Wer ist mächtig genug, um einen DDos-Angriff gegen ein Unternehmen zu führen, das mehre Milliarden Jahresumsatz macht, und damit sogar noch Erfolg zu haben?
6 Antworten
Leider "Jeder".
Man kann sogenannte "Bot Farmen" mieten!
Das sind zigtausende infizierte PCs weltweit. Also PCs von normalen Menschen die das Pech hatten, dass deren Rechner mit einem bestimmten Virus infiziert wurde.
Meitet man so ein Bot Netzwerk, hat man zigtausende Computer komplett über die ganze Welt verteilt die mit unterschiedlichen Providern im Internet hängen.
Die kann man dann alle gleichzeitig auf einen Server ansetzen. Und der hat keine Chance zu wissen welche Anfrage "echt" ist, also jemand da Daten zu Recht anfordert oder ob das ein Teilnehmer aus einem Bot Netz ist der nur Quatsch macht.
Kommen da Millionen oder Milliarden Anfragen pro Sekunde rein, dann kann auch der beste Server nicht alle bedienen.
Das ist so als wenn Du im Aldi einkaufen gehst und plötzlich kommen tausend Leute rein die erst mal normal Sachen aus dem Regal nehmen und sich an der Kasse anstellen. Aber im gegensatz zu einem normalen Kunden werden die dann an der Kasse nicht bezahlen sondern erst mal herumschreien und dann alles liegen lassen und gehen.
Wie sollen da die Kassierer bzw. die Geschäftsführung vom Aldi zwischen echten Kunden wie Dich und den Fake Kunden unterscheiden? Und Du als echter Kunde stehst dann drei Stunden oder mehr in der Kassenschlange!
Der einzige Weg den Aldi dann hat ist die Filiale erst mal zu schließen und alle Kunden, also auch Dich raus zu werfen. Der DDOS Schutz eines Servers kann nicht viel anderes machen.
Klar gibt es viele Möglichkeiten, aber es gibt immer noch Bot-Farmen die aus infizierten Privatrechnern bestehen. Das ist der beste Weg um möglichst viele IP Adressen die privatpersonen gehören zu bekommen. Und das kann man - meist gegen Bitcoins - mieten.
Die Behauptung, dass es so was nicht gibt ist wie zu behaupten, dass es keine Mietwagenfirmen gibt weil sich ja jeder selber ein Auto kaufen kann.
Es ist ineffizient. Solche Netze sind wartungsintensiv. Den selben effect, wenn nicht sogar besser erreicht man durch MLP lists, welche Millionen von möglichen IPs enthalten
Das sind dann aber keine echten Adressen. Da kann der Server nichts hin zurück senden. Und DDOS Schutz macht genau das. Anfragen werden nur dann bearbeitet wenn eine Nachfrage beim Absender erfolgreich war.
Also braucht man echte IP Adressen hinter denen Maschinen sitzen die dann auch antworten können.Das kommt dann zwar immer noch nicht durch Passwörter und andere Schutzmaßnahmen, aber der Server braucht dann zeit das fest zu stellen. Und diese Adressen kann man nicht sofort sperren da es sich ja um einen Fehler oder ein falsch eingetipptes Passwort handeln könnte. Man kann die rechtmäßigen User ja nicht "für immer" aussperren nur weil die einen Fehler gemacht haben oder deren Computer hatte einen glitch.
Proxy mashes sind richtige IP Adressen. Du redest von Spoofed Servern
So genannte Proxy Meshes sind IP Cluster, die man in die method integriert. Das kann z.B. eine extrem lange SOCK5 Proxy IP List sein, worüber eine bestimmte DDoS Methode versendet werden kann. Diese proxy Meshes sind, da sie immer an einen Server gebunden sind (da sie sonnst garnicht erreichbar wären um überhaupt Traffic zu versenden) hast du logischerweise kein Problem bei Rückkopplungen, wie man bei den extrem vielen DDoS abused Hetzner proxies sehen kann. Sollte dein Server bei einer DDoS Attacke nicht sterben aber dennoch Traffic erhalten durch die DDoS Protection, so wird logischerweise auf die packets geantwortet. Solltest du einer Hetzner IP Adresse antworten, freu dich schonmal aufeinander abuse IP Report von Hetzner, weil du Schädlichen Traffic zu deren Servern sendest.
ich mach den ganzen Quatsch schon seit Jahren durch. Das war schon vor IoT so und ist heute immer noch so. Proxy meshes sind schon immer in use. Und jeder, der denkt diese ganzen C2 und Web botnets sind fr self scanned, hat keine Ahnung, wie die Wirklichkeit in dieser Branche aussieht undisputed sich definitiv außer ganzen Sache raushalten.
