Raw sockets und Windows 2000 / XP

Re(4): Raw sockets und Windows 2000 / XP

mr. sito — Tue, 02 Oct 2001 13:18:17 GMT

das mag schon sein.

Aber es war doch bis jetzt immer so, dass der "normale" User unter Windows alles durfte und unter Linux praktisch nix machen konnte.
Es war dann die Aufgabe des Administrator die Rechte zu vergeben oder wieder wegzunehmen).

Wenn man also Windows installiert und damit vor hat ins Internet einzusteigen, sollte man sowieso Schutzmassnahmen ergreifen.

M.

Re(10): Raw sockets und Windows 2000 / XP

hover — Tue, 02 Oct 2001 12:51:13 GMT

JA ich habs ja eh schon gepostet das es chello tut !! bah hört mir mal wieder keiner zu

was ich allerdings noch nicht probiert hat ist eine IP zu verwenden die im gleichen netz ist wie meine .. möglich wäre es ja das die router jeweils nur pakete aus dem eigenen netz durchlassen also:
192.168.100.45 ist der client
192.168.100.1 der router
es dürfen nur welche aus dem 192.168.100.0/24 netz durch =)
oki???
hat jemand nen linux rechner mit tcpdump rennen ? will es mal testn ihm nen gespooften ping zu schicken über chello

buchinfo

kri — Tue, 02 Oct 2001 12:47:19 GMT

hi fly!
ich bin einer derjenigen, die relativ spät in die materie rechner bzw. internet eingestiegen sind und so fehlen mir einfach gewisse grundkenntnisse.
wollte dich fragen ob du vielleicht ein gutes buch oder ein paar gute pages weisst zu diesem thema.
welches thema: alles was ein bisserl tiefer richtung technischen aufbau vom netz geht...
danke
kri

buchinfo

kri — Tue, 02 Oct 2001 12:46:56 GMT

Re(3): Raw sockets und Windows 2000 / XP

Fly — Tue, 02 Oct 2001 12:01:02 GMT

Gut, gewonnen.

Nur kannst Du mir erklären wofür's der "Durchschnittsuser" braucht? Dies ist etwas, das als optionales Paket auf der Install-CD zu liegen hat und das man überhaupt nur in die Finger kriegt wenn man explizit danach sucht und es WISSENTLICH installiert.

Re(2): Raw sockets und Windows 2000 / XP

mr. sito — Tue, 02 Oct 2001 10:12:12 GMT

Also ich verstehe den ganzen rummel um die raw-sockets im XP nicht.
Raw-sockets waren schon immer in Windows eingebettet, auch in Linux kann man mit diesen arbeiten. Also warum schreien jetzt alle auf?

raw-sockets kann man auch für "normale" Anwendungen nutzen. Hatte mal für SCTP (stream control transmission protocol - ein neues Transportlayerprotokoll) mit raw-sockets gearbeitet, da ich hierfür nicht UDP- und TCP-sockets nicht verwenden konnte.

M.

Re(10): Raw sockets und Windows 2000 / XP

Fly — Tue, 02 Oct 2001 09:19:17 GMT

Aber bring das mal den Leuten bei!

Das erste was garantiert kommt ist "warum soll ich'n das abschalten, das is' doch ein neues Feature von Windows und bei Linux gibt's das eh schon ewig, da is' auch nie was passiert."

Re: Raw sockets und Windows 2000 / XP

tonne — Tue, 02 Oct 2001 08:28:22 GMT

Man kann nur alle XP und W2k user bitten, sich socketlock von http://grc.com zu besorgen. Werden halt nicht alle tun .

T.

Re(9): Raw sockets und Windows 2000 / XP

Robert Craven — Tue, 02 Oct 2001 06:16:01 GMT

Interessant wirds für DAUs erst, wenn sie mal vor Gericht stehen, weil sie an einem DDOS-Angriff teilgenommen haben und nicht nachweisen können, dass sie nur eine Drohne waren, bzw. weil sie ihren Computer nicht abgesichert haben. Wenn ich jetzt meine Puffn irgendwo geladen herumliegen lass, jemand nimmt sie und erschiesst wen, dann krieg ich ja auch Probleme (selbst wenn ich die Puffn zu meinem neuen Fernseher gratis dazubekommen hab, und gar nicht wollt)

Re(9): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 22:38:25 GMT

Laut einem andere Beitrag kann man nicht wirklich toll spoofen von chello.
J.

