---

Hej

Er der nogle der kender et godt redskab til at "forsvare sig" mod et DOS
angreb?

Hilsen

T

---

news.euroconnect.dk <..> wrote:
> Er der nogle der kender et godt redskab til at "forsvare sig" mod et DOS
> angreb?

Redskabet er god kontakt til den tekniske kapacitet hos din upstream.
Soeg efter "defeating dos/ddos" hos Google. Det giver blandt andet
foelgende hits:

http://staff.washington.edu/dittrich/misc/ddos/
http://www.sans.org/dosstep/
http://www.sans.org/ddos_roadmap.htm

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Redskabet er god kontakt til den tekniske kapacitet hos din upstream.

Det løser ikke DoS angreb på applikationslaget eller forretningslaget.


Et angreb på applikationslaget kan forgå ved at tidsmåle de forskellige
scripts på siden, og vælge de mest tidskrævende, for derefter at
distribuere angrebet via en række klienter.


Hvordan løser man forresten et DDoS angreb på forretningslaget.

En angriber har adgang til de gule sider, og fra et andet betalingssite
har han/hun fået fat i en liste over kreditkort. Angriberen bygger en
klient der bliver distribueret (fx via IRC) ud til sine offre. Derefter
fortager man masser af betalinger på forskellige menneskers adresser med
forskellige menneskers kredit kort.

Angrebet bliver først opdaget når folk klager over betalinger de ikke
har fortaget og varer de ikke har bestilt. Nu skal forretningen bruge
tid og penge på reklamationssager og dårlig omtale.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
> Alex Holst wrote:
>> Redskabet er god kontakt til den tekniske kapacitet hos din upstream.
>
> Det løser ikke DoS angreb på applikationslaget eller forretningslaget.

Naeh, men det upraecise spoergsmaal fik mig til at tro, at det drejede
sig om et netvaerks DoS.

> Et angreb på applikationslaget kan forgå ved at tidsmåle de forskellige
> scripts på siden, og vælge de mest tidskrævende, for derefter at
> distribuere angrebet via en række klienter.

Det er lettere blot at poste et link paa slashdot.

> Hvordan løser man forresten et DDoS angreb på forretningslaget.
>
> En angriber har adgang til de gule sider, og fra et andet betalingssite
> har han/hun fået fat i en liste over kreditkort. Angriberen bygger en
> klient der bliver distribueret (fx via IRC) ud til sine offre. Derefter
> fortager man masser af betalinger på forskellige menneskers adresser med
> forskellige menneskers kredit kort.
>
> Angrebet bliver først opdaget når folk klager over betalinger de ikke
> har fortaget og varer de ikke har bestilt. Nu skal forretningen bruge
> tid og penge på reklamationssager og dårlig omtale.

Den slags bedrageri sker hele tiden. Store virksomheder har afdelinger
til at haandtere disse tilfaelde. I visse industrier er bedrageri
afdelingerne fabelagtigt dygtige. VISA/Mastercard har f.eks. styr paa
den slags; Ebay hoerer til den gruppe der endnu ikke forstaar hvordan
ders forretning kan misbruges.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>>Det løser ikke DoS angreb på applikationslaget eller forretningslaget.
> Naeh, men det upraecise spoergsmaal fik mig til at tro, at det drejede
> sig om et netvaerks DoS.

Men det er nok netværks DoS angreb han er udsat for, hvis det da ikke er
andre fejl.

>>Et angreb på applikationslaget kan forgå ved at tidsmåle de forskellige
> Det er lettere blot at poste et link paa slashdot.

:)

> Den slags bedrageri sker hele tiden. Store virksomheder har afdelinger
> til at haandtere disse tilfaelde. I visse industrier er bedrageri

Hmmm, det kræver en stor afdeling for at håndtere dette.

Tag blot jule perioden, hvor mange forretningskæder for største delen af
deres indtjening. Hvis et sites ordre siger med en faktor 10, og det
viser sig at 9/10 bestillinger er falske. Dette kan kun håndteres når
det er for sent.

Eller kan man undgå ovenstående, før man har sendt varen ud?



--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
> Tag blot jule perioden, hvor mange forretningskæder for største delen af
> deres indtjening. Hvis et sites ordre siger med en faktor 10, og det
> viser sig at 9/10 bestillinger er falske. Dette kan kun håndteres når
> det er for sent.
>
> Eller kan man undgå ovenstående, før man har sendt varen ud?