PS: Ich habe jetzt bestimmt schon seit 2 Jahren Hetzner abuse report Mails vollumfänglich blockiert, weil Hetzner einfach zu dumm ist ihre auto abuse Mails anständig umzusetzen.
Mit millionen Privatrechnern hat man aber mehr IP Adressen wo man nicht einfach identifizieren kann. Die Proxy Meshes kann man relativ leicht über eine Blacklist handhaben. Millionen von immer anderen PCs von Privatnutzern kann man nicht blacklisten ohne irgendwann das halbe Internet zu sperren.
- selbst zu Mirai Zeiten gab es kein BotNet mit mehr als 600.000 infizierten Geräten. Das ist bis heute nicht gebrochen worden.
- allein schon der Call ist Schwachsinn, dass man proxy meshes einfach blockieren könne. Würde es 90% der DDoS angriffe nicht mal zum Target schaffen es gut etwas, dass nennt sich Proxy Rotation. Das bedeutet du kannst gerne die IPs blacklisten, bringt dir aber nur begrenzt was, weil man logischerweise die proxies durchgängig switched, was relativ einfach ist mit einer 3 Million Proxy IP List
Du solltest dich decubitus in Zukunft nicht mehr zu solchen Themen äußern, wenn du keine Ahnung hast, wie diese „Branche“ funktioniert. Geschwiegedenn, was für Zahlen nur ansatzweise realistisch sind.
Und warum meinst Du alle Botnetze und Zahlen zu kennen? Aus dem Guinness Buch der Rekorde?
Und nur weil es Deiner Meinung nach "was besseres" gibt glaubst Du, dass so was keiner mehr benutzt bzw. mietet?
Das ist ja gerade die Gefahr, dass Leute wie Du solche Dinge völlig unterschätzen weil die nicht wahr haben wollen, dass so was benutzt wird.
Und ich habe nie behauptet zu wissen wie groß Botnetzte sind. Warum meinst Du, dass es nur ein einziges geben könnte? Ich habe nie behauptet, dass alle Rechner die irgendwie infiziert sind dem selben Botnetz angehören. Nur dass es Botnetze aus infizierten Rechnern gibt und dass man die mieten kann.
Wenn Du mal gründlich im Internet stöberst wirst Du einige Angebote finden. Klar sind die nicht alle "seriös" wenn man da überhaupt von seriös sprechen kann.
ich hab mich genau auf sowas spezialisiert. Von daher ja ich kenn mich in dem Gebiet gut aus. Das was du behauptet hast am Anfang wird schon seit Jahren nicht mehr genutzt. Es ist einfach ineffizient. Und keiner, der das gewinnorientiert macht, macht das wie du behauptest. Primär gibt es 3 Methoden, die noch aktiv genutzt werden. 1. IoT (aber nur als subnet) 2. RCE BotNets 3. paid DMCA servers die teilweise spoofable sind für hohe GBPS zahlen
Du hast Dich also darauf spezialisiert die Existenz von so was zu leugnen und mit anscheinend religiösem Fanatismus zu leugnen. Nur weil es Deiner Meinung nach was besseres gibt, heißt das noch lange nicht, dass das Jemand nicht mehr benutzen kann.
Und das war ja nur ein Beispiel für den Fragesteller, und zwar ein leicht nachvollziehbares. Mir ist klar, dass es ganz viele andere Möglichkeiten gibt. Mir ist nur nicht klar, warum Jemand wie Du so vehement leugnet dass es so was gibt.
Ich leugne nicht die Existenz ich sage nur, dass es solche botnets weder aber lange validation haben noch diese wirklich verkauft werden als „DDos for hire“ weil es einfach ineffizient ist. Keiner, der ein BotNet verkaufen möchte will ein instabiles Produkt haben, was über 60% der Leistung nach nicht einmal einem Monat rum time erleidet. Und da du bei dieser Art botnets nicht die möglich Leute hast rescan zu betreiben kann man sich auch nicht einfach wieder neue Geräte außen Ärmel schütteln mit so genannten Scan Servern. Dies es sowieso so gut wie nicht mehr gibt seit dem die IoT Blase geplatzt ist (Ende 2021 Anfang 2022) dort haben nämlich die meisten Scan Server Betreiber ihren Dienst eingestellt, was zur erheblichen Abnahme von IoT Geräten in BotNets geführt hat. Denn so wie IoT sind infizierte PCs oftmals one time use bevor diese nicht mehr von nutzen sind. Also bitte wenn du dich in dieser Richtung absolut null auskennst und auf Zeiten von vor 5 Jahren deine Bilanzen ziehst, solltest du definitiv nicht über solch ein Thema reden. Es gibt ein Grund, warum in der heutigen Zeit botnets wesentlich kleinere normenden haben als früher. So wie es einen Grund gibt, warum jedes Jahr trotz sinkender bot zahlen immer höhere Durchschnitt GBPS und RPS zahlen erreicht werden.