Re(8): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 22:22:25 GMT

Chello tut's?

Re(7): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 21:49:06 GMT

Erstens könnt' sich der nicht weniger drum kümmern. Was schert's ihn? Keiner seiner Kunden hat damit ein Problem, ihm geht ja niemand damit am Sack, also warum sollt' er auch nur eine Millisekunde der Arbeitszeit eines Technikers darauf verschwenden.

chello tut's.

Finde sie als Ziel des Angriffs (weil, wie gesagt, der Provider bei dem's auftritt, der merkt's ja nicht mal!). Und dann erreiche die Provider und bring sie dazu, den Typen abzudrehen.

Ich glaube, es ginge nicht darum, "jemanden abzudrehen" sondern grundsaetzlich die GWs/router so zu configureiren, dass spoofing erschwert wird (sollten nicht eh alle so conf. sein? Ich find schon...)
J.

Re(8): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 21:46:24 GMT

Komm bitte. Der Durchschnittsdau hält ja TCP/IP für'n Chinesischen Geheimdienst, was soll der über DDoS und seine Auswirkungen wissen? Bzw, wie sollte der auf 'ne Werbung wie "bei uns werden's kein DDoS Opfer" ansprechen? Da hast mehr davon wennst mit illusorischen Übertragungsraten und Dumpingpreis wirbst, darauf spricht Dir jeder Depp an.

Re(7): Raw sockets und Windows 2000 / XP

Robert Craven — Mon, 01 Oct 2001 21:32:16 GMT

Ist es aber nicht besser zu versuchen Angriffe möglichst frühzeitig zu erkennen und zu unterbinden? Das kann nunmal der Provider des Angreifers (Drohne) am besten. Auch ist er als einziger in der Lage den tatsächlichen Angreifer zu ermitteln.
Ist schon ein Argument : "Bei uns werden sie niemals Mittäter in einem DDOS-Angriff. Wir schützen sie!" oder so ähnlich.
Bzw Providerkooperationen. Wenn DDOS-Angriffe Überhand nehmen. Wenn es mal Tools gibt, um eben mit gespooften Paketen zu attackieren, kann das jeder Trottel und wird es auch machen. Das schadet ja allen Providern. (Weil ja sicher keiner vor Angriffen verschohnt bleibt.)

Re(6): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 21:16:35 GMT

Der Provider des Spoofers? Is' aus 2 Gründen wertlos.

Erstens könnt' sich der nicht weniger drum kümmern. Was schert's ihn? Keiner seiner Kunden hat damit ein Problem, ihm geht ja niemand damit am Sack, also warum sollt' er auch nur eine Millisekunde der Arbeitszeit eines Technikers darauf verschwenden.

Zweitens spooft der WinXP/2000 User ja nicht selbst. Er wird im "Idealfall" ja nur die Drohne eines DDoS controllers sein. Eine von vielen. Eine von sehr, sehr vielen (da gibt's Leute, die sich damit rühmen eine "Herde" von mehr als 1000 Rechnern zu haben!). Na mach! Finde erstens mal die 1000 Leute. Finde sie als Ziel des Angriffs (weil, wie gesagt, der Provider bei dem's auftritt, der merkt's ja nicht mal!). Und dann erreiche die Provider und bring sie dazu, den Typen abzudrehen.

Und dann bedenke, dass dieser Provider von diesem Typen Geld bekommt (allerdings nicht mehr, wenn er ihn abdreht) und von Dir bestenfalls ein ehrliches "Danke".

Re(5): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 17:59:22 GMT

Nu, da muesste dann der Provider, von dem, der gerade auf den Webserver zugreifen (ihn womoeglich bombardieren) will, arg gespoofte (d.h. die nicht einmal aus dem richtigen Subnet stammen) rausfiltern.
J.

