AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme [EN] LovSAN DDoS against Microsoft

[EN] LovSAN DDoS against Microsoft

Ein Thema von Assarbad · begonnen am 16. Aug 2003 · letzter Beitrag vom 17. Aug 2003
Antwort Antwort
Seite 1 von 4  1 23     Letzte » 
Assarbad
(Gast)

n/a Beiträge
 
#1

[EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 00:13
Zitat von Russ Cooper (NTBUGTRAQ):
FYI, it is now our opinion that there will likely be no Internet effect as a result of the DDoS component of the LovSAN worm. Here's an analysis from our folks in the labs;

The worm is programmed to execute a 64byte X 50pps SYN flood attack on port 80 directed at "windowsupdate.com." The worm determines the address for that host name by GETHOSTBYNAME, the IP is not hard-coded into the worm as it was in the original Code Red worm. That host is *not* the site used by Windows to check for updates; that site is windowsupdate.MICROSOFT.com.

Mitigations:
User Logons:
ICSA Labs testing indicates a Windows 2000 host logged in as a normal user will not launch a DOS attack, but one with the Admin logged in will launch the attack. Unfortunately, testing also indicates a Windows XP host with any user logged in will launch the attack.

DNS Magic:
Yesterday morning, a DNS lookup for that name yielded two IP addresses in Microsoft's network address block. Later, they lowered the TTL for windowsupdate.com to 10-15 min. and moved the IP's into their own ASN as if they were preparing to stop announcing for it. Now those IP's no longer resolve via GETHOSTBYNAME nor by rDNS.

This direction *appears* to be headed towards causing local DNS to return a NXDOMAIN to the infected client's GETHOSTBYNAME request. Multiple sources indicate worm will not fire if it gets NXDOMAIN response.

In testing strategies which were proposed for mitigating the effect of this worm we noted that infected systems query DNS for "windowsupdate.com" in order to obtain an IP address which will later be used in a flooding attack on that IP address. It is important to note that this query occurs when the malcode first executes and that infected systems *may* have an IP address cached for use in the attack, and that subsequent alterations to DNS as described here will not redirect their attack UNLESS the systems are rebooted or if they happen to be infected after the DNS changes are applied.

Since the worm queries DNS "by name" for the IP address to attack, it is possible to insert 'bogus' master zones into DNS which supply an arbitrary IP address as the destination of the attack. One of the safest IP addresses to use for this is the 'loopback' IP address which is present on every system-- so the system will then flood a local pseudo interface and the flood traffic will not appear on the network. Supplying an external target IP address is also possible, however it is less useful than might be thought as the malcode spoofs source addresses which renders the traffic non-useful for tracking infected systems.

TruSecure has observed from research and privileged sources that a number of mitigations are being employed at the infrastructure level which will reduce the impact of flooding on the greater Internet and the target sites. These protections do not eliminate the impact of infected systems upon enterprise networks and their ISP connections, although the flood traffic will be managed by routing protocols once it reaches ISP infrastructure. The impact of flooding on ISP connections should not be underestimated, in that relatively small number of systems in flooding mode can significantly burden a T1 connection.

Modifying DNS as described below allows an enterprise to provide a harmless address as the target for infected systems in flooding mode. It is important to ensure that the change is made to a DNS which lies between infected systems and the public Internet. It is also critical that *other* DNS systems in the environment are rebooted or flushed in order to eliminate cached IP address records for windowsupdate.com.

In testing TruSecure found that supplying the loopback address prevented the flood attack traffic from occurring on the network, in that it was 'contained' within the infected systems. A later test in which we specified 'none' instead of 'any' in the zone access "allow-query" verb was also effective, in that the DNS server "though authoritiative" refuses to provide the IP address, depriving the malcode of its target.

While it is possible that Microsoft *may* update its DNS to provide loopback as a target, or remove the relevant address records entirely-- we have no definitive information as to whether they will do so. By implementing these controls at the enterprise level, sites can avoid the consumption of local and ISP connectivity bandwidth caused by the flooding. Please note that none of these measures reduce the scan/attack/infect behavior of the worm.

#
# Fake zone entry for the named.conf file to claim authoritative # for
windowsupdate.com # # Be sure to alter the "file" spec to include the actual
path to # the fake windowsupdate.com zone file # # As described, the
allow-query setting may be set to "any" or "none" # depending upon the
effect desired # zone "windowsupdate.com" {
type master;
file "<path.to.fix.db>/fix.db";
allow-query{ any; };
};


;
; Doctored DNS zone to make LovSan nodes flood their own loopback address ;
instead of windowsupdate.com. ; ; An odd side effect is that it spoofs the
source address of some scanning ; traffic as windowsupdate.com... which in
this case is 127.0.0.1 ; so scanned nodes send ICMP UNREACH to themselves..
or ignore as their ; stack/firewall rules dictate. Not entirely a bad
thing. ; ; Be sure to insert REAL nameserver and domain name entries where ;
indicated in < > brackets below ; ; Timeouts may be tuned as desired to suit
the environment ;
; It is preferable to kill and restart BIND after inserting these ; changes
to ensure that the zone is loaded - be sure to verify that ; no errors occur
as the zone is loaded, and to verify that
; nslookup for 'windowsupdate.com' returns the IP 127.0.0.1
;

$TTL 3600

@ IN SOA <realnameserver.com>. root.<realdomainname.com>. (
20030502 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS <realnameserver.realdomain.com>.
* IN A 127.0.0.1
windowsupdate.com. IN A 127.0.0.1

Cheers,
Russ - NTBugtraq Editor
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#2

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 00:59
Also, ich will bezweifeln dass viele Leute diesen Text verstehen können, und zwar aus zwei Gründen:
1. technisches Englisch ist saumäßig hart, und
2. wer versteht denn so viel von großen Netzwerken etc.?
Trotzdem, der Beitrag ist ganz interessant...good job Assarbad
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Assarbad
(Gast)

n/a Beiträge
 
#3

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:01
Danke für die Blumen.