Ich habe nie behauptet "DDOS for hire". Das war einfach ein leicht zu verstehendes Beispiel wie man einen DDOS durchführen kann. Wenn Du meinst der Fragesteller ist mit einer tausend-seitigen Abhandlung "wie man das richtig macht" zufrieden, dann kannst Du dem gerne eine schreiben.
deine Behauptungen, jeder kann heutzutage „bot Farmen“ mieten was tausende infizierte PCs sind. Also ja du hast behauptet das solche Art von botnets vertrieben werden, was man DDos for hire nennt. Wenn du dir nicht mal deine eigenen Worte merken kannst solltest du keine Diskussionen führen.
Ich habe gerade Strg+F nach "hire" gemacht, Das taucht nur bei Dir auf, also nicht "meine Worte"!
Das du nicht einmal deine eigenen Worte nicht verstehst ist sehr traurig Zitat:
„Man kann sogenannte "Bot Farmen" mieten!“
ddos for hire ist der konkrete Begriff deiner Aussage.
Das eine muss nichts mit dem anderen zu tun haben. Man kann auch ganz andere Sachen mit den Bot Farmen machen, die machen nicht zwangsläufig nur DDOS.
So wie man "Man kann ein Fahrrad mieten" nicht zwangsweise "Extreme Mountainbiking" bedeutet.
Also gibst du gerade zu, dass du keine Ahnung von der Materie hast. Denn dein absolut unterirdisches Argument funktioniert leider nicht, da du wie jeder ansatzweise logisch denkender Mensch weiß auf Distributed Denial of Service bezogen war, worum es auch bei der Frage ging. Kurz gesagt kannst du dein Strohmann komplett ferngesehen. Gut zu wissen, dass du mir und allen anderen, die sich diesen Verlauf ansehen gezeigt hast, dass du Argumentativ 0 Aussagekraft hast.
Das ist nicht notwendigerweise eine Frage von Mächtigkeit und von finanziellen Möglichkeiten potentieller Opfer.
Richtig ist, mit großen finanziellen Möglichkeiten eröffnet sich mir potentiell die Möglichkeit entsprechende Mitigationsverfahren auf Infra-Ebene umzusetzen. Nur, wird sich dann die Frage stellen, ob der ach so große Umsatz noch ausreichend Gewinn abwirft.
Umgekehrt gilt: Wenn ich eine riesige Zombiearmee habe (oder darüber verfügen kann), dann kann ich leicht eine DDoS durchführen, ohne daß ich sonderlich mächtig an sich bin. Der Witz bei einer DDoS ist ja gerade, daß möglichst viel Kleinvieh, vorzugsweise unter 'Verstärkung', zu einem Schwergewicht veschmilzt.
Probiere folgendes nicht aus: Installiere nicht das Programm "siege" https://wiki.ubuntuusers.de/Siege/
wähle keine URL, schon gar nicht eine hohe Useranzahl, da du niemanden ärgern willst ... :-)
Das kommt ziemlich drauf an.
Wenn sich mehrere DDOS-Teams zusammentun weil das Unternehmen gerade nur so provoziert ist auch dies möglich aber auch die USA, China, Nordkorea, Russland sind dazu in der Lage.
Man braucht keine DDOS Teams!
Jeder, der ein bischen Geld hat, selbst ein Harz-IV Empfänger kann sich genbug geld zusammen sparen, der kann ein Bot-Netz mieten. Das sind zigtausende mit einem Virus infizierte Rechner weltweit die man dann steuern kann und die einen DOS Angriff machen. Und da die über die ganze Welt verteilt sind, hat man dann automatisch ein D-DOS, also Distributed Denial of Service.
USA, China, Nordkorea, Russland haben zwar mehr Geld als ein Harz-IV Empfänger, das heißt aber noch lange nicht, dass nur die das können.
