerne innom en brannmur på veien).

Det neste blir dermed å prøve å blokkere pakker basert på avsender feltet. Kjøre noen enkle statistikker og se på inkommende pakker for så å enten drive med blacklisting av ondsinnede brukere eller whitelite ordentlige brukere. Dette trenger man ikke noe spesielt dyrt utstyr for å gjøre. Problemet er bare at utstyret må være raskt nok til at det klarer å behandle alle pakker som kommer inn.

Dette løser uansett ikke problemet, siden også dette utstyret kan blir kneblet av et DDoS-angrep. Og desto større angrepet er, desto bedre må denne maskinen være. (man kan og gjøre den distribuert og bare ha flere).

En bedre og letter løsning på DDoS-problemet er å ta direkte kontakt med ISP, og be dem løse det. Da vil de kunne klare å sperre ute de ulike "zombie"-maskinene fra internett, men om antallet er stort kan dette ta litt tid.

Hvis du mener at det er feil så skal jeg ta ditt ord for det. Er det noen andre protokoller enn TCP som kan bruke korrupte pakker som en angrepsmetode?

Når jeg tenker over det så kan det være at personen(e) som fortalte meg dette kan ha ment "Ping of Death" der du overskriver størrelsen på pakken. AFAIK så var dette bare effektivt på eldre systemer som win 95.

OP:
Beste måte å beskytte deg mot dos fra venner er å finne ut hvordan de finner ip adressen din og proxy'e dette på noen måte.
Det er veldig lite du kan gjøre med hjemmelinjen din for å overleve et kraftig dos. Du kan dog prøve skru av modemet ditt noen mins og håpe du får en ny ip adresse.

MrZone:
Tror du har missforstått hvordan internett tubene fungerer. En hardware box (pc som du nevner) er den første som vil gå ned under et dos angrep. iptables,pfsense og slike type software produkter takler veldig lite pakker. Om du skal ha sjangs til å forstatt route denne trafikken videre til destinasjonen må du ha produkter som for eks Cisco og Juniper, som router trafikken i hardware/asic.
Dette er ingen ddos-beskyttelse, men det vil værtfall route trafikken videre til der den skal slik at kun target går ned og ikke hele internettlinken (sett du er på et datasenter eller lignende).
Når det gjelder ddos protection er det flere firma som kommer med dette nå. Har sett på endel i det siste (uten å ha fått lekt med noen enda) og Checkpoint sin nye ddos-protector virker lovende (http://www.checkpoint.com/products/ddos-protector/)
Det er ikke vanskelig å få tak i disse boksene, du må bare ha litt cash. Checkpoint sin boks kommer i flere versjoner, fra 500Mbps til 12Gbps beskyttelse og prisen er deretter også.
For 8Gbps versjonen må du ut med $130,000 og for 12Gbps er det $170,000. Ganske stive priser, men småpenger om noen skulle holde deg nede i dagesvis.
Skal ikke så mye til for å stoppe et (d)dos om du har riktig utstyr og tools. Stopper vel et hver uke ca. Det største var vel på 8Gbps+.
Det innbærer ingen påfylling av servere i racket vårt, kun litt ninjakode.

Til TS. Hvis han er en kompis du kan møte face2face så er det bare be han slutte. Hvis han ikke så gjør er det bare å gi han juling eller annmelde hvis han ikke stopper. (kanskje lurt å bytte om på rekkefølgen der)

Høres ut som om det du snakker om er slowloris. Det er et program som gjør mange delvise HTTP requests og igjen prøver å holde så mange som mulig connections åpne slik at webserveren som blir angrepet er opptatt med å håndtere mange ugjennomførte requests istedenfor å serve ekte brukere.
Dette er ikke et distribuert angrep da dette godt kan gjøres fra en enkelt IP effektivt uten å bruke nevneverdig båndbredde.

Generally, sending a 65,536-byte ping packet would violate the Internet Protocol as written in RFC 791, but a packet of such a size can be sent if it is fragmented; when the target computer reassembles the packet, a buffer overflow can occur, which often causes a system crash.
Man lager en pakke som er større enn det som skal være murlig og er det jeg mener med å overskrive (lage for store pakker) pakken.

In early implementations of TCP/IP, this bug was easy to exploit. This exploit has affected a wide variety of systems, including Unix, Linux, Mac, Windows, printers, and routers. However, most systems since 1997–1998 have been fixed, so this bug is mostly historical.
Jasså? Så et problem som fantes sent på 90-tallet er liksom et stort problem nå også? Jeg nekter ikke for at det finnes systemer som kan ha oversett dette men å si at det er et problem nå er som å si at pesten er et problem i europa. Du kan kanskje forveksle POD med ping flooding som er noe litt i den andre gata.

Jeg er kanskje ikke utdannet innenfor IT-Feltet som deg men jeg mangler ikke grunnlegende forståelse om hvordan internettet fungerer. Jeg vet ikke om du kanskje missforstår det jeg sier fordi jeg har hørt det før. Men når jeg snakker om racks så snakker jeg om store maskiner og ikke et tomt skap som du pekt ut tidligere i tråden. Jeg vet at internettet fungerer som motorveier og at det kan oppstå trafikkkork når alle filene blir fulle. Men at jeg for så mye tyn fordi jeg sier at det finnes hardware brannmurer som man bruker til å blokkere DDoS angrep skjønner jeg ikke. Selv om jeg ikke vet hvordan man stopper et storslaget DDoS angrep i praksis så er jeg ikke helt bak mål når det gelder IT og nettverk heller da! Og ikke kom til meg å si at teorien min om hvordan man stopper det er helt på jordet. Jeg syntes at jeg ligger langt framme i forhold til andre gutter på 15 år.

Jasså? Å mene at ninja kode stopper DDoS angrep er bare tull. Hvis du leste ordentlig så kan du se at jeg mente humoristisk at det var folk på google som la til flere servere hver gang det var DDoS angrep, selvfølgelig er det ikke det. Jeg vet også at det finnes gigantiske bottnets som har høyere kapasitet. Men hvis dere påstår at OP sin angreps mann bruker 100-tusner av dollar på botnet så må kompisen hans være en eller annen millionær. Hvis dere fornekter at det faktisk må fysiske barrierer og brannmurer for å stoppe DDoS angrep på høy skala så er det ikke JEG som har liten grunnlegen oppfatting av intenettet. Jeg har også blidt angrepet av DDoS (Min dedi server) men og der måtte det HW brannmurer opp (ikke det at jeg vet AKKURAT hvordan dette ble gjort men hvem bryr seg egentlig?).