83% inkomend netwerkverkeer is "Dark Traffic"
Van al het inkomende netwerverkeer is slechts een klein percentage geldig e-mailverkeer. Volgens onderzoek is maar liefst 83% "Dark Traffic", dat bestaat uit directory harvest aanvallen (DHAs), denial-of-service aanvallen, misvormde SMTP pakketten en ongeldige e-mail adressen. Begin dit jaar maakte het donkere verkeer nog 64% uit van al het netwerkverkeer, maar dit is in afgelopen maanden met bijna 20% gestegen.
Bij DHAs proberen spammers via brute force methodes om geldige e-mailadressen te vinden. De spammer maakt verbinding met de e-mailserver van een bedrijf, en probeert allerlei e-mailadressen, net zolang tot hij een geldige hit heeft. De gevonden adressen worden later weer in spamcampagnes gebruikt.
"In ons eerste Dark Traffic Rapport waren we verbaasd over de hoeveelheid verborgen verkeer die de onderneming inkomt. We waren weer verrast over de explosieve toename van directory harvest en denial of service aanvallen" zegt CTO John Thielens.
DHAs groeiden sinds het eerste kwartaal met 170%, denial of service aanvallen namen zelfs met 300% toe. Bedrijven geven volgens Thielens teveel geld uit aan de e-mail infrastructuur om de 80-plus procent van nutteloos verkeer te verwerken. Verkeer dat aan de netwerk perimeter gestopt kan worden.
Stel iemand doet zo'n DHA op mijn mailserver, hoeveel
bandbreedte kost mij dat dan? Ook al resulteerd het verder
in niets bruikbaars, het kost toch nog bandbreedte volgens
mij, al is het maar een simpele handshake. De provider vaart
daar natuurlijk wel bij als het de spuigaten uitloopt,
indien de provider geld rekent per verstookte Mbit.
Om het terug te filteren naar een concrete vraag:
Als iemand onder welke protocol ook een request doet op mijn
machine, kost mij dat toch altijd bandbreedte ongeacht of
die request gehonoreerd wordt? Dit is toch waar de Ping Of
Death zo'n succes om had, naast het feit dat het hele grote
pakketten waren natuurlijk. Maar een ping wordt zo goed als
altijd ontvangen. Rekent de provider elke bit die over de
lijn loopt?
Ik suggereer dit, omdat je dan iemand lek kan stoken zonder
een (D)DOS te hoeven doen. De service blijft in de lucht,
maar de bandbreedte wordt wel verstookt, ten koste van het
andere verkeer en terug te zien op je factuur.
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
verkeer, en niet om het algemene netwerkverkeer?
Dit is toch waar de Ping Of Death zo'n succes om had, naast het feit dat het hele grote pakketten waren natuurlijk.
http://www.insecure.org/sploits/ping-o-death.html
Voor de scriptkiddies die hier komen... Forget it.... PoD is bijna 9 jaar oud en werkt echt niet meer..
Voor de scriptkiddies die hier komen... Forget it.... PoD is
bijna 9 jaar oud en werkt echt niet meer..
Je vergeet dat veel Symantec/Norton antivirus pakketten daar
nog steeds niet tegen kunnen. 64kbyte ICMP pakketjes kunnen
de meeste versies nog steeds niet tegen. Gefragmenteerd
teardropping is nog effectiever vaak, die vreet cpu power...
> Rekent de provider elke bit die over de lijn loopt?
In principe wel; of je ook moet betalen hangt van je
abonnement af.
Elk IP pakket met als bestemming jouw IP-adres is verkeer en
gaat door de routers van jouw ISP, en komt bij jouw router
terecht. Het maakt daarbij niks uit of er een service (zoals
SMTP) op jouw PC draait die pakketten aanpakt. Het maakt
zelfs niet uit of je PC aan staat.
Het enige dat ik niet zeker weet is wat er gebeurt als je
een ADSL modem hebt dat uit staat. Ik kan me voorstellen dat
dan in de router van de ISP een "no route to host" wordt
gedetecteerd en er mogelijk geen traffic in rekening wordt
gebracht.
Een bekende aanval is overigens de "smurf" attack. Daarbij
worden door derden naar veel verschillende computers ping
pakketten gestuurd met jouw IP adres als afzender. Al
die computers sturen dan gelijktijdig ping replies naar jouw
IP-adres waarmee je als het ware in het brandpunt van een
holle spiegel zit. En jij kunt dan niet de IP-adressen van
de feitelijke aanvallers achterhalen.
Omdit soort attacks te voorkomen is het van belang dat
routers (vooral die van ISP's) uitgaande pakketten met
spoofed source adressen droppen. Toevallig besteedt
http://isc.sans.org/diary.php?storyid=935 daar op
dit moment aandacht aan (in verband met een nieuw type LAND
attacks dat speciaal op routers gericht is; ook bij LAND
attacksworden source adressen gespoofed).
Erik van Straten
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
