Computerbeveiliging - Hoe je bad guys buiten de deur houdt

LOIC, feiten, fabeltjes, onzin en misleiding ?

19-12-2010, 14:31 door Anoniem, 19 reacties
Op internet lees ik verschillende verhalen over LOIC.
LOIC is een virus, volgens Kaspersky.
"Het is onmogelijk LOIC te gebruiken via een proxy, omdat je dan de proxyserver aanvalt."
"Als je LOIC gebruikt word je IP vermeld"

Vul je de target (Paypal in dit voorbeeld) in via een Google link, dan is je IP niet zichtbaar
(http://www.google.nl/url?sa=t&source=web&cd=1&ved=0CCYQFjAA&url=http%3A%2F%2Fwww.paypal.nl%2F&rct=j&q=paypal&ei=JfYNTfmHI4efOpOL3ZAJ&usg=AFQjCNGiihivtxZpR919OyAbMfwAlljKdg&cad=rja).

De methodes TCP, UDP, HTTP.
"De HTTP methode niet gebruiken, want met deze instelling download je bestanden naar je eigen pc".

Tijd voor een klein onderzoekje, met een even grote know how,op dit moment.

PC schoon gemaakt met Ccleaner, en de groote van de harde schijf genoteerd.
Eigen website ingevuld, en LOIC 90 minuten laten draaien,.
30 minuten op elk bovenstaande methode.

Ccleaner laten draaien, maar vond niks om op te ruimen aan Temp files na de HTTP methode gebruikt te hebben.
Harde schijf had evenveel bitjes na, als voor het gebruik van LOIC.

"DDossen werkt, omdat systeembeheerders geen verstand van zaken hebben ?".
"Met een aantal simpele aanpassingen in de Firewall zou het onmogelijk zijn te Ddossen ?".

Hoe kan het dan dat grote bedrijven plat gaan ? Waarom configureren zij hun server/firewall niet goed ?

"LOIC is ontwikkeld als een stress tooltje voor eigen onderzoek " lees ik.
Waarom ziet de GUI er "stout" uit , als het een doodnormale stresstool is?

Waarom kon je tot plusmin2 weken geleden LOIC gewoon gebruiken, maar nu niet meer als je Kaspersky draait ?
"Het is GEEN virus, maar een verzinsel en manier om misbruik tegen te gaan". ?
"Anti Virus bedrijven worden gedwongen LOIC als besmet neer te zetten door NSA, CIA, enz." ?
Waarom blokkeert Kaspersky LOIC niet met de melding: Hacktool !
Is het wettelijk niet mogelijk voor Antivirus bedrijven tooltjes als LOIC te verbieden, als er geen virus in zit ?
Dus praten we gebruikers maar wat bullshit aan ?
What's next ?

Ik zie door het bos de bomen niet meer, en niet andersom.
Een mist van leugens, fabeltjes, onjuistheden, halve waarheden.

Het zou fijn zijn als bezoekers van dit forum een aantal vragen zouden kunnen beantwoorden.
Van mensen die weten waar ze over praten, omdat ze echt weten hoe het zit.

Het is niet mijn bedoeling dat er antwoorden komen hoe je LOIC moet gebruiiken, zonder "gepakt" te worden, en meer van dat soort informatie.

Het zijn veel vragen, excuseer.
Meest geliefde antwoord is op de vragen:
"Waarom hebben bedrijven hun beveiliging niet op orde, als het zo gemakkelijk schijnt te zijn, met een paar simpele regeltjes.? "

Is LOIC nu echt besmet met een virus, of worden we voorgelogen ?

Dank
Reacties (19)
19-12-2010, 16:52 door ej__
LOIC is een DDoS tool, daarom wordt het door diverse virusscanners aangemerkt als virus. LOIC is een dom geschreven (vanuit het oogpunt van de 'bewuste' gebruiker) want de bron, de verzender van de pakketjes is te achterhalen.

Er is geen firewall die een DDoS kan tegenhouden. Wel het effect minimaliseren, maar als de downstream connectie helemaal vol met DDoS pakketjes zit dan helpt helemaal niets meer behalve het verkeerde verkeer afbuigen.

Een goede firewall zal wel tcp sessies met valse bron adressen effectief de nek kunnen omdraaien (linux iptables: syncookies, openbsd: synproxy). Daarom wordt een DDoS aanval vaak met udp verkeer gedaan, daarvan is heel eenvoudig de afzender te spoofen, geen 3 way handshake.

Dus nee, je bent verkeerd geinformeerd, het is niet eenvoudig en soms zelfs onmogelijk om een grote DDoS aanval tegen te houden. Ik herinner me een DDoS aanval op een server in Argentinie waar de pijp naar Argentinie werd volgezet. Dan kun je helemaal niets meer doen. Is vast nog wel te vinden met google, zoek maar bij security focus.

Daarnaast is het gebruik van een DDoS gewoon strafbaar, dom en uitermate zinloos.
19-12-2010, 18:15 door Anoniem
Ik denk dat het abusen van google op die manier om je IP te 'verbergen' niet zo slim is,.
19-12-2010, 19:44 door ej__
Door Anoniem: Ik denk dat het abusen van google op die manier om je IP te 'verbergen' niet zo slim is,.

Vooral niet omdat google ook gewoon logt wat er gebeurt...
19-12-2010, 19:55 door Didier Stevens
Door Anoniem: "De HTTP methode niet gebruiken, want met deze instelling download je bestanden naar je eigen pc".

Als je sockets programmeert schrijf je de te verzenden data in buffers en lees je de ontvangen data uit buffers. Deze buffers bevinden zich in het geheugen. Als je de data op schijf wilt, moet je als programmeur code schrijven om de data uit de buffers naar een bestand schrijven.

In de HTTP flooder van LOIC wordt er gebruik gemaakt van 64-byte buffers voor het versturen en ontvangen van de data, deze data wordt niet weggeschreven op disk. Het is trouwens zelfs zo dat LOIC enkel de eerste 64 bytes inleest, de rest niet.
19-12-2010, 20:37 door Anoniem
"LOIC is een virus, volgens Kaspersky. "

Kaspersky stelt helemaal niet dat LOIC een virus is. Kaspersky detecteert het als een hacktool. Da's verder niet bepaald nieuws, en indien je wilt dat de tool met rust wordt gelaten, dan maak je een exception aan. Ik heb op mijn pentest laptop ook aardig wat tools mogen excluden om te voorkomen dat deze door mijn virusscanner worden verwijderd / in quarantaine worden gezet.

"Is LOIC nu echt besmet met een virus, of worden we voorgelogen ? "

Geen van beiden ;)
20-12-2010, 01:42 door Anoniem
Door ej__: LOIC is een DDoS tool, daarom wordt het door diverse virusscanners aangemerkt als virus. LOIC is een dom geschreven (vanuit het oogpunt van de 'bewuste' gebruiker) want de bron, de verzender van de pakketjes is te achterhalen.

Er is geen firewall die een DDoS kan tegenhouden. Wel het effect minimaliseren, maar als de downstream connectie helemaal vol met DDoS pakketjes zit dan helpt helemaal niets meer behalve het verkeerde verkeer afbuigen.

Een goede firewall zal wel tcp sessies met valse bron adressen effectief de nek kunnen omdraaien (linux iptables: syncookies, openbsd: synproxy). Daarom wordt een DDoS aanval vaak met udp verkeer gedaan, daarvan is heel eenvoudig de afzender te spoofen, geen 3 way handshake.

Dus nee, je bent verkeerd geinformeerd, het is niet eenvoudig en soms zelfs onmogelijk om een grote DDoS aanval tegen te houden. Ik herinner me een DDoS aanval op een server in Argentinie waar de pijp naar Argentinie werd volgezet. Dan kun je helemaal niets meer doen. Is vast nog wel te vinden met google, zoek maar bij security focus.

Daarnaast is het gebruik van een DDoS gewoon strafbaar, dom en uitermate zinloos.

Duidelijke uitleg. Daar kan ik wat mee. bedankt.
20-12-2010, 01:50 door Anoniem
Door Didier Stevens:
Door Anoniem: "De HTTP methode niet gebruiken, want met deze instelling download je bestanden naar je eigen pc".

Als je sockets programmeert schrijf je de te verzenden data in buffers en lees je de ontvangen data uit buffers. Deze buffers bevinden zich in het geheugen. Als je de data op schijf wilt, moet je als programmeur code schrijven om de data uit de buffers naar een bestand schrijven.

In de HTTP flooder van LOIC wordt er gebruik gemaakt van 64-byte buffers voor het versturen en ontvangen van de data, deze data wordt niet weggeschreven op disk. Het is trouwens zelfs zo dat LOIC enkel de eerste 64 bytes inleest, de rest niet.

Clear ! Ben blij dat er hier mensen zijn die weten waar ze over praten. Ik stel niet snel een vraag, maar Google me eerst 3 keer de wereld rond. Meestal weet ik dan minder dan ik al wist. Bedankt
20-12-2010, 02:06 door Anoniem
Door Anoniem: "LOIC is een virus, volgens Kaspersky. "

Kaspersky stelt helemaal niet dat LOIC een virus is. Kaspersky detecteert het als een hacktool. Da's verder niet bepaald nieuws, en indien je wilt dat de tool met rust wordt gelaten, dan maak je een exception aan. Ik heb op mijn pentest laptop ook aardig wat tools mogen excluden om te voorkomen dat deze door mijn virusscanner worden verwijderd / in quarantaine worden gezet.

"Is LOIC nu echt besmet met een virus, of worden we voorgelogen ? "

Geen van beiden ;)

Kaspersky Internet Security melde dat het LOIC 1.1.1.15 een hacktool is, EN dat er tevens een virus in zit.
Zodra ik de pc kan benaderen zal ik melden om welk virus het precies gaat.
Wellicht zwerven er besmette LOIC's rond.

Bendankt voor je reactie.
20-12-2010, 02:07 door Anoniem
Door ej__:
Door Anoniem: Ik denk dat het abusen van google op die manier om je IP te 'verbergen' niet zo slim is,.

Vooral niet omdat google ook gewoon logt wat er gebeurt...

Ja, daarom snapte ik de beweegreden ook niet om dit te doen via Google.

Bedankt
20-12-2010, 02:19 door Anoniem
Door ej__: LOIC is een DDoS tool, daarom wordt het door diverse virusscanners aangemerkt als virus. LOIC is een dom geschreven (vanuit het oogpunt van de 'bewuste' gebruiker) want de bron, de verzender van de pakketjes is te achterhalen.

Er is geen firewall die een DDoS kan tegenhouden. Wel het effect minimaliseren, maar als de downstream connectie helemaal vol met DDoS pakketjes zit dan helpt helemaal niets meer behalve het verkeerde verkeer afbuigen.

Een goede firewall zal wel tcp sessies met valse bron adressen effectief de nek kunnen omdraaien (linux iptables: syncookies, openbsd: synproxy). Daarom wordt een DDoS aanval vaak met udp verkeer gedaan, daarvan is heel eenvoudig de afzender te spoofen, geen 3 way handshake.

Dus nee, je bent verkeerd geinformeerd, het is niet eenvoudig en soms zelfs onmogelijk om een grote DDoS aanval tegen te houden. Ik herinner me een DDoS aanval op een server in Argentinie waar de pijp naar Argentinie werd volgezet. Dan kun je helemaal niets meer doen. Is vast nog wel te vinden met google, zoek maar bij security focus.

Daarnaast is het gebruik van een DDoS gewoon strafbaar, dom en uitermate zinloos.


Bedankt voor je duidelijke uitleg.

Wat ik begrepen heb is dat sommige mensen deze tool gebruiken om hun eigen systeem te controleren, wat ze stressen noemen. In dat geval lijkt het me legaal, interessant, en zinvol.
In de overige gevallen ben ik het met je eens.
1 uitzondering daar gelaten. De WikiLeaks affaire.
Soms mag je afstappen van de huidige regels, als er belangen spelen die ver boven strafbaarheid, domheid, en zinloosheid staan. Een uitzondering bevestigd de regel (of zoiets).

Bizar om te horen dat het onmogelijk is een grote DDos tegen te gaan.
20-12-2010, 10:54 door Prlzwitsnovski
en dan zit je met een permban van Google thuis :)
20-12-2010, 11:15 door Anoniem
"Dus nee, je bent verkeerd geinformeerd, het is niet eenvoudig en soms zelfs onmogelijk om een grote DDoS aanval tegen te houden. Ik herinner me een DDoS aanval op een server in Argentinie waar de pijp naar Argentinie werd volgezet. Dan kun je helemaal niets meer doen. "

Je kunt op zo'n moment wel degelijk wat doen, zoals het verhuizen van de server naar een verbinding met veel meer bandbreedte, waardoor je de aanvallen ineffectief maakt. Bedrijven als Arbor Networks en Prolexic Technologies zijn in dit soort diensten gespecialiseerd.

"Soms mag je afstappen van de huidige regels, als er belangen spelen die ver boven strafbaarheid, domheid, en zinloosheid staan. Een uitzondering bevestigd de regel (of zoiets)."

Wel belang is er gediend bij deze DDoS aanvallen ? Ervoor zorgen dat de aandacht omtrent de WikiLeaks affair verschuift van vrijheid op internet en overheidstransparantie naar veiligheid op internet en cybercriminaliteit ? Het associeren van WikiLeaks met crimineel en laakbaar gedrag ?
20-12-2010, 11:33 door Mysterio
Soms mag je afstappen van de huidige regels, als er belangen spelen die ver boven strafbaarheid, domheid, en zinloosheid staan. Een uitzondering bevestigd de regel (of zoiets).