Re(4): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 17:52:40 GMT

Is' ja beim outgoing ganz in Ordnung, aber was wennst einen Webserver am Rennen hast?

Re(3): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 17:14:37 GMT

Ich glaub er meint eher, dass z.b. der Gateway, der fuer's Netz 212.17.108.0 zustaendig ist, auch nur *TRÖT*s mit der source-IP 212.17.108.0 weiterleitet.

Aber ich denk mir das tun's eh..

J.

Re(2): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 17:12:58 GMT

Wie willst Du ein gefaktes von einem "echten" Paket unterscheiden? Wenn ich ein Paket erstelle, das exakt wie ein Sync auf pt80, also 'ne http-Anfrage aussieht, nur halt dass ich's 1000 Mal die Sekunde und jedesmal mit 'ner anderen IP als "Absender", wie willst die von regulären Anfragen unterscheiden?

Re(5): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 17:08:33 GMT

Nö, hier geht's mehr darum, dass es sich dabei um 'n ziemlich integralen Teil des Systems handelt. Frag mich aber bitte nicht wo's das im Windows versteckt haben...

Re(5): Raw sockets und Windows 2000 / XP

Robert Craven — Mon, 01 Oct 2001 16:43:44 GMT

Darum gehts ja. Wurm-Coder und DDOS-Tools-Nutzer sind nicht ehrgeizig.

Re(4): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 16:39:21 GMT

Haette man nicht auch unter frueheren Windows-Version (also halt frueher als XP) raw sockets verwenden koennen, wenn das Programm selber einen TCP/IP-Stack mitbringt?
Unter NT wahrscheinlich als normaler User schwer, weil man da ja soweit ich weiss nicht so ohne weiteres direkt auf die Hardware zugreifen kann.
Aber sonst sollte das doch keine allzu grosse Herausforderung fuer engagierte Wurm-Coder sein, denk ich mir.
J.

Re(2): Raw sockets und Windows 2000 / XP

hover — Mon, 01 Oct 2001 16:37:49 GMT

chello tut eh filter
bzw ich hab noch nie ein gespooftes paket über den chello router rausgebracht nur in meinem internen netzwerk habts geklappt

Re: Raw sockets und Windows 2000 / XP

Robert Craven — Mon, 01 Oct 2001 16:12:16 GMT

Wieso lassen sich eigentlich nicht schon die Gateways der Provider so konfigurieren, dass gefakte IP-Pakete herausgefiltert werden? Kann doch kein allzugrosses Problem sein:
In dem Netz haben alle eine IP von zB 123.123.123.x. Jetzt kommen da plötzlich Pakete mit einer anderen Source-Adresse. Die schmeisst man weg und überwacht das Netz gezielt. Vor allem bei Netzen, die prädestiniert für solche Angriffe sind (Chello) wäre das doch recht zweckmässig.

Überhaupt wäre es doch vernünfitg zu versuchen, Angriffe möglichst nahe beim Angreifer (bei dessem Provider) abzufange, als erst beim Opfer.

Klar ist das nicht der Weisheit letzter Schluss. Aber eine gewisse Abhilfe würde das schon sein.

Re(3): Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 16:09:16 GMT

Nun, "sinnvoll" ist relativ. Zur "normalen" Kommunikation im Internet brauchst sie nicht. Es macht Sinn, um zu prüfen ob jemand mit entsprechend kreierten Paketen bei Dir Schaden anrichten kann. Wobei sich da halt die Katze in Schwanz beisst, weil wenn's ned gehen würde bräuchtest es nicht prüfen...

Das war eines der Dinge, die mir am Windows gut gefallen haben: ES GING EINFACH NICHT. Was nicht geht, kann auch keinen Schaden anrichten.