Aber mal ehrlich findest du den Text echt so schwer? Hab keinen Bock das jetzt zu übersetzen
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#4

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:11
Nö,so schwer ist der Text eigentlich nicht,trotzdem wird ihn nicht jeder Mensch verstehen, da ja nicht jeder perfektes technisches Englisch kann. Musst nicht übersetzen, *Alcakannjaenglisch*
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#5

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:23
Naja, in jurz gefasst. Der DoS Angriff durch MSBlast ist zu verhindern. Das Problem ist das MSBlast so gecodet wurde das er per DNS die IP vom MS Server den er angreifen will abfragt. Ok, andererseits was blieb ihm für'n Wahl. Denn selbst wenn er die nicht gemacht hätte so würde der MS Server jede Anfrage auf seinem Server intern an eine Loopback IP weiterleiten. Diese würde zwar die Responsezeiten echter Anfragen verlängern, aber die vielen DoS Anfragen gingen beim Weitertransport zum richtigen Server unter. Sozusagen würde man damit nicht ernstgemeinte Anfragen ausfiltern. Der Trick: du als echter User connectest auf die Loopback IP die im DNS als www.windowsupdate.com eingetragen wurde. Diese Loopback wartet und leitet dich an eine andere IP weiter. Da MSBlast nur versucht zu connecten und dann sofort abbricht ignoriert er den Weiterleitungsresponse per HTML. Der IE würde dann aber die Site mit dem richtigen Inhalt anzeigen. Ein User mit ernstgemeinten Absichten würde also an eine IP weitergeleitet die nicht per DNS erreichbar ist. Alle Anfragen die durch MSBlast gemacht würden würden so nur den Loopback fluten, der natürlich das ein extrem schnelles IP Caching mit schnellem IP Verfallszeiten hätte.
Als zweiter Schutz wird der IP Adressbereich scaliert. D.h. man connected zwar nur zu einer IP per DNS Resolving, diese verteilt aber die Anfragen intern an mehrere Server. Damit wird die Last runterscaliert.

Stimmt doch so in etwa, oder ?

Gruß Hagen
  Mit Zitat antworten Zitat
JoelH
(Gast)

n/a Beiträge
 
#6

hmm,

  Alt 16. Aug 2003, 01:26
wie kann ich meine Win2k Partition zur verfügung stellen für die DDOs Attacke ? Da ich jetzt eh bald pennen geh würd ich Linux runterfahren und Win2k extra nochmal hoch fahren um M$ zu kicken, jippeee !
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#7

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:28
Mal ganz gemütlich JoelH, ich wette windowsupdate.com wird ubgesichert sein,aber wenn du willst kannste ja hinauffahren,als Admin anmelden, Internetverbindung herstellen (ohne Firewall od. Proxy) und warten bis du Besuch über Port 135 kriegst...ich kann aber für nix garantieren.
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Assarbad
(Gast)

n/a Beiträge
 
#8

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:32
@JoelH: ROFL

@Hagen: Jupp, stimmt in etwa. Aber die TTLs sind trotzdem meist 10-15 (also bei Millionen Rechner immer noch viel).
Außerdem scheint www.windowsupdate.com nicht wirklich relevant zu sein, da die echte Updateseite eine Subdomain von microsoft.com ist.

Aber es scheint noch weitere Methoden zu geben. Diverse ISPs haben zB diverse Ports komplett geblockt um die Verbreitung zu verhindern
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#9

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 01:41
Aber was lernen wir daraus ?!

Wenn man MSBlast gut coden wollte so müsste man eine echte Verbindung zum Server aufbauen. Dann einen Download beginnen und die IP zum Download speichern. Danach fängt man an diese reale IP zu fluten.
Noch besser wäre wenn man den Angriff vorbereitet. Das heist schon Tage vorher beginnt man mit solchen echten Downloads und merkt sich die IP's. Damit das nicht so auffällig ist sollte man also diese Testphase nicht so oft pro infiziertem Client machen. Z.b. nur zweimal pro Tag.
Am Stichtag werden nun alle diese IP überflutet, also ca. 2-3 mal pro Sekunde und das mehrere Stunden. Der Admin auf MS Server Seite hat dann auf breiterer Front zu kämpfen und muß seine Leute aus'm Wochenende ranpfeifen.

Allerdings, ich bin wahrlich kein Experte für solche Sachen

Gruß Hagen
  Mit Zitat antworten Zitat
JoelH
(Gast)

n/a Beiträge
 
#10

Re: [EN] LovSAN DDoS against Microsoft

  Alt 16. Aug 2003, 02:48
Zitat von negaH:
Aber was lernen wir daraus ?!

Wenn man MSBlast gut coden wollte
Er war IMHO zu gut gecoded,er aht sich wohl zu schnell verbreitet. Der Initiator wollte erst heute die maximal e Ausbreitung haben, dann hätte er gute AntiM$ Chance gehabt, leider waren dei M$ Produkte wohl leichter zu kapern bzw. zahlreicher als er gedacht hat und dadurch wurde der Wurm zu früh entdeckt.

Er war also ZU gut !!
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:01 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz