Ping-flood attempt

[spiro]

Hi,

seit einigen Wochen sehe ich mich u. a. mehrmals täglich o. g. Version von Angriffen ausgesetzt.
Da ich eine HW-Firewall (Trend Micro Gatelock X200) vorgeschaltet habe, erschrecken mich derartige Attacken nicht wirklich, aber lästig ist es schon.

Die Firewall erstellt zu jedem Angriff ein s. g. Hackerprotokoll, welches u. a. die IP des Angreifers angibt. In meinem Fall werden hier immer wieder u. zwar im kontinüierlichen Wechsel folgende IP´s aufgelistet: 216.144.239.27 bzw. 28!
Nun zu meinem eigentlichen Anliegen: Ist es möglich, diese IP´s dem/den jeweiligen Nutzer/Nutzern zuzuordnen, um dem Spielchen ein "P" vorzusetzen?

spiro

 

[Sir_Sascha]

versuchs mal mit NeoTrace.... der kann den Angreifer zurück verfolgen... dann kannst du zumindest schon mal sehen woher er kam...

 

[.:LurkingFear:.]

Was mich wundert ist das es immer die gleichen IPs sind.
Ich meine is doch blöd wenn man immer unter der gleichen IP versucht jemanden anzugreifen, oder ?

Entweder is er nen blödes Kind, mit 2 festen IPs, oder er versucht von Servern mit statischer IP die er schon geknackt hat dich anzugreifen.
Bis du sicher das die IP nicht von nem Proxy oder so kommt ?

Haste mal mit "nslookup" versucht den Namen der IP aufzulösen ?
Ansonsten mal "tracert" um zu sehen wo die sachen herkommen und rübergehen.

Aber es ist auch schwierig die Identität von einem Nutzer anhand der IP festzustellen, da müstest du schon beim ISP nachfragen wer zu der Zeit mit der IP drinne war.
Oder dir Zugang zu seinem System verschaffen...aber das ist ja illegal.

Schick doch mal mit "net send" nachricht an ihn, wenns nen Kind ist hat er vieleicht den Dienst nicht deaktiviert.

Aber kommt mir alles sehr komisch vor.
Dein Firewall stellt sich aber nicht einfach nur kindisch an, naja is ja nen TrendMicro, die sind doch eigendlich vernüftig.

 

[The Prophet]

Scheint nen normler Client zu sein, aufgrund der Responsetime. Auf welchem Port läuft die ganze Aktion?

mfg

 

[spiro]

Hacker hat offenbar viel Freizeit

@The Prophet,

kann Dir zum Port keine Auskunft geben, da ich nicht weiß, wie ich das in Erfahrung bringen könnte. TrendMicro macht hier m. E. keine Angaben. Im Anhang das letzte Protokoll.

Habe inzwischen mit neotrace den ISP ausfindig gemacht, der offensichtlich in Irvine-Kalifornien ansässig ist und denen eine Mail geschickt, mit der Bitte um Überprüfung der Vorfälle. Mal abwarten, ob eine Reaktion kommt.

spiro

 

[werkam]

Dabei werden auf das Ziel echo requests - also ping - mit größtmöglicher Geschwindigkeit losgelassen. Der Zielrechner ist dann gut damit beschäftigt, darauf zu antworten, der Rechner ist für seine eigentlichen Aufgaben nur noch eingeschränkt nutzbar, was das Ziel dieses DoS-Angriffs ist.
Geschieht dies von mehreren Rechnern aus gleichzeitig, liegt ein klassischer DDoS-Angriff vor. Dieser kann z.B. von dem Blaster ausgelöst werden. Sei also froh wenn es geblockt wird. Es muß nicht mal Absicht dahinter stecken von dem Rechner der es auslöst. In der Woche als der Blaster Virus sein Unwesen trieb, hatte ich gerade sollche Attacken von der IP: 81.3.59.10, das ist nunmal die Adresse von Forumbase. Da ich nicht davon ausgehe, das die mich laufend scannen, wird sich dort wohl auch ein Wurm oder ähnliches breitgemacht haben.
Denial Of Service (DoS) attacks: Teardrop, Nestea, Iceping, Moyari13, Winnuke, Nuke, FRAG_ICMP Class (Jol12, Targa13 and other), FRAG_IGMP Class (IGMPSYN and other), SHORT_FRAGMENTS Class, MY_ADDRESS Class (Snork and others), Rst, 1234, Fawx, Fawx2, Kox, Tidcmp, Rfposion, Rfparalyse and Win95handles.

Hier wird einiges sehr gut erklärt.
http://www.lmtm.de/InformatiXTM/netzwerke/texte/gefahren.html
eine Selbstlernseite findest Du hier:
http://www.lmtm.de/ auch für Leute die es in Physik nötig haben, eine Seite für Mathe ist in Arbeit.

 

[Blutschlumpf]

wenns dich stört, dann mach ein whois auf die ip, da kommt dann sowas raus:
Dann beschwer versuch den oder dessen Provider zu erreichen.

OrgName: Secured Private Network
OrgID: SPNW
Address: 1700 E Garry Ave.
Address: Suite 227
City: Santa Ana
StateProv: CA
PostalCode: 92705
Country: US

NetRange: 216.144.224.0 - 216.144.239.255
CIDR: 216.144.224.0/20
NetName: EWAN
NetHandle: NET-216-144-224-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.EWAN1.COM
NameServer: NS2.EWAN1.COM
Comment:
RegDate: 2002-07-03
Updated: 2002-08-28

TechHandle: JB3327-ARIN
TechName: Brittain, Jason
TechPhone: +1-949-851-7190
TechEmail: noc@spninc.net

OrgTechHandle: JAB303-ARIN
OrgTechName: Berry, Joshua Adam
OrgTechPhone: +1-949-851-7190
OrgTechEmail: jberry@ewan1.com

# ARIN WHOIS database, last updated 2003-08-27 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

 

[The Prophet]

Wenn Trend Micro schreibt das es sich um einen Ping Request (flood) handelt dann ist wohl auch davon auszugehen. Schade das jedigliche Port angaben fehlen sonst könnte man sich nen genaueres Bild machen. Bei mir im Router zum Bsp. ist auch noch starke Aktivität von Blaster/Lovesan zu sehen.

 

[vander]

War bei mir in letzter Zeit auch. Erst wurde ich angepingt und anschließend auf Port 135(NETBIOS) gescannt was das Zeug hält. Habs auf Lovesan infizierte Rechner geschoben und in meiner FW Stealth aktiviert. Da ich jetzt beim anpingen unsichtbar bin ist das ganze etwas zurückgegangen.
Bei mir waren es irgendwelche AOL-accounts? ABCDEF.aol.ip irgendwas. Ein Tracert hatte keinen Erfolg, habs aber auch nicht wirklich ernsthaft versucht, da ich infizierte Rechner vermute (also keine böse Absicht).

 

[werkam]

24.08.2003 14:29:05 Port gescannt 81.3.59.10 TCP(2705) TCP(2704) TCP(2715) TCP(2714) TCP(2713) TCP(2712)
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2705)
24.08.2003 14:29:05 Rst Angriff 81.3.59.10 -> 81.3.59.10
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2704)
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2715)
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2714)
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2713)
24.08.2003 14:29:05 Verbindungsversuch 81.3.59.10 TCP(2712)

Bei mir versucht es immer FB.

 

[The Prophet]

FB will halt von dir, wie du von FB nicht die Finger lassen

 

[spiro]

Ich bin nicht allein....

Das war mir schon klar.

@werkham

"Dabei werden auf das Ziel echo requests - also ping - mit größtmöglicher Geschwindigkeit losgelassen. Der Zielrechner ist dann gut damit beschäftigt, darauf zu antworten, der Rechner ist für seine eigentlichen Aufgaben nur noch eingeschränkt nutzbar, was das Ziel dieses DoS-Angriffs ist.
Geschieht dies von mehreren Rechnern aus gleichzeitig, liegt ein klassischer DDoS-Angriff vor. Dieser kann z.B. von dem Blaster ausgelöst werden."

Funktion, Ziel und Auswirkungen der Attacken sind auch mir bekannt. Trotzdem: Dank für die Querverweise.

"Sei also froh wenn es geblockt wird."

Das erwarte ich eigentlich von einer funktionierenden HW-Firewall!

@Blutschlumpf

Genau, so habe ich ja die Mailadressen (TechEmail: noc@spninc.net - OrgTechEmail: jberry@ewan1.com) herausgefunden, um meine Beschwerde anzubringen.
Kann nur hoffen, dass mein "Steinkohleenglisch" verstanden wird u. bin gespannt auf eine mögliche Antwort seitens des Providers.

An den Seher:
"FB will halt von dir, wie du von FB nicht die Finger lassen"

Die Geschichte lehrt: Nichts ist unmöglich...

spiro

 

[vander]

Hab grad nochmal nachgesehen und in allen Fällen die sich ohne Timeouts zurückverfolgen lassen hängt ein Commercial ISP dahinter. In diesem Fall AOL. Da hat die Army of Lamerz wiedermal gehörig zugeschlagen
Wenn ich nicht in den letzten Tagen den Effekt hätte das einige Websites nur schwer zu erreichen sind, dann würd mich das ganze nichtmal stören. Vielleicht sollte ich doch mal ne Mail mit den FW-Logs an abuse@aol.net schicken.

 

[spiro]

Die Sensibilität

der Amis in punkto hacken schein sehr hoch angelegt zu sein.
Habe heute von dem angeschriebenen ISP ein Re erhalten, in dem ich gebeten wurde, ihnen eventuell vorhandene Protokolle zur Verfügung zu stellen.

Mal schauen, was nun passiert.

spiro