Re(2): Raw sockets und Windows 2000 / XP

Psychopath — Mon, 01 Oct 2001 15:58:46 GMT

D.h. dass man die IP-Packete direkt "editieren" kann, die einzelnen Felder (Source, Dest-IP und Port, TOS, etc)
D.h. man kann dann u.a. spoofen (so tun als wuerde das, was man abschickt, von dem anderen kommen), ev. spezielle packets kreiren, die fehlerhafte TCP/IP-Stacks Schwierigkeiten machen (gibt's soweit ich weiss einige Faelle bei Win3 und Win95)
Wahrscheinlich kann man auch sinnvolle Dinge damit machen. Aber das weiss ich jetzt nicht
J.

Re: Raw sockets und Windows 2000 / XP

JK — Mon, 01 Oct 2001 15:50:41 GMT

jetzt interessierts mich aber doch: was sind raw sockets und was hats mit denen auf sich bzw. wieso hab ich als administrator "zugriff" auf diese, wenn ich sie gar nicht brauch? für irgendwas wirds ja gut sein, oder?

Re: Raw sockets und Windows 2000 / XP

JK — Mon, 01 Oct 2001 15:48:01 GMT

ich kenn mich zwar nüsse aus, aber wird schon stimmen, was du sagst...

ich glaub, ich muss noch seeeehr viel lesen.

Raw sockets und Windows 2000 / XP

Fly — Mon, 01 Oct 2001 14:03:15 GMT

Ihr erinnert Euch sicher an die Ankündigung, dass Hackversuche in naher Zukunft ähnlich dramatische Kapitalverbrechen darstellen sollen (und so bestraft werden) wie Einbruch oder Banküberfall (räuberische Erpressung). Zumindest in Amiland.

Bisher hielt ich's für einen schlechten Scherz und fragte mich warum. Bis ich diesen Artikel las:

http://grc.com/dos/sockettome.htm

Jetzt macht's langsam Sinn.

Raw IP sockets. Wahnsinn! Wer wollte das? Die User? Wer is' so verrückt???

Wer will schon 'ne taktisches Geschütz hinter der unversperrten Wohnungstür, von dem er zwar ned weiss wie's funktioniert (oder wozu er's überhaupt benutzen sollte), das sich aber jeder schnappen kann und auf dem 'ne zum Eigentümer zurückverfolgbare Seriennummer steht?

In dem Zusammenhang macht das Gesetz aber Sinn: Weil so ist dann nur derjenige schuld, der die Kanone "mitgehen" lässt und verwendet. Nicht der Idiot, der sie dort aufstellen liess, nicht die Firma, die sie produziert hat und schon gar nicht die Firma, die sie dort installiert hat (ohne den Wohnungseigentümer auch nur zu fragen).

Funktioniert nur ned!

Ich weiss nicht wieviele sich an die 80er erinnern. Phreaking war "in" und die Telekom is auf 180 rotiert. Die Strafandrohungen waren exorbitant und die verhängten Strafen auch nicht grad minimal. Trotzdem haben's genug gemacht (ich ned, ich war zu jung! ).

Und genauso wird's hier sein. Nur umfangreicher. Nur wird es diesmal nicht "lediglich" die Telekommunikationsfirmen betreffen, es kann jeden beliebigen Internetteilnehmer betreffen. Dabei isses mir noch recht egal, ob da jetzt irgendein Kindskopf einem Freund das Internet "abdreht", aus Bosheit oder verschmähter Liebe, sondern hier geht's durchaus um wesentlich mehr.

Es wird sicher nicht unterhalb des Niveaus einiger Leute sein, dies zu verwenden, um einem missliebigen Konkurrenten die Homepage mit einem DDoS "abzudrehen". Noch dazu mit einem DDoS, den man NICHT einfach beim vorgelagerten Provider ausfiltern kann. Raw Syn packets auf port 80 mit konstruierter return IP Addresse. DAS IST NICHT FILTERBAR. Da versagt jeder Paketfilter, jedes Firewall tool. Da greift keine Filterregel. Keine Chance.

Daher: Schaut Euch die Seite an, falls Ihr Win2000 oder XP habt ladet Euch das Tool 'runter, checkt Eure Raw Sockets und falls notwendig ladet Euch das Tool zum Blockieren 'runter. Systemtasks dürfen weiterhin Raw Sockets nutzen, Usertasks nicht mehr. Wozu auch?