Was ist eine "Target IP"?
Hey Leute.
Seit etwa einer Woche werde ich nun wieder von Hackern angegriffen, sowohl mit UDP Loops als auch mit Smurf-Attacken die meine Firewall erkennt und verhindert. Allerdings nervt es ein wenig, nämlich ist dahinter erneut der selbe Scheißverein wie davor, Ecatel. Ich habe diese Leute schon damals angeschrieben dass es mir langsam reicht, dann haben sies gelassen. Nach nun schon 20 EMails haben die nicht geantwortet. Nach der letzten Mail in der ich denen sagte dass ich Strafanzeige wegen Computersabotage erstatte, bekam ich binnen 10 Minuten eine Antwort.
Nun zur Frage. Die Leute wollten einen Log-Eintrag,in dem der Angriff aufgezeichnet wurde. Hab denen dann einen gegeben, hier gerne auch:
08/26/2014 02:03:27 sending ACK to 192.168.2.111 08/26/2014 02:03:27 sending OFFER to 192.168.2.111 08/26/2014 01:43:08 UDP Loop 89.248.172.128, 48035->> 192.168.2.113, 19 (from PPPoE1 Inbound) 08/26/2014 01:25:57 Wireless 34:AF:2C:D1:D9:26 released 08/26/2014 01:24:57 sending ACK to 192.168.2.111 08/26/2014 01:24:57 sending OFFER to 192.168.2.111 08/26/2014 00:49:35 sending ACK to 192.168.2.107
Die Antwort darauf war: "Could you please forward target IP ?"
Was meinen die mit Target IP? Meine IP Adresse? Schließlich bin ich ja das Ziel. Was ist gemeint? Wie finde ich die Target IP raus? Meine eigene? Falls nein, welche? Und wozu brauchen die das vielleicht?
Grüße~
3 Antworten
Ich denke mal sie meinen deine IP deines Providers. Ich sehe zumindest außer deiner Privat IP keine Ziel Adresse in der Liste? Mit der privaten 192.168.x.x IP können sie nichts anfangen. Die gibt es Millionenfach auf der Welt. Damit sie den Verkehr filtern können brauchen sie die IP Adresse des Ziels, also deine derzeitige IP vom Provider im Router. Ab da wird auf die private IP übersetzt. Wenn du allerdings jeden Tag eine neue IP erhältst wird sie wahrscheinlich nicht mehr aktuell sein. Also beim nächsten Angriff die IP ermitteln und mit der Beschwerde absenden. Dann können sie den Traffik verfolgen.
Bei Täglich wechselnder IP frage ich mich allerdings wo du dich im Netz rumtreibst dass der Angreifer jedes Mal deine IP rausfindet. Bei fester IP ist es natürlich kein Problem für den Angreifer. Bei Providern die bereits mit IP v6 arbeiten kann es vorkommen das du deine IP für ein paar Tage oder Wochen behältst. Auch dann ist dies ein Vorteil für einen Angriff. Bei Kabel Deutschland und einer v6 IP kann man die IP erneuern indem man den Router über den Resetknopf an der Seite resetet. Ein Stromlosmachen hilft nicht. Er muss resetet werden um eine neue IP zu bekommen.
Also meine WAN IP über die sie sich wahrscheinlich einwählen wollen bleibt gleich. Und Oh mann, dass du die nennst.. Hurricane hats bei mir auch schon versucht. Dazu aber auch Arcor und Telekom, aber das kommt ja nicht von denen aus sondern von irgendwem der über deren Computer angreift.
Ich bin bei Vodafone und hab ne Easybox, das sagt ja wohl alles... Hab übrigens mit der Hosts Datei jede IP Adresse die angegriffen hat gesperrt, aber es kam ja immer ne andere... -.-
EDIT: Ebene gesehen, vor 4 Stunden diese IP UDP Loop bei mir: 74.82.47.13
Und rate mal wer das ist... ganz genau. Hurricane Electric
Da Hurrican einen Node in Fremont betreibt und dieser mit dem in Amsterdam verbunden ist kann dies durchaus sein. Viele Daten fließen über diese Verbindung. Die IP gehört allerdings tatsächlich zu Hurrican.
Interessant ist aber was hinter der IP steckt.: Shadowserver.Org. Die haben eine eigene Seite und suchen scheinbar Bot verseuchte Rechner im WAN.
Hier noch ein Eintrag bei Wiki: http://de.wikipedia.org/wiki/ShadowServer_Foundation
Krass dass du dich damit so gut auskennst. Ich habe die von Hurricane angeschrieben, die haben meine Mail an ShadowServer weitergeleitet... Die haben mich angeschrieben und mir das dann erklärt... Aber wenn die mich doch längst gefunden haben und sehen dass der Rechner darauf reagiert, warum lassen dies dann nicht einfach sein?
Außerdem.. Inwiefern verseucht? Ich hab keine Viren oder iwelche Malware aufm PC gefunden... Ich downloade mir auch keinen schei ß und gehe nicht auf iwelche gefährliche Seiten. Ist das jetzt iwie bedrohlich, also muss ich mir Sorgen machen?
Und "Bekämpfung der Cyberkriminalität"... Hm, dass ICH etwas gemacht habe oder nur um zu sehen ob ich "infiziert" bin?
Die haben mir geschrieben die suchen nach Netzwerken mit "Chargen" aktiviert. Das ist scheinbar so ne Art Sicherheitslücke. Frage am Rande: WIe hast du rausgefunden dass die IP von ShadowServer ist? Ich hab gegoogelt und nur Hurricane gefunden.