Salgsstedet kan bede banken om at sammenligne den oplyste adresse med
den som kortholderen staar listet med. Salgsstedet kan naegte at sende
til andre adresser end den som kortholderen har registeret hos banken.

Man laver en analyse af sine kunder og finder ud af hvor meget boevl de
er villige til at gaa igennem for at handle sikkert. Man implementerer
teknologi derefter, og koeber forsikring til at daekke stoerre tab.

Som tingene ser ud nu tyder det paa at forsikringskrav, og ikke
lovmaessige krav, bliver skyld i forbedringer paa IT sikkerhedsomraadet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"news.euroconnect.dk" <..> skrev i en meddelelse news:3e05e46f$1@news.wineasy.se...
> Er der nogle der kender et godt redskab til at "forsvare sig" mod et DOS
> angreb?

Hej,

Det er ikke meget data du giver. Er det et DoS mod dit website? En applikation?

Cisco har en udemærket side, som fortæller lidt om DDoS og hvad du kan gøre for at
gøre angrebet mere ineffektivt:
http://www.cisco.com/warp/public/707/newsflash.html

Der findes også software som kan bøje et angreb af og give legitim trafik uhindret
adgang til dine services, f.eks.
http://astanetworks.com/products/vantage/
http://mazunetworks.com/

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Det er et DOS mod vores Firewall, samt portscanning. Jeg har vedlagt en
lille del af vores Logfil.

Log start--
Dec 22 21:21:03 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:132.239.17.119/6300 dst outside:yyy/5802
Dec 22 21:21:13 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:80.138.204.97/17247 dst outside:yyy/5802
Dec 22 21:21:15 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:217.232.32.186/9371 dst outside:yyy/5802
Dec 22 21:21:35 xx %PIX-3-106011: Deny inbound (No xlate) udp src
outside:132.239.17.119/6400 dst outside:yyy/5802
Dec 22 21:23:48 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:48 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:49 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:49 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:50 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:51 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
Dec 22 21:23:51 xx %PIX-2-106006: Deny inbound UDP from 200.78.19.228/1029
to yyy/137 on interface outside
-- Log slut

xx er ip adressen på vores Pix, og yyy er den eksterne adresse.

Problemet er at vores DMZ zonen bliver låst flere gang i løbet af døgnet,
nogle gang i op til 10min. Portscanning er ikke noget stort problem, dem har
vi temmelig meget af også før vores angrebet på vores Pix.

Tak for tippet til jer begge. Så er der lidt at arbejde med

T

"Peter Kruse" <kruse@_rouchSPAM_railroad.dk> skrev i en meddelelse
news:3e05f610$0$208$edfadb0f@dread14.news.tele.dk...
"news.euroconnect.dk" <..> skrev i en meddelelse
news:3e05e46f$1@news.wineasy.se...
> Er der nogle der kender et godt redskab til at "forsvare sig" mod et DOS
> angreb?

Hej,

Det er ikke meget data du giver. Er det et DoS mod dit website? En
applikation?

Cisco har en udemærket side, som fortæller lidt om DDoS og hvad du kan gøre
for at
gøre angrebet mere ineffektivt:
http://www.cisco.com/warp/public/707/newsflash.html

Der findes også software som kan bøje et angreb af og give legitim trafik
uhindret
adgang til dine services, f.eks.
http://astanetworks.com/products/vantage/
http://mazunetworks.com/

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

> Problemet er at vores DMZ zonen bliver låst flere gang i løbet af døgnet,
> nogle gang i op til 10min. Portscanning er ikke noget stort problem, dem har
> vi temmelig meget af også før vores angrebet på vores Pix.

Du har 1-2 droppet UDP pakker pr. sekund, er det et DoS angreb? Det
ligner en forvirret Windows klient.

De første 3 linier kan jeg ikke lige genkende.


Har du ikke en firewall der kan fortælle dig hvor meget pakkerne fylder?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Som sagt et lille udpluk af vores Syslog

Syslogen har mere end 20.000 "forespørgelser" fra en ipadresse der tilhøre
San Diego universitet, 15.000 fra en wanadoo i frankring etc..

Jeg ved ikke om det kan kaldes et DOS, men fakta er at vores DMZ har udfald
i op til 10 min.

