was ist das genau?

Das sind DDOS-Attacken, was hast du damit zu tun?

meine firewall meldet dass die ganze zeit... von einem angreifer mit der ip 217... , = t-online ....

Hast du ein P2P-Programm laufen? Welchen Port benutzt der "Angreifer"?

Bei den meisten DoS Attacken kannst Du davon ausgehen, dass die IP nicht stimmt. Der Angreifer will ja keine Päckchen zurück, sondern einfach nur den Zielrechner zuballern.

Original geschrieben von gRoUnD
Das sind DDOS-Attacken, was hast du damit zu tun? Nee, eine SYN Attacke ist imho nur DOS kein DDOS. Dabei geht's im Prinzip darum, den Server lahmzulegen, indem man unzählige Verbindungen aufmacht. Der Server reserviert für jede Verbindung einen gewissen Speicherplatz. Ab einer bestimmten Anzahl an offenen Verbindungen geht ihm dann der Speicher aus oder das Verwalten der Verbindungen wird so langsam, dass er keine weiteren Verbindungen mehr akzeptieren kann.

DOS geht auf die Hardware des Servers los, d.h. dessen Rechnen- oder Speicherkapazität. DDOS hingegen will die Anbindung zum Server verstopfen, ohne den Server selbst zu stören. Deshalb sendet der Angreifer (z.T. über mehrere andere Rechner, die er kontrolliert) so viel Müll an den Server, dass dessen Anbindung vollkommen verstopft wird und somit keine normalen Anfragen mehr durchkommen.

Redirected DDOS arbeitet nach dem gleichen Prinzip, macht aber einen Umweg über einen oder mehrere anderen Rechner. Dabei sendet man ein SYN Paket mit gefälschter IP Adresse (die des Opfers) an einen beliebigen Rechner mit offenem Port. Dieser sendet darauf hin ein SYN/ACK Paket an das Opfer zurück. Da dieses aber nie eine Verbindung aufmachen wollte, ignoriert das Opfer die ankommenden Pakete, woraufhin der Rechner seine Anfrage ein paar Mal wiederholt, bis er es aufgibt, auf das vermeintlich vom Opfer kommende SYN Paket zu antworten.
Dadurch wird die Bandbreite, die der Angreifer versendet und die, die das Opfer bekommt, vervielfacht und nebenbei noch die Herkunft der Angreifer verschleiert.

Ja das ACK-Paket erreicht nie den Ziel-Host, da dieser ja das SYN/ACK an nicht vorhandene Hosts schickt. Seine Connection Queue wird dermaßen zugeballert mit diesen non-existenen Hosts so das andere TCP-Services kaum realisierbar sind zu diesem Zeitpunkt -> Denial of Service, hast Recht.

Edit: Obwohl....Distributed Denial of Service läuft ja über mehrere Hosts, die ja meist mit den entsprechenden Tools gleichzeitig losschlagen (trinoo daemon zB), also so ganz klar ist das hier noch nicht finde ich, ohne Logs will ich nicht spekulieren.

Mit mehreren Rechnern zu attackieren macht ja nur dann Sinn, wenn ich die Netzverbindung des Opfers verstopfen will. Da brauche ich sehr viel Bandbreite, die ein einzelner Rechner nicht besitzt. Das ist der einzigste Grund, warum man mehrere Rechner nimmt. Ansonsten kann man sich den Aufwand sparen.

Bei einem DOS geht es aber gar nicht um die Bandbreite. Das Ziel ist hier ja den Server und nicht dessen Anbindung lahm zu legen. Von wie vielen Rechnern die SYS Floods denn letztendlich kommen, oder wie viel Traffic diese erzeugen ist bei dieser Angriffsart vollkommen unerheblich.

Das kommt auf die Bandbreite des Hosts und Verursachers an, selbst wenn du nur den Server lahmlegen willst, im Endeffekt betrifft das auch die Anbindung, die ja keine anderen TCP-Requests von anderen Clients mehr schafft. Hab grad nochmal gelesen, hum meinte es wäre nur eine IP gewesen, also doch DoS :)

Noch etwas zu lesen, falls Interesse besteht:

http://www.cert.dfn.de/infoserv/dib/dib-2000-01.html
http://www.niksula.cs.hut.fi/~dforsber/synflood/result.html