Sure... leg de regels maar naast je neer wanneer dat uitkomt, maar denk niet dat je jezelf niet moet verantwoorden wanneer je de regels aan je laars lapt.
20-12-2010, 11:50 door [Account Verwijderd]
[Verwijderd]
20-12-2010, 12:23 door Silver
Door Anoniem: "Je kunt op zo'n moment wel degelijk wat doen, zoals het verhuizen van de server naar een verbinding met veel meer bandbreedte, waardoor je de aanvallen ineffectief maakt. Bedrijven als Arbor Networks en Prolexic Technologies zijn in dit soort diensten gespecialiseerd."

Je tip is prima, alleen zou ik Prolexic niet meer aanraden sinds Barrett Lyon daar weg is. Wat er is overgebleven is een lege huls. Echte kennis zit er allang niet meer en het bedrijf wordt gerund door Amerikaanse onderwereldfiguren.
20-12-2010, 12:57 door Anoniem
Door Anoniem: "Dus nee, je bent verkeerd geinformeerd, het is niet eenvoudig en soms zelfs onmogelijk om een grote DDoS aanval tegen te houden. Ik herinner me een DDoS aanval op een server in Argentinie waar de pijp naar Argentinie werd volgezet. Dan kun je helemaal niets meer doen. "

Je kunt op zo'n moment wel degelijk wat doen, zoals het verhuizen van de server naar een verbinding met veel meer bandbreedte, waardoor je de aanvallen ineffectief maakt. Bedrijven als Arbor Networks en Prolexic Technologies zijn in dit soort diensten gespecialiseerd.

"Soms mag je afstappen van de huidige regels, als er belangen spelen die ver boven strafbaarheid, domheid, en zinloosheid staan. Een uitzondering bevestigd de regel (of zoiets)."

Wel belang is er gediend bij deze DDoS aanvallen ? Ervoor zorgen dat de aandacht omtrent de WikiLeaks affair verschuift van vrijheid op internet en overheidstransparantie naar veiligheid op internet en cybercriminaliteit ? Het associeren van WikiLeaks met crimineel en laakbaar gedrag ?



Welk belang er is gediend ?

Als eindresultaat u van onwetendheid te bevrijden.
Al hetgeen ervoor gebeurt, is irrelevant.
Voor mij hetzelfde.
20-12-2010, 13:37 door ej__
Door Anoniem:

Wel belang is er gediend bij deze DDoS aanvallen ? Ervoor zorgen dat de aandacht omtrent de WikiLeaks affair verschuift van vrijheid op internet en overheidstransparantie naar veiligheid op internet en cybercriminaliteit ? Het associeren van WikiLeaks met crimineel en laakbaar gedrag ?

Geen enkel. Het doet de zaak van wikileaks meer kwaad dan goed.
20-12-2010, 13:41 door ej__
Door Anoniem:
Bedankt voor je duidelijke uitleg.

Wat ik begrepen heb is dat sommige mensen deze tool gebruiken om hun eigen systeem te controleren, wat ze stressen noemen. In dat geval lijkt het me legaal, interessant, en zinvol.
In de overige gevallen ben ik het met je eens.
1 uitzondering daar gelaten. De WikiLeaks affaire.
Soms mag je afstappen van de huidige regels, als er belangen spelen die ver boven strafbaarheid, domheid, en zinloosheid staan. Een uitzondering bevestigd de regel (of zoiets).

Bizar om te horen dat het onmogelijk is een grote DDos tegen te gaan.

Graag gedaan. En ja, sommigen gebruiken het om eigen systeem te controleren: om te kijken of er geen ongecontroleerde crashes komen waarop informatie wordt gelekt. Desalniettemin is het een gevaarlijke stap om te zetten: je stresst niet alleen je eigen spullen, maar ook die van je ISP en die van de provider van de dienst. Dat kan betekenen dat je ook spullen van een ander onbereikbaar maakt. Meestal worden dit soort testen daarom in een PAT omgeving gedaan, en dan met name in de T (van test).

En nee, wikileaks is hier geen uitzondering. Nu worden verkeerde zaken geassocieerd met wikileaks. Domme actie.
20-12-2010, 13:43 door Mysterio
Welk belang er is gediend ?

Als eindresultaat u van onwetendheid te bevrijden.
Al hetgeen ervoor gebeurt, is irrelevant.
Voor mij hetzelfde.

Gaat het verder wel goed? Er is zoveel onwetendheid waarvan een mens te 'bevrijden' is. Sites platleggen zorgt er niet voor dat mijn onwetendheid afneemt. Het laat eerder zien hoeveel er nog rondloopt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.