Naja ich bezweifel stark das ein Harz-IV Empfänger genug Geld bekommt um ganz Google für nen Tag so zu DDOSen das sie down sind, wir sprechen von Firmen die auch einen wirklich guten Schutz haben und nicht kleine Unternehmen die es sich einfach nicht leisten können.
Für etwa tausend Dollar kann man eine Botfarm mit ein paar tausend PCs für einige Stunden mieten.
Also sind solche Angriffe nicht nur auf das Militärbudget eines ganzen Landes angewiesen.
Also tausend Bots sind für ne DDOS Attacke absolut nichts. Die meisten Anti-DDOS Provider halten ohne Probleme tausend aus.
Tausend Anfragen halten die aus, nicht tausende Computer die wiederum mehrere Tausend Anfragen senden.
Und was nützt der schönste DDOS Schutz, falls der auf magische Weise alle Angriffe erkennen kann - wenn die Leitung zum Server dadurch überlastet wird?
In meinem Beispiel aus meinem Beitrag mit dem Supermarkt wäre das so als wenn ein Türsteher alle echten Kunden erkennt und alle anderen weg schickt, aber der Parkplatz und alle Straßen zum Supermarkt völlig verstopft sind und die Kunden nicht zum Supermarkt kommen.
1.) Einfach die IP Adresse blockieren
2.) Ein DDOS Provider hält im bestfn Fall mehrere TBits aus und somit wird das auch schwer zu überlasten.
3.) Solange die IP Adresse des backends nicht bekannt ist und alles über einen Reverse Proxy (DDOS Schutz) läuft wird dieser ebenfalls nicht belastet.
Abgesehen davon sprechen wir von Firmen im Bereich von Miliraden, die können sich wesentlich bessere Systeme holen.
Die Frage ist "Wer ist mächtig genug". Und da muss man leider sagen "Jeder".
Wenn das nur Supermächte könnten, dann wäre die Welt recht sicher, man bräuchte sich keine Sorgen machen. DIe Wahrheit ist leider ganz anders. Jeder "verrückte" kann die Mittel aufbringen Milliardenschäden an zu richten.
Zum Glück sehen die meisten die schlau genug sind das zu tun davon ab.
Misinformation über Missinformation. Sehr traurig, dass Menschen wie du überhaupt auf solche Fragen Antworten und denken Sie hätten einen Durchblick.
Deine Aussage stimmt zwar grob aber Reverse Proxies werden nichts bringen, wenn du passing hast, worauf so ziemlich alle botnets es abgesehen haben
"passing", sagt mir gerade nichts und ich konnte auf die schnelle mal nichts finden. Worum geht es genau?
Passing bezieht sich auf die Menge der Requests oder Pakets die durch eine DDoS protection die extern (nicht auf dem zielserver) runnt. Wie zum Beispiel CDNs oder Reverse Proxies. Wenn du genug legit traffic mit deinem Angriff erzeugst, der durch die Reverse Proxy kommt wie Cloudflare, wird der backend ausfallen wegen overload.
Das hat mit "mächtig" und "Jahresumsatz" nichts zu tun.
Meistens werden diese Angriffe von mehreren Computern durchgeführt. So wird eine Überlastung des Datennetzes ausgeführt.
Naja....
Die meisten wirklich großen Unternehmen haben einen sehr guten Schutz vor solchen Angriffen, da sie sehr häufig vorkommen.
Da muss ich dich leider enttäuschen. „Gut“ oder sogar „sehr gut“ sind die aller meisten großen Unternehmen nicht protected. Weder Google noch Amazon noch IBM oder YouTube sind wirklich gut protected. Sie verfügen lediglich über solch enorme Server Kapazitäten, dass es schlicht weg an der rohen Masse fehlt.
Bei Amazon sind das etwas 6-12 Millionen RPS (Requests per second).
Google sind es um die 70 Millionen RPS.
Bei YouTube knapp 15 Millionen RPS.
es gibt allerdings BotNets wie Meris die diese Zahlen locker erreichen. (Meris RPS Rekord sind fast 400 Millionen RPS mit 67 tausend Servern)
Der erste und zweite Absatz sind inkorrekt. Man mietet sich keine Bot Farms. So genannte Scan racks nutzte man zum Boom von IoT Netzwerken. Heutzutage nutzt man RCEs um sich Zugriff auf Server zu beschaffen, da die BPB wesentlich höher sind als bei Home Systems. So gut wie niemand und vor allem keine großen botnets im Tbps Bereich nutzen heutzutage noch IoT geschweige denn Home connections