Außerdem hab ich denen ja ne Mail geschrieben dass die meine IP von der Suche vielleicht mal ausschließen sollen, aber seit der Mail hab ich keine Antwort mehr bekommen...? Hm. Ist ja fast 2 Tage her, normalerweise haben die im 5-Stunden-Takt geantwortet.
In diesem Fall war das rausfinden der Zugehörigkeit zur IP ganz einfach. Ich suche zuerst hier:
http://www.ip-adress.com/ip_lokalisieren/74.82.47.13
Damit habe ich schon mal den Servernamen: scan-12b.shadowserver.org
Dann geh ich auf Whois und bekomme weitere Infos und den Namen des Betreibers.
Dann etwas über Schadowserver Foundation gegoogelt und das wars. :)
Ganz lustig, aber nicht immer genau ist auch die Map.
Das sie bei dir am PC angeklopft haben heißt nicht das dein PC verseucht ist. Sie gehen einfach alle möglichen IPs durch und schauen ob am Ende an einem Port ein Dienst wartet. Sie wollen also nicht eindringen sondern nur die Verbreitung ermitteln.
Bei einem meiner Kunden z.B. kam eines Tages ein Brief des Providers in dem stand in seinem Netz gibt es einen Bot PC.
Ich telefonierte mit dem Provider und sie konnten mir den genauen Zeitraum und das Ziel nennen. Da der Kunde ein Hotel betreibt und ich das gesamte Netzwerk dort installiert habe gibt es auch eine Aufzeichnung darüber welcher Gast zu welcher Uhrzeit im Netz unterwegs ist. So konnte ich den Gast identifizieren und es ihm mitteilen. ar er nur eine kostenlose Avira Version auf dem Notebook hatte installierte ich im eine McAffe Enterprise Version und nach einem Voll Scan wurde die Verseuchung entdeckt.
Entdeckt wurde der PC in den USA durch einen dortigen Honeypot. Solche werden auch von der Schadowserver Foundation betrieben. Diese meldeten dann an Hand der IP den Bot an den Provider und dieser sich beim Kunden.
Also momentan hat das mit dem laggen nachgelassen... Ich hoffe ja sehr, dass das auch so bleibt.
Sollte ich meinen PC nun auch nach irgendwelchen Viren scannen?
Danke für die Hilfe. Hoffentlich bleibt alles so wies jetzt ist und nicht wieder zurück in das tolle Hackererlebniss..
Target IP sollte deine sein, dennoch schreibe die des "Angreifers" dazu.
Welche von dort ist Angreifer IP Adresse? Puste denen doch mal ein wenig entgegen...
89.248.172.128
192.168.2.111 < woher kommt die?
89.248.172.128 Die hat mich angegriffen.
192.168.2.111 Das ist die, ich nenne sie mal "Hauseigene" IP. Das hat jeder, und xxx.xxx.2.111 ist mein PC, welcher geflooded wurde.
Meine IP Adresse ist natürlich anders, aber brauchen die diese nun? Die haben mich angegriffen, die wissen sehr gut, welche es ist.
hm, wäre gut das du sie einfach mal mitschickst.
Aber diese "Angriffe" sind nichts besonderes (google die mal), es sei denn du hast jemanden auf dich gehetzt, was mir auch schon mal passiert ist, meistens kommen die durch deine Firewall durch (kommt sowieso jeder der nicht doof ist), da ist dann nichts mehr mit Internet, dann prügeln mal gerne 1GB/s auf dich ein.
Zu der 192.168.2.111, nein, hat nicht jeder, klar eine ähnliche hat jeder, aber das kommt auf den Anbieter oder Router drauf an (bin mir nicht sicher.
Ansonsten wenn es dich wirklich stört, greif halt an, vpn anmachen, und los gehts. Mehr Infos gebe ich aber nicht raus, sonst gibts hier Ärger ^^
Es geht mir nicht um die Angriffe selbst, sondern die dadurch entstehenden Lags. Mein Internet wird so gut wie nutzlos. Dass diese Angriffe so gut wie "normal" sind, weiß ich. Aber nicht in dem Ausmaß. Angenommen ich spiele BF3: Ich fange an mit einem 500+ Ping und kann NICHTS tun. Und zurück angreifen... klar, wäre lustig, aber denke nicht dass ich sowas kann und oder will. Jemanden auf mich gehetzt habe ich soweit ich weiß nicht, wie auch?
Gut, dann schreibe dort mal ALLE infos die du hast an die Abuse Mail.
Können... das kann jeder. Google.
Nun, solche leute (die Langeweile haben) kann man ganz schnell auf sich "hetzten", ein falsches Wort, peng Internet weg, oder wie bei mir ganze Server.
Gruß
Hab denen so ziemlich alles wichtige an die abuse Mail geschrieben... Mehr Infos außer den Log-Eintrag hab ich nicht. Kann denen ja sagen dass mein Internet dadurch verreckt, aber denke das wissen die..
Danke für die Antworten ^-^
Target ist das Ziel. Sie wollen also die von ihnen angegriffene IP-Adresse wissen. Da Du wahrscheinlich alle 24 Stunden eine neue IP-Adresse bekommst, ist es für Dich schwierig, die noch herauszufinden.
PS: Nach dem ich mich ein wenig über Ecatel eingelesen habe denke ich ein Kontakt mit denen wird nichts bringen. Ein Provider der extra damit wirbt Server Platz für DDos Attacken anzubieten ist einfach nur kriminell. Bleibt zu hoffen das auch andere Provider wie bereits Hurrican (US Provider der über Amsterdam routet) sich von solchen Geschäftspartnern trennt und diese irgendwann einfach aus dem WAN verschwinden. Firmen wie Ecatel sich echt eine Pest.