Vores Pix kan sikkert godt vise størrelserne på pakkerne, men det kræver
noget software, som jeg er ved at installere.

T

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:au5e86$do0$1@sunsite.dk...
> > Problemet er at vores DMZ zonen bliver låst flere gang i løbet af
døgnet,
> > nogle gang i op til 10min. Portscanning er ikke noget stort problem, dem
har
> > vi temmelig meget af også før vores angrebet på vores Pix.
>
> Du har 1-2 droppet UDP pakker pr. sekund, er det et DoS angreb? Det
> ligner en forvirret Windows klient.
>
> De første 3 linier kan jeg ikke lige genkende.
>
>
> Har du ikke en firewall der kan fortælle dig hvor meget pakkerne fylder?
>
> --
> Christian E. Lysel, http://www.spindelnet.dk/
>
> Kunst? http://www.firewallmonkeys.com/songs/
>

---

... wrote:
> Syslogen har mere end 20.000 "forespørgelser" fra en ipadresse der tilhøre
> San Diego universitet, 15.000 fra en wanadoo i frankring etc..

Over en hvor lang tidsperiode?

> Jeg ved ikke om det kan kaldes et DOS, men fakta er at vores DMZ har udfald
> i op til 10 min.

Over en hvor lang tidsperiode?

> Vores Pix kan sikkert godt vise størrelserne på pakkerne, men det kræver
> noget software, som jeg er ved at installere.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

Vi har haft udfald i følgende perioder:

23,56 - 00,05 fredag - lørdag
00,49 - 00,58 lørdag
02,01 -02.05 lørdag
04,18 - 04,27 lørdag
05,55 - 06,04 lørdag
8,46 - 8,56 lørdag
9,00 - 9,01 lørdag
01,06 - 01,11 søndag
02,07 - 02,13 Søndag
04,28 - 04,36 Søndag

Vi har haft syslogen kørende siden fredag eftermiddag og der er 6.000.000
linier i logen. Vi har selvfølgelig altid haft portscanninger, men langt fra
i denne størrelses orden.

T

---

... wrote:
> Vi har haft udfald i følgende perioder:

Hvordan måler du forresten dine udfald?



Endvidere har du i et tilligere indlæg givet 2 tal på antal pakker fra
forskellige lokalitioner. Du har ikke svaret på over hvor lang en
periode disse tal stammer fra.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

> Hvordan måler du forresten dine udfald?

Ping med tidsstempel fra LAN til DMZ og ping fra DMZ til WAN. Begge steder
få jeg en time out når "angrebet" er størst. Desuden brokker vores kunder
sig over at vores hjemmesider er meget langsomme og i perioder kan de slet
ikke få adgang.

> Endvidere har du i et tilligere indlæg givet 2 tal på antal pakker fra
> forskellige lokalitioner. Du har ikke svaret på over hvor lang en
> periode disse tal stammer fra.

Vi startede som sagt vores syslog fredag eftermiddag. Så hele perioden er
ca 55 timer.

Jeg kontakter en sikkerheds ekspert idag. Så må jeg jo betale mig fra det


Men endnu en gang tak for svarende.

Hilsen

T

---

Thomas wrote:
> Ping med tidsstempel fra LAN til DMZ og ping fra DMZ til WAN. Begge steder
> få jeg en time out når "angrebet" er størst. Desuden brokker vores kunder
> sig over at vores hjemmesider er meget langsomme og i perioder kan de slet
> ikke få adgang.

Jeg kan ikke forstå du har problemer mellem LAN og DMZ, da trafikken
bliver afvist på WAN siden.

> Vi startede som sagt vores syslog fredag eftermiddag. Så hele perioden er
> ca 55 timer.

Den havde jeg overset.

Men når jeg regner på det giver det en pakke pr. 10. sekund.

Hvor stor en linie har du?


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/

---

> Jeg kan ikke forstå du har problemer mellem LAN og DMZ, da trafikken
bliver afvist på WAN siden.

Da næste alle vores webserver står i DMZ, vil alle kald til port 80, 443 etc
blive sendt videre til DMZ gennem NAT. Interface kortet på DMZ er den del,
der sjovt nok, er mest belastet!
Jeg overvåger kun de kald som bliver afvist af PIX'en. Så jeg ved ikke hvor
mange pakker der bliver sendt til vores 8 webserver

> Hvor stor en linie har du?

Vores linie er 8 MB

Hilsen

Thomas