DoS, DDoS und Botnet

Um DoS oder ausgeschrieben Denial of Service ist ein Angriffe verstehen zu können müssen erstmal ein paar Grundlagen in der Kommunikation im Internet erklärt werden. Fangen wir ganz am Anfang an. Wenn Sie die Adresse http://security.haberland.it in Ihren Browser eingeben, sendet Ihr Browser eine Anfrage an den Server, und fragt nach der der Seite gefragten Seite und schickt diese an Ihren Browser zurück.

Bei einer DoS, also der Denial of Service Attacke, sendet ein Angreifer unentwegt unzählige Anfragen an den Server, so dass der Server die Anfragen nicht bewältigen kann und nur noch mit einem Timeout Error (408) antwortet. Der Server wurde nun vom Angreifer außer Gefecht gesetzt und kann seiner Arbeit nicht mehr nachgehen.

[xyz-ihs snippet=“ad“]

Nun zu DDoS, der Distributed  Denial of Service Attacke, welche nicht anderes ist, als eine DoS Attacke nur von mehreren Angreifern aus. Durch die Vielzahl von Angreifern ist es schwieriger die einzelnen IP Adressen der Angreifer zu blocken, des weiteren bieten mhr Angreifer einen höhere Bandbreite des Angriffs. Man kann also einen Server noch leichter und schneller mit Anfragen überfluten. Um eine DDoS Attacke durchführen zu können, benötigt der Angreifer viele Endgeräte, meist wird dies über ein Botnet gesteuert.

Ein Botnet ist eine Armada von Endgeräten, welche ein Angreifer für seine Vorhaben steuern kann. Ein Botnet wird über einen Virus gesteuert, welcher eine Verbindung zum Angreifer hält um Befehle zu empfangen,  hierbei spricht man von einem Trojaner.

[xyz-ihs snippet=“ad“]

Der Angreifer erstellt einen Trojaner, welchen er meist in einer Software versteck, welche dann über P2P Share Dienste z.B. Torrent oder sonstige Tauschplattformen wie Megaupload usw. anbietet. Der Naive User lädt sich die vermeidliche kostenlose Software, installiert diese mit dem Trojaner auf seinem Computer. Der Trojaner sitzt jetzt versteckt im System und wartet auf die Befehle von seinem Programmierer. Der Programmierer kann auch im Nachhinein den Trojaner verändert oder updaten. Die Kommunikation zwischen Angreifer und Trojaner wird fast ausschliesslich über IRC-Server stattfinden, damit keine direkte Verbindung zum Angreifer besteht, damit keine Spur zum Angreifer besteht.

Will ein Angreifer nun eine DDoS Attacke durchführen, hinterlegt er seinen Bots eine Nachricht auf dem von Ihm verwendeten IRC-Server, welche dann von seinen Bots abgeholt wird. Z.B. Könnte die Nachricht für einen Angriff auf security.haberland.it für den 01.06.2014 um 14:00Uhr wie folgt lauten: „security.haberland.it/01.06.2014/14:00“.

[xyz-ihs snippet=“ad“]

Gibt der Angreifer den Bots eine realistische Vorlaufzeit von ca. 5 oder mehr Tagen, kann er sicher gehen, dass er alle seine Bots erreicht und diese ihn bei seinem Vorhaben unterstützen. Auch werden Zeiten von den Angreifern genommen, zu denen die meisten Computer online sind um sein Botnet nicht zu gefährden. Der Angreifer könnte die Infizierten Computer auch über den Trojaner starten, aber das würde zu viel Aufmerksamkeit erregen.

© 2014 Raffael Haberland
security.haberland.it, info@haberland.it

5 Kommentare

  1. Hallo Herr Haberland,

    Ich habe ein paar Fragen an Sie,
    können Sie DOS Attacken durchführen?
    Haben Sie Erfahrungen mit Botnetzen und DDOS?

    Danke!

      • Aber man kann ja auch einfach mal getrost drauf scheißen oder?
        Ich denken damit könnte man eine Menge € machen, man braucht halt nur die Eier und ne‘ ordentliche Drohung und schon kann das Erpresser Netzwerk starten…Marktlücke nennt man sowas!

  2. Wie sollen denn bitte Trojaner allein den Computer starten? Wenn der PC aus ist, kann natürlich kein Prozess stattfinden. Außerdem, wie will sich denn der Trojaner überhaupt anmelden?

    • Es gibt hier verschiedene Möglichkeiten, z.B. über Wake on LAN, wenn ich diesen Port in Ihrem Router nach Außen hin öffne, oder ich kann eine Serviceroutine erstellen, so dass der Rechner z.B. nachts um 4:30Uhr automatisch startet. Anmelden muss sich der Computer nicht, auch hier kann eine Serviceroutine benutzt werden. Suchen Sie mal nach „Aufgabe“ in Windows und dann gehen Sie auf Aufgabenplanung (Lokal) und geben einen Namen im Feld „Name“ ein, z.B. „Fernwartung“, wählen dann „Unabhängig von der Benutzeranmeldung ausführen“ aus und aktivieren Sie „Mit den höchsten Privilegien ausführen“. 😉 Schon wird der Rechner ohne Ihre Anmeldung einen Dienst ausführen 😉

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*